Mehr Sicherheit durch Transparenz
IT-Sicherheit ist und bleibt ein Dauerbrenner in den IT-Abteilungen und für jeden Mitarbeiter in den Fachbereichen. Wie Sie Sicherheit proaktiv angehen und Ihren Security-Fokus neu definieren.
Historisch gewachsene heterogene SecurityLandschaften behindern oft die Sicherheit. Transparenz ist der erste Schritt zur Besserung.
Eine kürzlich von IDC unter 230 Unternehmen umgesetzte Befragung belegt, wie kritisch die IT-Sicherheitslage in Deutschland ist. Zwei Drittel der befragten Organisationen geben an, Sicherheitsvorfälle verzeichnet zu haben. Am häufigsten waren PCs und Notebooks (34 Prozent), Netze (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Das ist insofern kritisch, als diese Geräte ein Einfallstor in die Rechenzentren sind.
Aber auch Rechenzentren (29 Prozent) und Server (28 Prozent) waren Angriffsziele, ebenso Drucker, Sensoren und IoT-Umgebungen – wenn auch nicht so oft. Jede IP-Adresse bietet eine Angriffsfläche, jeder Mitarbeiter ist ein potenzielles Angriffsziel, der Pförtner genauso wie der Vorstandsvorsitzende. Zeit also für einen ganzheitlichen strategischen Sicherheitsansatz.
Schwachstelle Mitarbeiter
Viele Unternehmen haben es bislang nicht geschafft, das Sicherheitsrisiko, das von den eigenen Mitarbeitern ausgeht, in den Griff zu bekommen. Fehlverhalten oder mangelnde Awareness, etwa durch falsche Reaktionen auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste, haben Angreifern auch in den letzten Monaten Tür und Tor zu den Firmendaten geöffnet. So überrascht es nicht, dass das Fehlverhalten der Anwender (37 Prozent) sowie unzureichend gesicherte Endpoints (34 Prozent) die beiden am häufigsten genann- ten Sicherheitsrisiken sind – noch vor den Aktivitäten von Cyber-Kriminellen.
In vielen Unternehmen treffen wir auf historisch gewachsene IT-Security-Landschaften mit manchmal 50 bis 80 unterschiedlichen Lösungen – als On-Premise-Software, Appliance, Security as a Service oder Managed Security Service. Eine Übersicht über alle Lösungen, die fast immer in den klassischen Security-Silos Endpoint-, Messaging-, Network- und WebSecurity anzutreffen sind, fehlt häufig. Eine solche Transparenz wäre aber ein erster Schritt in Richtung größere IT-Sicherheit.
Detect and Respond statt Prevent and Protect
Gleichzeitig sollten IT-Verantwortliche klären, ob und wie gut ihr Cyber-Security-Risiko-Management beispielsweise nach den Maßstäben des US-amerikanischen National Institute of Standards and Technology (NIST) die fünf Punkte Identify – Protect – Detect – Respond – Recover abdeckt. Die Studie zeigt, dass weniger als die Hälfte der Unternehmen den Schritt der Neubewertung vom bisher dominierenden „Prevent und Protect“, also einer eher reaktiv orientierten Sicherheitslandschaft, hin zu „Detect and Respond“gegangen ist. Letzteres verfolgt das Ziel einer kontinuierlichen Überwachung in Echtzeit und geeignete Maßnahmen als Reaktion auf Auffälligkeiten im System.
Es reicht nicht mehr aus, nur die zentrale ITOrganisation im Blick zu haben, genauso wichtig sind die Fachbereiche. Sie schaffen heute in aller Regel in Eigenverantwortung Software und Hardware an oder nutzen Cloud-Services. Dabei kommt es oft zu Verletzungen der Compliance – weil die entsprechenden Regeln nicht bekannt sind oder ignoriert werden. Auch Drucker dienen Angreifern immer häufiger als Einfallstore. Zwar ist in den meisten Unternehmen ein Basisschutz der Endgeräte vorhanden, eine umfassende Betrachtung des Schutzes über den gesamten Lifecycle von PCs, Druckern und Multifunktionsgeräten fehlt aber häufig.
IT-Security-Lösungen, -Technologien und -Services entfalten ihre Wirkung nur innerhalb umfassender Konzepte. Anwender solten sich dabei an den gängigen Best Practices und Sicherheits-Frameworks des NIST, der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) oder des Bundesamts für Sicherheit in der Informationstechnik (BSI) orientieren. Diese sollten in so vielen Security Domains wie möglich umgesetzt werden – auch wenn das aufwendig ist.
Viele IT-Security-Verantwortliche klassifizieren für neue Lösungen und Initiativen das Risiko, ändern im weiteren Lifecycle aber nichts mehr. IDC empfiehlt dringend, einmal jährlich eine Risikobewertung und Klassifizierung der IT vorzunehmen, auch wenn das Geld kostet.
Es fällt immer wieder auf, dass Unternehmen nach Angriffswellen wie durch WannaCry oder Petya hektisch und aktionistisch reagieren, Budgets werden kurzfristig bereitgestellt. Die Betriebe könnten solchen Attacken gelassener entgegensehen, wenn sie sich bereits im Vorfeld mit beispielsweise Backup- und RecoveryLösungen auf solche Angriffe vorbereiteten. Nach Einschätzung von IDC ist die Bereitschaft, strategisch in Security zu investieren, noch nicht ausreichend entwickelt. Wir empfehlen den IT-Verantwortlichen, gemeinsam mit der Geschäftsführung und den Fachbereichen an einer Lösung zu arbeiten.