Überspitzt: Das Internet ist böse. Wir haben eine Firewall, die uns vor all dem Bösen schützt. Und seitdem wir sie haben, ist uns nichts passiert, was vermutlich auch so bleiben wird.

Wir alle sind geprägt von Denkmustern und entscheiden oftmals aus der Vergangenheit in die Zukunft, leiten ab, was wir früher gesehen haben. Das hilft uns bei Dingen, die vergleichbar sind, macht uns gleichzeitig aber blind vor Dingen, die es früher nicht gegeben hat.

Sich vor dem Internet und Cyber-Bedrohungen durch gängige Mittel – wie beispielsweise die Firewall – zu schützen, ist sinnvoll. Doch wenn wir eine umfassende Gesamtsicherheit schaffen wollen, dann müssen wir akzeptieren, dass es mehr als nur diesen Angriffsweg gibt.

aufbrechen von Denkmustern

Ein wichtiger Faktor ist das Wissen um die Zusammenhänge der eigenen Infrastruktur. Das schließt nicht nur die On-Premise Infrastruktur (lokale IT) ein, sondern auch die Systeme und Cloud-Service-Dienstleister, die mit den genutzten Systemen in Verbindung stehen. Je genauer wir diese Infrastruktur kennen, desto besser implementieren wir dauerhafte Prozesse zur Sicherung.

Für die Härtung der Systeme bzw. die Verbesserung der Sicherheit ist oftmals ein Perspektivenwechsel sinnvoll. Wir nehmen beispielsweise die Perspektive des Angreifers ein und überlegen uns, im Team (ggfs. mit externer Unterstützung), wie wir mit unserem Wissen einen Angriffsweg gestalten würden.

Ein Aspekt dieser Frage ist, aus welcher Perspektive ein Angriff am ehesten zu erwarten sein dürfte. Wurde in der Vergangenheit bereits ein Informations-Sicherheits-Management-System (ISM) eingeführt, so wurde im ISM Prozess auch über Risiken gesprochen. Diese Risiken können als Grundlage für die Beantwortung dieser Frage dienen. Dieser ersten Überlegung sollte die Frage der eigenen Vektoren folgen, die für das Unternehmen greifen. Cyber-Angriffe sind in aller Munde und sollten berücksichtigt werden. Dennoch schließt das den Innentäter oder andere Wege in die Infrastruktur nicht aus. Ein ausgereiftes Account-Management deckt hier beispielsweise auch die Perspektive der Dienstleister oder temporären externen Mitarbeiter mit ab.

Ein weiterer Aspekt für die Perspektive ist, wem die verarbeiteten Daten gehören. Das Bundesdatenschutzgesetz (BDSG) sowie die europäische Datenschutz-Grundverordnung (EU-DSGVO) motivieren uns, die Perspektive des Betroffenen einzunehmen, dessen Daten wir verarbeiten.

Sind die Vektoren identifiziert, kann ein Planspiel ein erster Schritt für die Identifikation von Angriffswegen sein. Eine weitere Möglichkeit ist, die Infrastruktur auf Aktualität bzw. bekannte Schwachstellen zu untersuchen. Nicht nur die Perspektive des Cyber-Angriffs ist hier interessant, sondern auch die Fragestellung, welche Sprungpunkte es in der Infrastruktur gibt und die Überlegung, welche Auswirkungen eine Korrumpierung dieser Systeme nach sich zieht. Fragestellungen wie diese eignen sich somit ebenso als Ausgangssituation für das Planspiel.

Der nächste Schritt ist die Überlegung, welche Ziele – high value assets – es im Unternehmen gibt. Für diese Überlegung müssen wir unser bisheriges Mindset “wir sind sicher” ablegen und die Tatsache akzeptieren, dass etwas passieren kann. Mögliche Ziele sind nicht nur Daten, also unsere Kronjuwelen im Unternehmen, die unser intellektuelles Wissen im Unternehmen ausmachen. Übergänge innerhalb des Unternehmens oder Schnittstellen zu anderen Unternehmen können ebenfalls eine Perspektive sein. Ggfs. will der Angreifer gar nichts von uns, sondern, es als Einstiegspunkt in ein anderes Unternehmen zu nutzen. Die Störung von Geschäftsprozessen, beispielsweise durch Denial of Service Angriffe (Störung der Verfügbarkeit von Diensten und Systemen) ist ein weiteres, potenzielles Angriffsziel. Ebenfalls zu betrachten ist, in welcher Branche das eigene Unternehmen agiert und welche Relevanz das Unternehmen dort hat. Wir können beispielsweise Teil einer Lieferkette sein, die Störung der Lieferkette (oder ähnlich komplexere Angriffe) sind das mögliche Angriffsziel.

Sind die Ziele definiert, hangeln wir uns vom Angriffspunkt hin zu unseren definierten Zielen. Das kann in Gedanken, als Table Top Spiel oder softwarebasiert, passieren. Sind die kritischen Wege erst identifiziert, geht es darum, die Systeme technisch zu untersuchen und Verwundbarkeiten zu identifizieren. Ebenfalls von Bedeutung ist es, die Security-Prozesse zu untersuchen, ob solche Angriffe identifiziert würden und wenn ja, wie aktuell die Identifikations-Mechanismen sind. Daten aus der Infrastruktur, beispielsweise von Intrusion Detection- (Einbruchs-Erkennung) und Intrusion Prevention-Systemen (Einbruchs-Reaktion) liefern wertvolle Hinweise, die bei der Evaluierung der Landschaft unterstützen. Die Durchführung eines Penetrations-Tests oder eines Schwachstellen-Scans ist ebenfalls denkbar.

Überführung der Erkenntnisse in eine Verbesserung

Sind die Angriffswege sowie das aktuelle Sicherheitsniveau klar, geht es im nächsten Schritt um Maßnahmen zur Verbesserung der Sicherheits-Lage. Hiermit sind nicht nur die technischen Maßnahmen gemeint, sondern auch Strategie und Prozeduren, die zur Widerstandsfähigkeit des Unternehmens und der Geschäftsprozesse beitragen. Beispielsweise kann die Wahrscheinlichkeit für einen Zero Day Exploit schwer bestimmt werden. Dennoch kann der Frage nachgegangen werden, wie mit diesen Schwachstellen umgegangen werden sollte. Jüngste Ereignisse um Log4J haben hier ggfs. bereits Verbesserungspotenziale sichtbar gemacht.

Ein wichtiger Punkt beim Verlassen der bisherigen Denkmuster ist auch, dies regelmäßig zu tun. Die Infrastruktur ist permanenter Veränderung unterworfen. Ein gutes Sicherheitsgefühl heute, kann morgen bereits zu einem erfolgreichen Angriff führen. Es ist daher unbedingt empfehlenswert, einen kontinuierlichen Verbesserungs-Prozess zu etablieren. Idealerweise angelehnt an einen bestehenden Informations-Sicherheits-Standard.