Ihr Plan für eine fittere IT-Security

Aktuelles

Seit Jahren sind die grundsätzlichen Stellschrauben der Informations-Sicherheit bekannt. Und dennoch lesen wir nahezu täglich, dass wieder ein Unternehmen / eine Behörde Opfer eines (Cyber)-Angriffs wurde. Informations-Sicherheit ist vielfältig und gerade da liegt die Herausforderung. Zum einen die “alten” Themen dauerhaft zu beackern ,zum anderen aber die neuen Themen effektiv zu integrieren. Eine gute Informations-Sicherheits-Strategie ist deshalb vielfältig und immer mehrdimensional. Dennoch, die Evergreens haben ihren Stellenwert nicht verloren.

Backup

Die Frage nach dem Backup sollte schnell abgehandelt sein. Eines zu haben, sorgt im Notfall dafür den Datenverlust zu minimieren. Als Berater in der Praxis stellen wir aber immer wieder fest, dass es oft kein ausreichendes Backup-Konzept gibt bzw. dieses zwar etabliert aber nicht oder nicht regelmäßig getestet wird. Der ein oder andere Leser sieht im Thema Backup ggfs. auch eine Verbesserung, denn im Zeitalter der Virtualisierung ist die Sicherung von Systemen deutlich einfacher geworden. Doch gerade da liegt häufig der Hund begraben. Natürlich ist es wichtig die virtuellen Systeme zu sichern. Doch erst wenn man die Konfiguration von OT-Geräten nicht mehr zurückspielen kann oder der Etagen-Switch über Nacht die Konfiguration verloren hat, wird klar, was noch alles zu einem ausreichend sinnvollen Backup-Konzept dazu gehört.

  • Netzwerk-Komponenten
  • Virtualisierungs-Systeme
  • Hardware-(Systeme)
  • Hardware-Komponenten
  • Steuerungskomponenten
  • Haustechnik
  • Zutritts- und Zugangs-Systeme

Die Liste ist natürlich beliebig verlängerbar. Doch jede vorgegebene Liste wäre im Zweifel falsch für Sie und Ihr Unternehmen, da sie von Ihrer Infrastruktur, Ihren Systemen und Bedürfnissen abhängt. Es ist sicherlich hilfreich, zu überlegen, welche IT-/OT-/Cloud-Systeme für Prozesse benötigt werden. Doch dabei sollten die Kern-Systeme, die ohnehin “immer da” sind, nicht in Vergessenheit geraten.

sicheres WLAN

An eine einfache Möglichkeit zur Konnektivität haben wir uns längst gewöhnt. Egal ob Docking-Station im Büro oder WLAN in allen Gebäuden. Die meisten verbinden sich einfach und hinterfragen diese Verbindung nicht. Die Sicherheit beim WLAN fängt noch vor der Authentifizierung an, nämlich mit der Wahl der Frequenz. 2,4 GHz ist nach wie vor weit verbreitet, jedoch nahe an anderen Frequenzbändern und unter anderem deshalb anfällig für Störungen. Allerdings unterstützen längst nicht alle Geräte 5 GHz. Geräte der Hausautomatisierung sind auf Langlebigkeit getrimmt und nicht darauf bedacht, möglichst viele neue Funktionen zu integrieren.

Je größer die Infrastruktur, je verteilter die Standorte, desto leichter ist es, WLAN-Geräte als Angreifer aufzustellen, die gar nicht in die Infrastruktur bzw. zum Unternehmen gehören. Eine Namenskonvention kann auf den ersten Blick helfen, die richtigen Geräte zu finden. Doch ein Schutz ist das nicht. Kurzfristig ist auch der Angreifer in der Lage, die Konvention für seine Zwecke zu nutzen. Stattdessen ist es sinnvoll Authentifizierungs-Konzepte zu nutzen, die mit der eigenen Infrastruktur verankert sind. Erfordert die Authentifizierung Mechanismen und Systeme, die bereits für andere Zugänge etabliert sind, schafft das Klarheit beim Mitarbeiter und macht es dem Angreifer deutlich schwerer, Geräte aufzustellen, die diesen Standard ebenfalls bieten.

