Ganzheitliches Sicherheitsmanagement minimiert Risiken Aussperren alleine reicht nicht aus
9. Juli 2015Durch Trends wie die digitale Revolution, die verstärkte Nutzung von Cloud-basierten IT-Ressourcen und mobilen Endgeräten sowie die Vernetzung kritischer Infrastrukturen wie Energieerzeugungsanlagen fällt es Unternehmen und Organisationen immer schwerer, IT-Systeme und entsprechende Infrastrukturen abzusichern. Erst eine umfassende Risikoanalyse sowie ein darauf aufbauendes IT-Security-Management gelten als Garant dafür, dass Sicherheitslücken geschlossen werden.
Risikoanalyse
Für Unternehmen und öffentliche Einrichtungen sind IT-Systeme, Netzwerke und das Internet unverzichtbare Mittel für die tägliche Arbeit. Doch der Siegeszug dieser Technologien hat auch Hacker, Cyber-Kriminelle, professionelle Datenspione und Geheimdienste auf den Plan gerufen. Viele Unternehmen vertrauen darauf, dass installierte Sicherheitssysteme wie Firewalls oder Intrusion-Prevention-Systeme die vielfältigen Cyber-Attacken verhindern. Doch das ist zu kurz gedacht. Erst eine umfassende Risikoanalyse sowie ein darauf aufbauendes ganzheitliches IT-Security-Management sind der Garant dafür, dass Sicherheitslücken geschlossen werden und geschäftskritische Informationen dort bleiben, wo sie hingehören: im Unternehmen.
Durch Trends wie die digitale Revolution, die verstärkte Nutzung von Cloud-basierten IT-Ressourcen und mobilen Endgeräten sowie die Vernetzung kritischer Infrastrukturen wie Energieerzeugungsanlagen fällt es Unternehmen und Organisationen immer schwerer, IT-Systeme und entsprechende Infrastrukturen abzusichern. Denn zwischen dem Unternehmensnetz und der Außenwelt entstehen immer mehr Übergänge, die sich der Kontrolle der IT-Abteilung entziehen. Unkontrollierte Verbindungen zwischen Bürokommunikationsnetzen und der Prozess-IT (wie Produktionsnetze, Wirknetze) führen in vielen Unternehmen zu IT-Risiken.
Häufig erfolgt der Remote Access auf Firmennetze über potenziell unsichere Netzwerke oder auf unkontrollierter Weise. Als Beispiel sei hier der Zugriff von Wartungsmitarbeitern auf zu wartende Systeme in der Prozess-IT genannt. Weitere Klassiker sind der nicht autorisierte Einsatz von Cloud-Computing-Services, Online-Speicher-Diensten oder von Social-Media-Plattformen und Messaging-Diensten für die Kommunikation mit Kollegen und Partnern. Diese so genannte Schatten-IT kann ein großes Sicherheitsproblem darstellen und birgt hohe finanzielle Risiken, wie auch eine aktuelle Umfrage von Canopy dazu zeigt. Rund die Hälfte der befragten Entscheider gaben an, dass zwischen 5 und 15 Prozent ihres IT-Budgets auf Schatten-IT entfällt. Für 2015 soll dieser Anteil auf über 20 Prozent steigen.
Die IT-Abteilung und die IT-Sicherheitsbeauftragten von Unternehmen sind daher kaum noch in der Lage, den Datenverkehr in das Unternehmensnetz hinein oder in umgekehrter Richtung wirkungsvoll zu überwachen. Die Folge: Sicherheits– und Compliance-Risiken häufen sich und letztlich kann es zum Verlust geschäftskritische Daten kommen – mit den bekannten Folgen wie Image-Schäden, dem Abwandern von Kunden zu Mitbewerbern bis hin zu strafrechtlichen Konsequenzen.
Für technisch versierte Cyber-Angreifer stellen isolierte Schutzmaßnahmen, wie Firewalls, Virenschutz-Software, Security-Gateways oder Intrusion-Prevention-Systeme kein Hindernis dar. Vielmehr ist eine "ganzheitliche" Cyber-Security-Strategie gefordert, die auf einer Analyse der Risiken für jedes einzelne Unternehmen basiert. Sie überprüft die Rolle aller beteiligten Akteure und bringt bereits in der Planungsphase potenzielle Schwachpunkte ans Licht. Dadurch ist es möglich, vorhandene Risiken im Vorfeld zu identifizieren, zu bewerten sowie die richtigen Gegenmaßnahmen zu ergreifen.
Cyber-Security-Framework
Empfehlenswert ist, eine Cyber-Security-Strategie in mehreren Schritten zu entwickeln und umzusetzen. Der erste besteht darin, ein Sicherheits-Framework zu erarbeiten – beginnend mit der Ist-Situationsanalyse der IT-Infrastruktur. Dazu können Sicherheitsstandards wie ISO 27001 oder nationale Sicherheitsregelwerke wie die BSI-IT-Grundschutzkataloge herangezogen werden. Mithilfe dieser Untersuchungen lassen sich schützenswerte Daten, Systeme und andere Werte identifizieren. Auf Basis der Ergebnisse können die Experten anschließend Sicherheitsvorgaben und eine Cyber-Risk-Policy entwickeln und mit den konkreten Geschäftsanforderungen abgleichen.
