:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/09/8109e93cabadea27e80753ea82d09216/0114074983.jpeg "Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden. (Bild: Joos - Apple)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/91/aa/91aa058ec9fc87d63394f2da68ef2dd4/0114110774.jpeg "6G wird mit all seinen Leistungsmerkmalen deutlich über den aktuellen 5G-Standard hinausgehen. Um dafür schon jetzt die Weichen auf Offenheit, Effizienz und Sicherheit zu stellen, arbeitet das 6GEM an umfassenden Test-Szenarios. (Bild: © Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/24/a4/24a4afe677c8595c650c214584a3817e/0114061470.jpeg "Mitels neue 700d-DECT-Handset-Serie umfasst vier Modelle. (Bild: Mitel)")
:quality(80)/p7i.vogel.de/wcms/50/c5/50c5a853408eb76c9685288f136f1b00/0114147274.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Netzwerk-Absicherung mit Fokus auf das Domain Name System So funktioniert eine DNS-basierte Security-Strategie
Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essentiell für die Kommunikation über das Internet. Längst haben Cyber-Kriminelle das DNS als Schwachstelle für Attacken ausgemacht. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System aktiv zur Verteidigung einzusetzen!
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Die große Mehrheit der Unternehmen wird wohl ihre Cybersecurity-Ausgaben im laufenden Jahr erhöhen – mit Schwerpunkten auf Netzwerk- und Cloud-Security sowie Security Analytics. Die Gründe hierfür sind offensichtlich: Es vergehen kaum ein paar Wochen, ohne dass neue Datenlecks oder gestohlene persönliche Daten durch die Medien gehen.
2017 gab es laut ESG Research [PDF] 612 bekannte Datenlecks, bei denen 1,9 Milliarden Datensätze entwendet wurden: Eine unvorstellbar hohe Zahl innerhalb nur eines Jahres.
Zudem werden die Angriffe immer spezifischer. Etwa 80 bis 90 Prozent der neu auftauchenden Malware wurde so konzipiert, dass sie exakt auf ein spezielles System zugeschnitten ist. Und genau das macht es so schwierig, diese Arten von Angriffen zu entdecken und zu verhindern. Viele bösartige IP-Adressen oder Web-Domains existieren nur etwa eine Stunde lang oder kürzer, sodass es quasi unmöglich ist, diese mit herkömmlichen Sicherheitsmaßnahmen zu blocken oder überhaupt zu entdecken.
Eine weitere Bedrohung der letzten Zeit ist Ransomware, wovon insbesondere Gesundheits- und Verkehrswesen betroffen waren. Die Wannacry-Ransomware befiel über 300.000 Geräte in 150 Ländern weltweit. Der gesamte durch Ransomware verursachte Schaden betrug 2017 sieben Milliarden US-Dollar – ein extremer Anstieg, denn 2016 betrug der Schaden „nur“ eine Milliarde US-Dollar.
Allzweckwaffe Domain Name System
Das Domain Name System (DNS) löst IP-Adressen in Domain-Namen auf oder umgekehrt. Gibt ein Nutzer eine bestimmte URL in den Browser ein, ergänzt das DNS die entsprechende IP-Adresse des Servers. Um den Hostnamen zu erkennen, muss der Server eine DNS-Anfrage starten: der Reverse Lookup spricht die IP-Adresse des Clients an. Damit gilt das DNS als Telefonbuch für das Internet.
Das in den 1980er Jahren entwickelte DNS verfügt über keinerlei Sicherheitsfunktion und basiert auf der Annahme, dass Menschen und Unternehmen auch tatsächlich diejenigen sind, für die sie sich ausgeben. In dieser Zeit konnte man nicht vorhersehen, dass die Entwicklung des Internets zum zentralen Angelpunkt unseres täglichen Lebens auch die Grundlage für diverse kriminelle Machenschaften bilden würde. Die Problematik liegt an der offenen und verteilten Architektur des DNS.
Cyberkriminelle missbrauchen das altgediente System heute als Schlupfloch für ihre Aktivitäten. Ob Abgreifen vertraulicher Unternehmensdaten (Data Exfiltration), Einschleusen von Malware in gestückelten Paketen (Data Infiltration) oder der Bau von Tunneln, um Daten unbefugt zu transportieren: Hacker haben das DNS für sich entdeckt, um in fremde Systeme einzudringen, Daten zu verschlüsseln, Informationen zu stehlen – oder gar Daten zu zerstören.
Das DNS verteidigt in vorderster Front
Viele Unternehmen haben die Schwachstelle DNS bereits erkannt und versuchen, diese Lücke mit dedizierten DNS Servern, regelmäßigen Scans und Schwachstellen-Software zu schließen. Doch über die reine Security-Hygiene hinaus, erkennen immer mehr Unternehmen den Wert des DNS als aktive Verteidigungslinie, eingebettet in ein tiefgreifendes und umfassendes Sicherheitskonzept.
