(PM) , 15.09.2008 - Hartnäckige Vorurteile verhindern in vielen Unternehmen die Implementierung eines unverzichtbaren Schwachstellenmanagements – Richard Mayr, VP Sales DACH eEye Digital Security, klärt auf.München, 15.09.2008 – Starke IT-Sicherheit kommt Attacken zuvor, statt sie reaktiv zu erwarten, erst dann abzuwehren und nachträglich in ihren Schadpotenzialen zu begrenzen. Der erste Schritt zu einem optimal gesicherten Netzwerk besteht darin, das gesamte System proaktiv auf Schwachstellen hin zu untersuchen, sie in ihrer Gefährlichkeit zu bewerten und präventiv zu beseitigen. So, wie niemand im Vertrauen auf Alarmanlage und Polizei seine Wohnungstür offen stehen lässt, so ist das kontinuierliche Schließen aller Sicherheitslecks noch vor einem Angriff die Grundlage jeder geschützten Unternehmens-IT. Antiviren- oder Intrusion Detection-Lösungen allein kommen zu spät. Sie werden erst aktiv, wenn das System schon kompromittiert ist. Dass es kompromittierbar ist, entdecken diese Programme nicht. Hier liegt die Stärke von Vulnerability Scannern, die allerdings häufig in ihrer Bedeutung als erstes, wichtigstes und im Idealfall auch stärkstes Glied einer komplexen Security-Kette verkannt werden. Schuld sind Irrtümer und Fehleinschätzungen, die sich zum Teil bis heute halten – Richard Mayr, eEye Digital Security, widerlegt die fünf häufigsten Vorurteile. Das Vorurteil der Leichtsinnigen: „Unser Unternehmen ist nicht durch Angriffe bedroht.“Richard Mayr: „Unternehmen, die sich aufgrund relativer Unbekanntheit oder ihrer Nischenposition für ungefährdet halten, sollten berücksichtigen, dass die spektakulären Schadensfälle der Vergangenheit – ausgelöst durch Code Red, Blaster, Sasser oder Bagel – ungezielt waren. So konnten sie jedes Unternehmen empfindlich treffen, auch solche, die nie im Fokus organisierter IT-Kriminalität standen. Zudem kann jedes Geschäft Opfer einer Racheaktion z.B. verärgerter Angestellter, Konkurrenten, Kunden oder Lieferanten werden.“Das Vorurteil der Pessimisten: „Gegen Schwachstellen gibt es keinen effektiven Schutz – der Angreifer ist stets einen Schritt voraus.“ Richard Mayr: „Diese Einschätzung wird von vielen geteilt. Sie ist allerdings falsch, wie eine Statistik sinnfällig beweist: Einer Untersuchung der Carnegie Mellon University zufolge resultierten nahezu 99% aller gefährlichen Attacken aus dem Ausnutzen bekannter Schwachstellen oder Konfigurationsfehler: Professionelles Vulnerability Assessment eines Lösungsanbieters kann also selbst hervorragend organisierten Angreifern zuvorkommen, wenn – wie bei eEye – im Hintergrund ein Forschungsteam steht, das diese Schwachstellen als Erstes entdeckt bzw. innerhalb von maximal sechs Stunden nach Bekanntwerden als automatische Updates in die Scanner- und Audit-Funktionalitäten des Schwachstellenmanagements integriert. Wer dagegen auf die regulären Patchings der großen Softwareanbieter setzt, läuft tatsächlich Gefahr, immer einen Schritt hinter dem Angreifer und seinem aktuellen Kenntnisstand zurück zu sein.“ Das Vorurteil der Optimisten: „Wir sind schon durch Firewall und unser Intrusion Detection System (IDS) ausreichend geschützt.“Richard Mayr: „Eine Firewall legt in erster Linie fest, welche Datenströme, Protokolle oder IP-Adressen über das System weitergeleitet werden, welche nicht. Das allein ist bestenfalls ein rudimentärer Malware-Schutz. IDS funktionieren in der Regel signaturbasiert und sind schon allein daher einer schnell mutierenden Schadlogik gegenüber unterlegen. Bei missbräuchlichen Remote-Zugriffen versagt IDS zudem einfach zu oft. Vor dem Hintergrund, dass die Zahl der jährlich entdeckten Sicherheitslücken mit ungebrochener Dynamik wächst – allein zwischen 1995 und 2003 um 800% (Quelle: Carnegie Mellon University) – und die Zeitspanne zwischen ihrer Entdeckung und einem flächendeckendem Exploit nur wenige Tage betragen kann, sind Heuristik, Sandboxing und andere signatur-unabhängige, präventive Screening-Methoden unverzichtbar. Java-basierte Web 2.0-Applikationen haben die Situation noch verschärft und erzwingen heute ein proaktives Sicherheitskonzept, das Vulnerability Assessments in policy- oder compliance-konforme Sicherheitsstrukturen einbettet.