Wenn es um Bestrebungen für mehr Informations-Sicherheit geht und darum, die Infrastruktur gegen interne und externe Bedrohungen abzusichern, dann sehen wir immer wieder verschiedene Ansätze auf dem Weg zum gleichen Ziel: mehr Sicherheit.
Unabhängig von Größe und Komplexität sowie der Branche, in der Infrastrukturen betrieben werden, ist die Idee die gleiche: möglichst gut vorbereitet zu sein, eine möglichst gute Abwehr zu etablieren und Angriffe idealerweise schon im Vorfeld zu verhindern.
Dabei geht es fast immer darum, Schwachstellen im Inneren von Systemen zu identifizieren und aufzulösen. Dieser Schritt ist wichtig, um Systeme sicher betreiben zu können, weshalb ein hoher Fokus daraufgelegt wird, über das etablierte Patch-Management hinaus, mit Schwachstellen-Scans und anderen Werkzeugen, gegen aktuelle Common Vulnerabilities vorzugehen. Gerade dieser Schritt ist wichtig.
Doch es letztendlich kommt es am Ende nicht darauf an, welche Schwachstellen mitigiert wurden, sondern dass eine Struktur geschaffen wurde, in der Schwachstellen nicht unmittelbar zum Tragen kommen. Denn die Unterstellung ist, dass es immer Schwachstellen geben wird; bis hin zu Zero-Day-Angriffen, die noch nicht mitigiert werden konnten. Nehmen wir das Beispiel Randsomeware, dann ist es möglich, mit nur einem einzigen infizierten PC im Netzwerk zu starten. Der infiziert langsam alle anderen, bis das komplette Netz verseucht ist.
Dieser Vorgang dauert unterschiedlich lange, je nachdem, wie das Netzwerk aufgebaut ist. Wird eine flache Netzwerk-Hierarchie betrieben, in der PCs, Tablets, Smartphones und Server im selben Netzwerk kommunizieren, ist es für Randsomeware & Co. deutlich leichter, sich auszubreiten. Wird dagegen eine Infrastruktur betrieben, die in logische Bereiche gekapselt ist (Übergänge die inhaltlich prüfen und nur bestimmte Kommunikations-Verbindungen zulassen), ist die Ausbreitung nach wie vor möglich, jedoch deutlich aufwändiger.
Wir werfen deshalb mit unseren Kunden einen ganzheitlichen Blick auf die Infrastruktur. Unabhängig der Branche und Unternehmensgröße gilt: je besser die Struktur der Informations-Sicherheit ineinander greift und gehärtet ist, desto besser sind die Systeme gegenüber Angriffen geschützt.