Fast drei Viertel aller Hackerangriffe finden an den Endpoints statt. Grund genug für die IT, Zugriffe akribisch zu kontrollieren. Viele IT Security Lösungen setzen auf Whitelisting oder Blacklist-Verfahren, die Zugang erlauben oder untersagen. Diese Positiv- oder Negativliste sollen Systeme konsequent schützen. Die beiden Ansätze werden häufig in einem Atemzug genannt, verfolgen jedoch gegensätzliche Strategien und kommen in verschiedenen Bereichen zum Einsatz. Während eine Whitelist allem den Zugang verwehrt, was dort nicht explizit eingetragen ist, geht die Blacklist-Strategie umgekehrt vor: Hier trifft die Software eine Entscheidung auf Grundlage einer Negativliste. Nur ausdrücklich als kritisch bewertete Software und Daten sind verboten.

White- und Blacklist-Verfahren bedeuten Mehraufwand – UEBA ist die besser Lösung

Zwar können beide Vorgehensweisen grundsätzlich effizient funktionieren. Allerdings sind sie als starre Regelwerke mit einigen Nachteilen verbunden: Zum einen verursachen sie einen hohen Verwaltungsaufwand für die IT-Abteilung. Gleichzeitig ist das richtige Maß zwischen Schutz und Betrieb kaum zu erreichen. Administratoren gehen hohe Risiken ein, wenn sie zu viele Zugriffe erlauben. Trotz des Einsatzes guter IT Security Lösungen sind Datenverlust oder Malwarebefall möglich. Agieren IT-Verantwortliche umgekehrt zu restriktiv, leidet die Nutzerfreundlichkeit erheblich. Eine laufende Gradwanderung ist die Folge: Auf der einen Seite steht ein Zuviel an Zugriffen und eine damit verbundene mangelnde Datensicherheit. Umgekehrt drohen Stillstand oder Blockaden beim IT-Betrieb.

Falsche Konfiguration kann sogar dazu führen, dass Mitarbeiter kaum mehr arbeitsfähig sind oder versuchen, Sicherheitsmaßnahmen zu umgehen. Dies wiederum erhöht die IT-Risiken erheblich. So resultiert ein erheblicher Teil der Datenverluste aus fahrlässigem Verhalten. Nicht selten sorgen die Beschäftigten selbst für die Probleme – fast immer aus Versehen. Ein Grund liegt etwa darin, dass sogenannte VIP-User von verschiedenen Regularien der firmeninternen IT Security ausgenommen werden.

User and Entity Behavior Analytics (UEBA)

Als neue Methode für IT Security ermöglichen User and Entity Behavior Analytics, der IT, anhand von Nutzerverhalten etwaige Security Events und Vorfälle zu erkennen. Das System bewertet automatisiert Verhaltensmuster und gleicht es sofort im Hinblick auf mögliche Anomalien ab. So setzt UEBA das Nutzerverhalten in Verbindung mit anderen Faktoren. Dazu gehören beispielsweise IP-Adressen, Standorte oder Geräte, sowie Datenübertragungen. Aussagen über mögliche Sicherheitsvorfälle können auf diese Weise erheblich schneller und differenzierter getroffen werden – ohne, dass der User es merkt. Er ist geschützt und kann dennoch auf normalem Level weiterarbeiten.

Mithilfe von UEBA lassen sich die Fragen nach normalen und ungewöhnlichen Prozessen beantworten, ohne komplizierte vordefinierte Regeln bei der Konfiguration zu erstellen. Somit ist UEBA ein sehr zweckdienliches Verfahren, um IT Security im Unternehmen erfolgreich und ohne größere Verwaltungsaufwände zu realisieren. Die größten Mehrwerte können Administratoren erzielen, wenn sie UEBA mit IT Security-Prozessen und -Anwendungen integral und automatisiert verbinden.

Um das Verhalten von Benutzeraktivitäten bemessen zu können, ist es wichtig, Protokollierungen wie sogenannte Data Monitoring Tools einzusetzen. Admins sollten darauf Anomaly-Detection Lösungen ansetzen, die anhand von Statistiken und Analysen ein abweichendes Verhalten identifizieren und melden. Dies alles läuft im Hintergrund ab. Nach Möglichkeit sollten die Lösungen im Event-Fall automatisiert weitere Aktionen ausführen oder zumindest andere Anwendungen über einen Non-compliant Status informieren, sodass der Fall manuell zügig behandelt werden kann.

Fazit

UEBA sorgen für smarte IT Security ohne unangenehme Nebengeräusche. Ein positiver Nebeneffekt: Die IT Security kommt weg von ihrem Ruf, ein „notwendiges Übel“ zu sein. Sie agiert intelligent im Hintergrund und verschafft Usern den notwendigen Schutz – ohne, dass diese unter Restriktionen zu leiden hätten. So können diese von den Vorteilen der digitalen Arbeitswelt erst wirklich profitieren.