Authentifizierung

Nicht nur beim WLAN spielt die Authentifizierung eine Rolle. Überall im Unternehmen müssen wir unsere Identität nachweisen, um Zugang zu Systemen zu erhalten. Ist diese Authentifizierung zentralisiert, ermöglicht das nicht nur leichten Zugang zu Systemen, sondern sorgt auch dafür, dass die Benutzerkonten gepflegt bleiben. Die aktuellsten Authentifizierungs-Verfahren nützen nichts, wenn Mitarbeiter nach dem Offboarding immer noch als valides Benutzerkonto existieren, Standard-Kennwörter benutzt werden oder auf Mehrfaktor-Authentifizierung verzichtet wird.

Gerade in diesem Zusammenhang ist der Automatisierungsgrad ein relevanter Fakt. Ein Sprichwort sagt “ein guter Admin, ist ein fauler Admin”. Und was Sicherheits-Prozesse angeht, kann es durchaus nützlich sein, den Automatisierungsgrad zu erhöhen. Hat die digitale Personalakte ein Austrittsdatum erhalten, sorgt eine Synchronisation mit der Benutzerverwaltung direkt dafür, dass der Benutzer am nächsten Tag keinen Zugriff mehr hat.

Rollen- und Rechte-Konzept

Eng mit dem Thema Benutzerkonto verknüpft ist die Frage nach dem Rollen- und Rechte-Konzept. Die Anekdote aus vergangener Zeit besagte, “der Mitarbeiter mit den meisten Berechtigungen ist der Azubi, der durch alle Abteilungen rotiert ist”. Das stimmt in den meisten Unternehmen glücklicherweise nicht mehr. Doch nach wie vor ist wichtig, die Berechtigungen von Benutzern an Ihrer Funktion im Unternehmen fest zu machen. Ändert sich etwas an der Stelle, kann sich auch die Funktion ändern. Ein zentrales Management aller Berechtigungen und Zugriffe, auf Daten, Systeme oder Informationen, sorgt dafür, dass diese Konfiguration überhaupt möglich wird.

Grundsätzlich ist es sinnvoll, hier nach Standards zu arbeiten. Das sorgt dafür, dass die Berechtigungsstruktur auch abbildbar ist, wenn man das Software-Produkt wechselt oder weitere Unternehmen zum Unternehmens-Verbund dazu kommen. Die Kompatibilität ist in der Informations-Sicherheit ein hohes Gut.

Informations-Sicherheit ist vielschichtig

  • Systeme
  • Gebäude
  • Menschen
  • Prozesse

Informations-Sicherheit hat mehrere Ebenen, die für eine effektive Sicherheits-Strategie aufeinander abgestimmt sein müssen. Die meisten Prozesse sind IT-gestützt und deshalb liegt es nahe, über Systeme und deren Sicherheit nachzudenken.

Doch der Mensch darf dabei nicht vergessen werden. Nicht nur was die Awareness angeht, sondern auch, was die Bedienbarkeit der Sicherheit angeht. Wenn klar ist, dass nur Mitarbeiter mit einer IT-Security Ausbildung den Sicherheits-Prozess verstehen und anwenden können, geht das an der Zielgruppe und damit am Ziel vorbei.

In jedem Unternehmen spielt auch die Gebäude-Infrastruktur eine Rolle. Wie gut komme ich ohne Geschäftsgrund in ein Gebäude oder gar eine Etage. Kann ich dort Geräte nutzen oder selbst welche anbringen. Werde ich auf dem Flur von Mitarbeitern angesprochen, was ich hier mache, oder darf ich sogar nur unter Aufsicht durchs Gebäude.

Je nach Geschäftszweck wird die Dimension der Gebäude-Sicherheit noch einmal größer, denkt man an die Automatisierungs-Industrie und die kritischen Infrastrukturen. Dort ist bereits der Zutritt zu einem bestimmten Bereich ein Problem oder gar lebensgefährlich. Doch nicht nur Leib und Leben gilt es zu schützen. Auch ein geschulter Blick auf Anlagen oder Pläne können wichtige Details zur eigenen Produktion verraten.