Dies ist sinnvoll, denn das DNS ist Bestandteil jeglicher Netzwerkverbindung – egal ob bösartig oder harmlos. Das DNS ist im Netzwerk einzigartig positioniert, um als zentraler Kontrollpunkt zu entscheiden, ob eine gutartige oder eine bösartige Anfrage eingeht.
Vorbeugung und Integration auf allen Ebenen
Eine DNS-basierte Security-Strategie legt Wert auf vorbeugenden Schutz. Als verbindendes Element zwischen Nutzern, Browsern und Webinhalten kann ein sicherer DNS-Security-Service Security-Policies durchsetzen und verdächtige Verbindungen blockieren. So können beispielsweise Inhalte wie Pornografie, Glücksspiele und so genannte Hate Sites gefiltert werden.
Als Mittelsmann jeglicher Netzwerkverbindung ist das DNS eine allwissende Informationsquelle über 300 Millionen Internet Domain-Namen und 4 Milliarden aktiven IP-Adressen. Diese können mit den TTPs (Tactics, Techniques and Procedures) der Hacker, Cyberkriminellen und Geheimdienste abgeglichen werden. DNS Threat Intelligence kann mit anderen Open-Source- und weiteren Threat-Intelligence-Feeds sowie Analytics-Systemen wie EDR (Endpoint Detection and Response) und SIEM (Security Information and Event Management) integriert werden und so ein ganzheitliches und situationsorientiertes Bild der Sicherheitslage liefern.
DNS Security Services unterstützen die Abstimmung der Störfallbeseitigung indem IOCs (Indicators of Compromise) sowie IOAs (Indicators of Attacks) mit anderen Sicherheitstechnologien wie Firewalls, Netzwerk-Proxys, Endpunkt-Security, NACs und Schwachstellenscannern geteilt werden und diesen reichhaltige Kontextinformationen zur Verfügung stellen.
Worauf man bei der Auswahl einer DNS-Security-Lösung achten sollte
Wichtig ist die Fähigkeit, bösartige Domains, URLs sowie IP-Adressen in Echtzeit zu erkennen und zu blockieren. Integrationen mit DNS Firewalls, DNS Threat Intelligence Services sowie der weiteren Security-Infrastruktur sollten im Paket enthalten sein.
Mit Hilfe von Verhaltensanalysen werden DNS-Pakete genauestens untersucht nach Größe, Zeit, Art der Verschlüsselung und weiterer Anomalien. Nur so kann dem Missbrauch des DNS für das Abgreifen von Daten ein Riegel vorgeschoben werden. Eine hybride Architektur bestehend aus On-Premises Appliances und Cloud-basierten Komponenten bietet optimale Sicherheit für Zweigniederlassungen, Home Offices und das Arbeiten von unterwegs.
Das zentrale Management für jeglichen DNS-Datenverkehr ist ein weiterer elementarer Bestandteil. Nur durch Verwaltungsfunktionen für Policies, Konfigurationen und Reporting kann das Security-Team Überblick über sämtliche Alerts, den Status der eingeloggten Geräte und potentielle Bedrohungen behalten.
Nicht zuletzt sollte auf einen Hersteller gesetzt werden, der Integrationen und Allianzen mit anderen Security-Hersteller bietet. In der weitverzweigten Security-Landschaft wird Integration die Zukunft sein. Nur wenn zwischen den verschiedenen Komponenten Interoperabilität herrscht, und alle Zugriff auf die relevanten Informationen haben, kann Sicherheit in Echtzeit gewährleistet werden.
Fazit
Beim Thema IT-Sicherheit sollte langfristig gedacht und geplant werden. Nur mit modernsten Security-Lösungen können Unternehmen sich auch vor zukünftigen Bedrohungen schützen. Denn was die nächste Welle bahnbrechender Technologien wie Internet der Dinge, autonomes Fahren und künstliche Intelligenz noch alles an Bedrohungspotential mit sich bringen wird, können wir bestenfalls erahnen.
Über den Autor
Frank Ruge ist Senior Director & General Manager Central Europe bei Infoblox.
(ID:45414600)
:quality(80)/p7i.vogel.de/wcms/6b/cb/6bcbeb542abe2541c9fef53153b1309b/0108547649.jpeg "Schatten-IT-Strukturen sind eine ernst zu nehmende Herausforderung für die IT-Sicherheit. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/9e/c59e9a7f915859fda0f6523426688af6/0104555880.jpeg "Die heutige Gemengelage: Zentrales Rechenzentrum trifft auf eine verteilte Netzwerkarchitektur und User im Homeoffice – wer daran nichts ändert, gefährdet den Geschäftserfolg. (Bild: Infoblox)")