“ Das Vorurteil der Kurzsichtigen: „Umfassendes Schwachstellenmanagement ist zu teuer.“Richard Mayr: „Wer vor die Frage einer Investition in Sicherheit gestellt ist, wird eine Rechnung aufmachen müssen, die das drohende Schadenspotenzial beziffert und den Kosten für die Prävention gegenüberstellt. Auf der Schadensseite stehen dann: Produktionsausfälle, Schädigung der Reputation bei Kunden, Lieferanten oder der Branche, Verstoß gegen Auflagen und gesetzliche Vorschriften, Schadensersatzklagen, Verlust wertvoller Daten – und natürlich die Kosten für die Spezialisten, die das befallene System wieder stabilisieren: Die Folgekosten eines erfolgreichen Angriffs übersteigen daher in der Regel die Finanzaufwendungen für professionelles Vulnerability Assessment ganz erheblich. Und vor allem: Folgekosten sind in ihrer Höhe viel schwerer zu kalkulieren als Anschaffungskosten.Kluges Cost-Cutting bedeutet daher nicht Einsparung von, sondern Einsparung bei der Auswahl von Security-Lösungen, indem sie insbesondere unter TCO-Aspekten evaluiert werden: Dann stellt sich zumeist heraus, dass die Lizenzkosten für eine ausgereifte Lösung wie unseren eEye Retina Network Security Scanner sich relativ gering ausnehmen gegenüber der Investition in Installation, Pflege und Aktualisierung proprietärer Alternativen. Das gilt insbesondere für den Mittelstand, der weder über das Know-how noch die Mittel verfügt, in mannstunden-intensiver Eigenregie ein verlässliches Schwachstellenmanagement durchzuführen und mit eigenen IT-Fachleuten inhouse für eine Beseitigung gefährlicher Sicherheitslücken zu sorgen.“Das Vorurteil der Eiligen: "Es dauert einfach zu lange, bis die Lösung implementiert und von den Mitarbeitern adäquat genutzt werden kann.”Richard Mayr: „Der Zeitaufwand, die durch einen erfolgreichen Angriff entstandenen Schäden zu beseitigen, übertrifft den für Prävention erheblich. Und wer im eCommerce seinen Kunden erklären muss, wie es nach einem SQL-Exploit zum Verlust hoch sensibler Daten hat kommen können, der wird Jahre brauchen, seine Glaubwürdigkeit wiederzuerlangen. Natürlich ist IT-Sicherheit mit der Investition von Geld und Zeit verbunden – aber: eEye Lösungen sind so konzipiert, dass sie durch intuitive Interfaces und Hilfsprogramme (Wizards) die Administration erleichtern. Zentralisierung der IT-Security über alle Ebenen hinweg, automatische Updates und Vorschläge zur Schwachstellenbeseitigung erlauben eine schnelle Implementierung und zeitnahe vollständige Nutzung unserer Vulnerability Assessments. Zudem kann der Mittelstand auch ohne ausgewiesene IT-Experten darauf vertrauen, dass wir ihn mit der Kompetenz unserer Forschungs- und Entwicklungsteams täglich dabei unterstützen, IT-Kriminellen den einen entscheidenden Schritt voraus zu sein.“Über eEye Digital SecurityeEye Digital Security® ist Technologieführer bei ganzheitlichem Bedrohungsmanagement, dem neuen Standard für IT Security. Diese neue Generation Sicherheitslösungen ermittelt Schwachstellen und Bedrohungen, verhindert Exploits und schützt – vom Client über netzwerkbasierte Datenbestände bis hin zu Websites und Applikationen – die gesamte Unternehmens-IT, indem das Bedrohungsmanagement aus zentraler Perspektive gesteuert werden kann. Das eEye Forschungsteam ist traditionell richtungsweisend bei der Identifikation aktueller Bedrohungen. eEye verfolgt dabei das Ziel, mit Hilfe seiner Lösungen Netzwerksicherheit zu einem integralen und selbstverständlichen, dabei einfach und verlässlich zu handhabenden Bestandteil der gesamten Netzwerk-IT zu machen. Gegründet im Jahr 1998 schützt der in Orange County, CA ansässige IT Security Spezialist gegenwärtig mehr als 9.000 Unternehmen und Regierungsstellen weltweit, darunter die Hälfte der Fortune 100 Unternehmen. Weitere Informationen finden Sie unter www.eeye.com.INTERFACE PUBLIC RELATIONS GmbHDr. Ralph KlöwerPR Account ManagerLandshuter Allee 1280637 MünchenTel.: + 49 (0) 89 55 26 88 – 66Fax: + 49 (0) 89 55 26 88 – 30r.kloewer@interface-pr.dewww.interface-pr.de