Gegen die Sicherheitsrisiken im Netzwerk:Business-Impact-Analysen im Dienst der Geschäftsziele
21. November 2018Die Sicherheitsrisiken für das Netzwerk zu identifizieren ist für jedes Unternehmen ein Muss, aber häufig werden die Risiken jedoch so zahlreich sein, dass nicht alle auf einmal beseitigt werden können. Eine Priorisierung wird notwendig. Wenn das IT-Team gemäß der BIA-Methode (Business Impact Analyse) vorgeht, gewinnt es nicht nur einen besseren Überblick über die bestehenden Herausforderungen, sondern auch darüber, wie sich diese auf das Unternehmen auswirken, wenn sie nicht behoben werden. Und letztlich wird das IT-Team mit diesem Ansatz dafür sorgen können, dass die Sicherheitsinfrastruktur ihres Unternehmens die geschäftlichen Erfordernisse strategisch unterstützt und fördert.
Herausforderungen lauern im Unternehmen jeder Ecke: von betrieblichen, finanziellen und strategischen bis hin zu IT- und Sicherheitsrisiken. Zu deren potenziellen Konsequenzen zählen Umsatzverluste, Rechtsstreitigkeiten, Anwendungsausfälle und die Unfähigkeit, für ihre Kunden wichtige Dienstleistungen zu erbringen. Um diesen Problemen entgegenzuwirken, wenden Unternehmen eine Reihe verschiedener Methoden an – von nicht-technischen Ansätzen (zum Beispiel Analysen der Geschäftsrisiken) bis hin zu hoch spezialisierten Praktiken wie Schwachstellen-Scans und Code-Prüfungen.
Diese Lösungen resultieren allerdings meist in einer Flut risikobezogener Daten, dass das Unternehmen nicht mehr in der Lage ist, diese Informationen vollständig zu prüfen, zu bewerten und zu priorisieren. Deshalb greifen viele Unternehmen zur BIA (Business-Impact-Analyse), um die potenziellen Auswirkungen von Zwischenfällen zu ermitteln und einzuschätzen, welche Ausfälle auf ihre kritischen Geschäftsabläufe zukommen. Auf diese Weise können die Risiken anhand ihrer wahrscheinlichen geschäftlichen Konsequenzen priorisiert und adressiert werden.
Zu den gravierendsten Folgen für Unternehmen gehören Störungen der wichtigsten Geschäftsanwendungen – zum Beispiel Applikationen für den E-Commerce, E-Mail oder Beschaffung –, die zu Umsatz- oder Produktivitätseinbußen führen können. Darüber hinaus drohen Reputationsverluste sowie Unterbrechungen in der Kommunikation durch Ausfälle der unternehmenseigenen Webseite und weiteren Informationskanälen.
Deshalb müssen die Netzwerk– und Security-Operations-Teams ihre Maßnahmen an den möglichen Konsequenzen eines Zwischenfalls orientieren. Für sie sollte die Priorität darauf liegen, dass die Anwendungen, Server und Netzwerkinfrastrukturen, die wichtige umsatzgenerierende Geschäftsprozesse unterstützt, vorangetriebene und vor potenziellen Störungen oder Kompromittierungen geschützt werden. Doch wie sollten die IT-Teams dabei vorgehen?
Sicherheitsrisiken für das Netzwerk identifizieren
Zuerst müssen Unternehmen die potenziellen Herausforderungen in ihren Netzwerken ermitteln. Dazu müssen die Verantwortlichen sämtliche Firewalls und Router im Netzwerk identifizieren und anschließend jedes Gerät gründlich untersuchen, einschließlich aller Richtlinien und Regeln, die das Gerät unterstützt. Bei einer manuellen Durchführung ist dies ein sehr zeitaufwendiger Prozess, die Datenströme abzubilden und zu dokumentieren. Mit einer automatisierten Sicherheitsmanagement-Lösung lässt sich das Verfahren enorm beschleunigen.
Sobald ein Abbild und die Dokumentation sämtlicher Richtlinien und Regeln für jedes Gerät vollständig vorliegen, können die Risiken im Netzwerk und in der Sicherheitsinfrastruktur identifiziert werden. Solche Risiken lassen sich allgemein in drei Kategorien einteilen:
- Falsche Gerätekonfigurationen, die durch die Versäumnis der IT-Teams entstehen, jedes Netzwerksicherheitsgerät gemäß den Richtlinien des Herstellers zu konfigurieren.
- Sicherheitsmechanismen, die den Compliance- und regulatorischen Anforderungen an das Unternehmen nicht gerecht werden, sei es in Bezug auf die Fähigkeiten der eingesetzten Lösungen oder zu implementierende Regelsätze.
- Sicherheitsmechanismen, die nicht im Einklang mit den branchenspezifischen Best Practices konfiguriert werden, wie zum Beispiel einer sinnvollen Netzwerksegmentierung.
Anwendung von BIA-Prinzipien
Nachdem die Risiken in der Netzwerkinfrastruktur identifiziert wurden, kann das Unternehmen damit beginnen, sie nach den Gesichtspunkten der BIA-Methode zu reduzieren. Im Kern geht es dabei darum, festzustellen, welche der betroffenen Prozesse für die Geschäftsabläufe kritisch sind. Wenn eine Übersicht sämtlicher Firewall-Geräte, Richtlinien und Regeln erstellt wird, kann anschließend eine Darstellung aller Anwendungen im Netzwerk und ihrer Verbindungsflüsse damit verglichen werden.
Daran erkennen die Teams, wie diese Datenflüsse mit den Geschäftsprozessen zusammenhängen und sie unterstützen. Das Wichtigste daran ist: Sie können feststellen, welche Prozesse für kritische Geschäftsfunktionen unverzichtbar sind.
Im Rahmen dieser Maßnahme muss das IT-Team mit den Abteilungen in allen Geschäftsbereichen reden, um zu ermitteln, welche Prozesse und Anwendungen sie nutzen und welche davon kritisch für den Geschäftsbetrieb sind. Anschließend kann das Team alle Prozesse und Anwendungen anhand der verschiedenen BIA-Parameter klassifizieren, wie Umsatzeinbußen oder eine Beeinträchtigung des Kundendienstes. Falls der BIA-Ansatz von einer anderen Abteilung bereits angewandt wird, wurden Geschäftsprozesse und ihre entsprechenden Anwendungen schon klassifiziert. Hierdurch lassen sich Zeit und Geld sparen und den Vorgang in dieser Phase vereinfachen.
Zuletzt kann das IT-Team dann die Sicherheitsrisiken für das Netzwerk anhand ihrer Auswirkungen auf geschäftskritische Anwendungen priorisieren und ihre Sicherheitsmaßnahmen entsprechend aufstellen.
Robert Blank ist Regional Sales Manager für den Bereich DACH bei AlgoSec.
Hier geht es zu Algosec