Zu berücksichtigen sind die unterschiedlichen Anforderungen von Firmen, Behörden und Organisationen in Bezug auf Cyber-Security. Um das passende Sicherheitsniveau zu ermitteln, lassen sich beispielsweise Informationen und Checklisten aus einschlägigen Publikationen wie dem IT-Grundschutzkatalog heranziehen. Allerdings führt diese Vorgehensweise zu einer Mehrbelastung der IT-Abteilung und setzt ein hohes Maß an Know-how im IT-Security-Umfeld voraus.
Nicht zu unterschätzen ist die Berücksichtigung aller maßgeblichen Teilbereiche der Cyber-Security. Zwei Kernelemente einer heutigen Sicherheitsarchitektur sind dabei die Identifizierung und Authentifizierung von Benutzern sowie das zeitnahe Erkennen von Angriffen. Denn eine exakte Unterscheidung zwischen berechtigten und unberechtigten Zugriffen auf die IT-Ressourcen einer Organisation ist essentiell für die Informationssicherheit. Ein effizientes Identity & Access Management (IAM) ist daher ein wichtiger Baustein. Er versetzt das Unternehmen in die Lage, Identitäten und damit verbundene Berechtigungen sicher und geregelt zu erstellen, zu verteilen und zu verwalten. Über ein sicheres Federated IAM erfolgt auch die Kollaboration mit Partnern sicher. Neben der Benutzerverwaltung und Rechtevergabe sollte es den revisionssicheren Nachweis aller Berechtigungen und Berechtigungsvorgänge bieten.
Zu einer Cyber-Security-Architektur gehören weiterhin Maßnahmen, die kontinuierlich Schwachstellen und sicherheitsrelevante Vorfälle (Security Incidents) aufdecken und zum anderen direkte und indirekte Angriffe auf Systeme und Informationen unterbinden. Schwachstellen können IT-Sicherheitsexperten mithilfe von Penetrationstests ermitteln, indem sie in Netze, Systeme und Accounts einzudringen versuchen. Ein weiteres Kernelement ist die zeitnahe Erkennung von Sicherheitsvorfällen in Echtzeit im Kontext der betroffenen Geschäftsprozesse mit Hilfe eines Security Information and Event Management (SIEM) Systems.
Sicherheitsservices vom Spezialisten
Für Unternehmen und Organisationen, die sich auf ihr Kerngeschäft fokussieren möchten und den Aufwand scheuen, der mit dem Aufbau und Betrieb einer komplexen IT-Security-Infrastruktur verbunden ist, gibt es eine weitere Lösung: Cyber-Security in Form eines Managed Security Service. Die Services werden in Rechenzentren des Providers vorgehalten. Ein Security Incident and Event Management (SIEM)-System sorgt dafür, dass alle sicherheitsrelevanten Vorfälle in Echtzeit erfasst werden, ohne die Abläufe in unternehmenskritischen IT-Bereichen zu beeinträchtigen.
Ein weiterer Vorteil eines Managed Security Services besteht darin, dass er alle aktuellen Angriffe und Bedrohungsformen kennt und umgehend Gegenmaßnahmen einleiten kann. Hinzu kommt, dass gemanagte IT-Sicherheitsdienste flexibel mit dem Unternehmen mitwachsen. Das heißt, wenn neue Unternehmensbereiche oder Außenstellen hinzukommen, lässt sich eine solche Lösung problemlos erweitern und skalieren. Speziell für Unternehmen und Organisationen, die durch eine hohe Dynamik geprägt sind, ist daher ein Managed Security Service eine interessante Alternative zu einem "Do-it-yourself"-Ansatz.
Es ist davon auszugehen, dass IT-Umgebungen von Unternehmen und Organisationen künftig noch komplexer und offener werden. So steht beispielsweise Cloud Computing noch am Anfang der Entwicklung. Gleiches gilt für einen anderen Bereich: Governance, Risk und Compliance (GRC). Es ist davon auszugehen, dass Vorschriften noch weiter verschärft werden. Einen Vorgeschmack darauf geben unter anderem Basel III, die Diskussion um ein deutsches IT-Sicherheitsgesetz und die Vorschläge der Europäischen Kommission zur Verschärfung des EU-Datenschutzrechts. Künftig werden Verstöße gegen diese Vorgaben noch drastischer geahndet als bislang. Das betrifft insbesondere den Verlust geschäftskritische Informationen durch Cyber-Angriffe.
Mit einem Patchwork unterschiedlicher IT-Sicherheitssysteme lassen sich die stetig steigenden Anforderungen in Bezug auf Cyber-Security, Compliance und Risikomanagement nicht erfüllen. Notwendig ist ein Umdenken – hin zu einem ganzheitlichen Verständnis von Cyber-Security. Angesichts der immer komplexeren Angriffsformen sollten Unternehmen zudem in Erwägung ziehen, auf die Expertise von Cyber-Security-Experten zurückzugreifen. Denn die hauseigenen IT-Abteilungen stehen modernen IT- Bedrohungsszenarien häufig hilflos gegenüber.
Herbert Blaauw
ist Senior Manager Security bei Atos Deutschland