Herausforderungen des IT-Grundschutzes 

Damit die IT-Sicherheit auch sicher bleibt

IT-Sicherheitsverantwortliche müssen technische Entwicklungen genauso im Auge behalten wie die Anforderungen des «Business». Ein Blick in die strategischen Herausforderungen der Security Prevention.

Text: Andreas Heer,

Über 11’000 neue Sicherheitslücken haben die Security-Spezialisten bei Risk Based Security in ihrer Vulnerability Database (VulnDB) zusammengetragen – alleine fürs erste Halbjahr 2019. Natürlich sagt diese Zahl allein wenig über die Bedrohungslage aus. Aber von diesen Lücken gelten 15 Prozent als kritisch, und für ein Drittel sind Methoden zur Ausnutzung bekannt, sogenannte Exploits. Das zeigt, in welchem explosiven Umfeld sich Sicherheitsverantwortliche von Unternehmen heute bewegen. Latente Bedrohungen und Angriffe sind Alltag – wenn man da von «Alltag» sprechen kann.

Neue Bedrohungen kommen, alte bleiben 

Die getroffenen Sicherheitsmassnahmen von heute können morgen bereits Makulatur sein – oder zumindest ungenügend. Immer mehr Geräte hängen im Netz und bieten nicht nur Mehrkomfort, sondern auch neue Angriffsflächen. Und diese Angriffe werden immer raffinierter. Ein kleiner Auszug des Schreckens aus den letzten Monaten zu Attacken und Lücken, mit denen sich CISO (Chief Information Security Officer) beschäftigen müssen:

 

Googles «Project Zero» hat fünf Sicherheitslücken im iOS-Browser «Safari» veröffentlicht, über die die unbekannten Angreifer praktisch vollständigen Zugriff auf iPhones erlangten. Die Lücke bestand während zweier Jahre und wurde erst mit dem letzten iOS-Update gestopft.

 

Die unter anderem zur Verbreitung von Ransomware eingesetzte Malware Emotet nutzt als Einfallstor Phishing-Mails, die auf einem realen Mail-Austausch der potenziellen Opfer basieren und deshalb schwer erkennbar sind. Der Massenversand von Phishing-Mails erreicht damit eine neue Dimension.

 

Das Microsoft Security Response Center berichtete im August dieses Jahres in einem Blogbeitrag, dass die APT-Gruppe «Fancy Bear» alias APT28 drei bestimmte Netzwerkgeräte als Einfallstor für ihre Angriffe nutze: einen Drucker, ein IP-Telefon und ein Videogerät.

 

Security-Verantwortliche benötigen deshalb nicht nur den Überblick über die gesamte Infrastruktur des Unternehmens. Sondern sie müssen auch laufend abwägen, wie gut ihre Schutzmassnahmen vor neu entdeckten Bedrohungen schützen. Wie gross ist die Gefahr vor Phishing-Angriffen, und reicht der bestehende Schutz? Besteht das Risiko, dass DDoS-Attacken Teile der Infrastruktur lahmlegen, zum Beispiel den Online-Shop? Und sind die unternehmenskritischen Systeme wirklich gegen längst bekannte Lücken gepatcht? Solche Themen verhindern erfolgreich, dass aus dem Alltag eines CISO Routine wird. Die Antworten auf solche Fragen dienen als Basis für Anpassung der IT-Security-Strategie und des Grundschutzes.

Antworten oder die Nadel im Heuhaufen finden 

Fragen wie «Ist unser Unternehmen von Phishing betroffen, und greifen die Schutzmassnahmen?» sind ebenso einfach zu stellen wie schwierig zu beantworten. Denn dafür benötigt der CISO Daten aus verschiedenen Quellen. Vielleicht zeigt das Log der Firewall, dass eine Malware aus dem lokalen Netz ihren Command&Control-Server zu erreichen versuchte. Wem aber der verseuchte Rechner mit der gemeldeten IP-Adresse gehört, steht in einem anderen Log – demjenigen des Authentifizierungsservers.

 

Im Idealfall fliessen diese Informationen in einem zentralen Dashboard zusammen. Ein solches Security Information and Management System (SIEM) oder eine Security-Analytics-Plattform verhelfen zu einem schnellen Überblick über technische Vorkommnisse und findet die Nadel im Heuhaufen der Log-Dateien. Das ist wortwörtlich zentral, um auf sicherheitsrelevante Vorfälle zu reagieren. Aber auch, um die bestehenden Schutzmassnahmen anzupassen.

Geschäftliche und Sicherheitsbedürfnisse in Einklang bringen

Zur technischen Ebene der IT-Security-Massnahmen gesellt sich eine organisatorische. Sie beantwortet die Frage, welche Schutzmassnahmen für welche Systeme nötig sind. Welches sind die Business-kritischen Umgebungen, und in welchen Bereichen liessen sich Ausfälle allenfalls verkraften?

 

Und nicht zuletzt im Hinblick auf regulatorische Vorgaben und Datenschutzgesetze muss der CISO wissen, wo welche Daten gespeichert und verarbeitet werden. Erst aus der Gesamtheit dieser Informationen kann ein Security-Verantwortlicher Handlungsempfehlungen ableiten und strategische Empfehlungen abgeben, die mit der Unternehmensstrategie übereinstimmen. Die IT-Security muss ihre Massnahmen auf die Bedürfnisse des operativen Geschäfts abstimmen, ohne deren Handlungsfähigkeit einzuschränken – ein Spagat.

 

Und spätestens dann, wenn Mitarbeitende aus dem Homeoffice auf Unternehmensanwendungen aus der Cloud zugreifen, zeigt sich noch eine weitere Entwicklung: Der klassische Perimeterschutz, die Schutzmauer um die Unternehmens-IT, ist ein überholtes Konzept im Zeitalter von Cloud und flexiblem Arbeiten. Auch für diese Herausforderungen muss der CISO eine Antwort parat haben.

 

> Erfahren Sie hier mehr über die Cyber-Security-Dienstleistungen von Swisscom



Cyber Security 2019

Erfahren Sie im Cyber Security Report 2019, wie die aktuelle Cyber-Bedrohungslage aussieht und wie sich diese auf die Schweiz auswirkt. Fokusthema im Report: Advanced Persistent Threats (APTs).


Was umfasst der Grundschutz? 

Der Lehrgang zum Computer Information Systems Security Professional (CISSP) definiert sechs Massnahmen für die Security Prevention:

  1. Systeme und Anwendungen aktuell halten
  2. Nicht benötigte Dienste und Protokolle deaktivieren
  3. Systeme für Intrusion Detection and Prevention einsetzen
  4. Antiviren-Software einsetzen und aktuell halten
  5. Netzwerke mit Firewalls schützen
  6. Prozesse definieren für Wartung und Unterhalt der Systeme (Systems Management)


Newsletter

Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?


Mehr zum Thema

   

Managed Network Security (MSS-i)

Der 7x24 Schutz Ihres Unternehmensnetzwerks wird durch Experten aus dem Swisscom Security Operation Center sichergestellt.

Zum Angebot