Herausforderungen des IT-Grundschutzes

Damit die IT-Sicherheit auch sicher bleibt

IT-Sicherheitsverantwortliche müssen technische Entwicklungen genauso im Auge behalten wie die Anforderungen des «Business». Eine Aufgabe, die in der aktuellen Zeit nicht einfacher geworden ist. Ein Blick auf die strategischen Herausforderungen der Security-Prävention.

Text: Andreas Heer, erstmals publiziert am 13. September 2019, aktualisiert am

Einen deutlichen Rückgang an neuen Sicherheitslücken stellten die Spezialisten bei Risk Based Security anfangs des Jahres 2020 fest. Und damit ein tieferes Potenzial für neue Exploits, um die sich IT-Sicherheitsverantwortliche hätten kümmern müssen. 2020 startete verheissungsvoll. Und kehrte sich innert weniger Monate ins Gegenteil. Die Corona-Krise und vermehrtes Arbeiten im Homeoffice sorgten für eine massive Zunahme an Cyberattacken. Ziel waren die Geschäfts-Notebooks und privaten Geräte der Mitarbeitenden im Homeoffice, deren Internet-Zugänge und privaten WLANs oftmals schlechter gesichert sind als die lokalen Firmennetze.

Security-Prävention verhindert Routine im Alltag

Während die Strassen und Züge leerer wurden, füllten sich die Leitungen mit Phishing-Mails: Angebliche Corona-Informationen von ebenso gefälschten offiziellen Absendern, Mails mit Links zu gefälschten Corona-Maps im Internet und angebliche Mitteilungen der jetzt boomenden Chat- und Online-Meeting-Tools.

 

Und da gab es auch noch alte Bekannte. Die Ransomware-as-a-Service REvil alias Sodinokibi tauchte im April 2019 das erste Mal auf und war 2020 gemäss verschiedener Quellen für rund einen Drittel aller Ransomware-Attacken verantwortlich. Das Perfide an dieser Malware: Sie verschlüsselt nicht nur Daten auf den befallenen Systemen, sondern stiehlt diese Informationen auch. Das heisst, selbst wenn ein Unternehmen dank Disaster-Recovery-Strategie ohne Lösegeldzahlung davon kam, musste es immer noch mit einem Datendiebstahl rechnen. Und während draussen die Krokusse sprossen, brüteten drinnen die CISO über der Risikoanalyse.

 

Homeoffice an sich mag etabliert sein und die entsprechenden Präventionsmassnahmen getroffen. Doch skalieren diese gut genug, wenn plötzlich ein Grossteil der Mitarbeitenden zu Hause arbeitet? Reichen Bandbreite und Ressourcen der VPN- und RDP-Zugänge? Was ist mit Updates der Geschäfts-Notebooks? Und müssen die Mitarbeitenden angesichts der Phishing-Welle vermehrt für die Gefahren sensibilisiert werden?

 

Security-Verantwortliche müssen laufend überprüfen, wie gut ihre Schutzmassnahmen auf die aktuelle Situation angepasst sind. Die Corona-Krise, aber auch immer ausgeklügeltere Attacken verhindern erfolgreich, dass aus dem Alltag eines CISO Routine wird. Die Antworten auf solche Fragen – ein Bestandteil des Risikomanagements – dienen als Basis für Anpassung der IT-Security-Strategie und des Grundschutzes.

Antworten oder die Nadel im Heuhaufen finden

Fragen wie «Ist unser Unternehmen von Phishing betroffen, und greifen die Schutzmassnahmen?» sind ebenso einfach zu stellen wie schwierig zu beantworten. Denn dafür benötigt der CISO Daten aus verschiedenen Quellen. Vielleicht zeigt das Log der Firewall, dass eine Malware aus dem lokalen Netz ihren Command & Control-Server zu erreichen versuchte. Wem aber der verseuchte Rechner mit der gemeldeten IP-Adresse gehört, steht in einem anderen Log – demjenigen des Authentifizierungsservers.

 

Im Idealfall fliessen diese Informationen in einem zentralen Dashboard zusammen. Ein solches Security Information and Event Monitoring (SIEM) oder eine Security-Analytics-Plattform verhelfen zu einem schnellen Überblick über technische Vorkommnisse und findet die Nadel im Heuhaufen der Log-Dateien. Das ist wortwörtlich zentral, um auf sicherheitsrelevante Vorfälle zu reagieren. Aber auch, um die bestehenden Schutzmassnahmen anzupassen.

Geschäftliche und Sicherheitsbedürfnisse in Einklang bringen

Zur technischen Ebene der IT-Security-Massnahmen gesellt sich eine organisatorische. Sie beantwortet die Frage nach dem benötigten Sicherheitsstand (security posture) der einzelnen Systeme. Welches sind die Business-kritischen Umgebungen, und in welchen Bereichen liessen sich Ausfälle allenfalls verkraften?

 

Und nicht zuletzt im Hinblick auf regulatorische Vorgaben und Datenschutzgesetze muss der CISO wissen, wo welche Daten gespeichert und verarbeitet werden. Erst aus der Gesamtheit dieser Informationen kann ein Security-Verantwortlicher Handlungsempfehlungen ableiten und strategische Empfehlungen abgeben, die mit der Unternehmensstrategie übereinstimmen. Die IT-Security muss ihre Massnahmen auf die Bedürfnisse des operativen Geschäfts abstimmen, ohne deren Handlungsfähigkeit einzuschränken – ein Spagat.

 

Und spätestens dann, wenn Mitarbeitende wie jetzt gerade aus dem Homeoffice auf Unternehmensanwendungen aus der Cloud zugreifen, zeigt sich noch eine weitere Entwicklung: Der klassische Perimeterschutz, die Schutzmauer um die Unternehmens-IT, ist ein überholtes Konzept im Zeitalter von Cloud und flexiblem Arbeiten. Auch für diese Herausforderungen muss der CISO eine Antwort parat haben.



Security-Prävention

Prävention ist das Fundament im Schutz vor Cyberangriffen. Sind Ihre Grundschutzmassnahmen auf dem aktuellsten Stand? Stellen Sie die richtigen Fragen an Ihre Infrastuktur.

 

> Zum Whitepaper


Was umfasst der Grundschutz? 

Der Lehrgang zum Computer Information Systems Security Professional (CISSP) definiert sechs Massnahmen für die Security-Prävention:

  1. Systeme und Anwendungen aktuell halten
  2. Nicht benötigte Dienste und Protokolle deaktivieren
  3. Systeme für Intrusion Detection and Prevention einsetzen
  4. Antiviren-Software einsetzen und aktuell halten
  5. Netzwerke mit Firewalls schützen
  6. Prozesse definieren für Wartung und Unterhalt der Systeme (Systems Management)


Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?


Mehr zum Thema