Quelle pixabay.com

Kommunikation ist der Schlüssel

Das Thema Informations-Sicherheit ist auch ein Kommunikations-Thema. Wissen zum richtigen Zeitpunkt an die richtigen Stellen zu verteilen, muss ggfs. geübt werden. Das Fazit nach einem Incident-Responce-Training ist fast immer, dass die Kommunikation noch verbessert werden kann. Zumindest bei den Teilnehmern, die diese Art von Trainings nicht bereits regelmäßig machen und sie auch kein fester Bestandteil der Weiter-Qualifizierung der Kollegen sind.

  • so kurz wie möglich
  • so zielgerichtet wie möglich
  • so verständlich wie möglich
  • so früh wie möglich

Bei der Kommunikation kommt es vor allem darauf an, dass sie wenig Interpretationsspielraum hat, verständlich und leicht konsumiert und weiter kommuniziert werden kann. Am Ende soll die richtige Information verteilt werden und nicht wie bei “stille Post” etwas völlig anders beim letzten Empfänger zu hören sein. Deshalb ist wichtig, auch die Kommunikations-Kanäle zu definieren.

Auf den Notfall vorbereitet sein

Kommunikation ist nicht nur im Normalbetrieb wichtig, sondern wird im Notfall noch wichtiger. Auch, wenn man sich wünscht, niemals einen Vorfall zu haben, ist es sinnvoll, Notfallpläne vorzubereiten. Wer im Notfall auf Checklisten zurückgreift, gewinnt Geschwindigkeit und Ruhe und erhält eine beherrschbarere Notfallsituation.

Weitere Informationen hierzu unter. Der Ernstfall will geübt werden

verschlüsseln aus Gewohnheit

  • Integrität
  • Vertraulichkeit
  • Verfügbarkeit

Die Schutzziele der Informations-Sicherheit sollten etwas sein, worüber der Anwender nicht nachdenken muss. Wenn sich die Informations-Sicherheit nahtlos in die Systeme einfügt, wird sie aus Gewohnheit zum Standard. Weicht etwas von diesem Standard ab, beispielsweise eine unsignierte E-Mail von einem unbekannten Empfänger, sticht das eher ins Auge, als wenn ohnehin nur die Hälfte aller Fälle auf die Sicherheit geachtet wird.

Updates und Lebenszyklus

Viele Admins haben den Microsoft Patch Day fest in Ihren Kalendern verankert. Doch beim Thema Updates geht es nicht darum, möglichst häufig zu aktualisieren, sondern die Sicherheitslücken im Blick zu haben und diese schnellstmöglich zu schließen. Dazu gehört auch, frühzeitige Wechsel zu Betriebssystemen mit einzuplanen, damit ein End of Life des Produkts schon lange abgehakt ist, wenn es schließlich eintrifft. Ein Überblick über die Schwachstellen nebst deren Auswirkung in der Infrastruktur oder auf die Prozesse ist dabei ein sinnvoller Ansatz für die Priorisierung. Es geht nicht darum, jede Schwachstelle zu patchen, sondern darum, das Risiko zu reduzieren. Siehe hierzu auch Umgang mit Software-Updates und Abkündigung seitens Hersteller.

Fazit

IT-Resilienz, also die Widerstandsfähigkeit unserer IT gegenüber internen und externen Angriffen, entsteht vor allem dadurch, dass viele Stellschrauben effektiv ineinandergreifen. Damit der Angreifer nicht durchbrechen kann, ist wichtig, dass einmal etablierte Konzepte durchgängig funktional und nachhaltig gestaltet sind. Mit Konzepten wie Security by Design und dem Einbeziehen von Lieferanten und Dienstleistern in die Sicherheits-Betrachtung innerhalb der kritischen Infrastrukturen wurde bereits einiges getan, um für mehr Sicherheit zu sorgen. Bleiben Sie am Ball!

Vorheriger Beitrag
Handlungsleitfaden zur Umsetzung der Anomalieerkennung
Nächster Beitrag
KI und was sie für die Sicherheit bedeutet

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien