Mehr Si­cher­heit durch Trans­pa­renz

IT-Si­cher­heit ist und bleibt ein Dau­er­bren­ner in den IT-Ab­tei­lun­gen und für je­den Mit­ar­bei­ter in den Fach­be­rei­chen. Wie Sie Si­cher­heit pro­ak­tiv an­ge­hen und Ih­ren Se­cu­ri­ty-Fo­kus neu de­fi­nie­ren.

Computerwoche - - Inhalt - Von Mat­thi­as Za­cher, Se­ni­or Con­sul­tant bei IDC

His­to­risch ge­wach­se­ne he­te­ro­ge­ne Se­cu­ri­ty­Land­schaf­ten be­hin­dern oft die Si­cher­heit. Trans­pa­renz ist der ers­te Schritt zur Bes­se­rung.

Ei­ne kürz­lich von IDC un­ter 230 Un­ter­neh­men um­ge­setz­te Be­fra­gung be­legt, wie kri­tisch die IT-Si­cher­heits­la­ge in Deutsch­land ist. Zwei Drit­tel der be­frag­ten Or­ga­ni­sa­tio­nen ge­ben an, Si­cher­heits­vor­fäl­le ver­zeich­net zu ha­ben. Am häu­figs­ten wa­ren PCs und Note­books (34 Pro­zent), Net­ze (31 Pro­zent) so­wie Smart­pho­nes und Ta­blets (30 Pro­zent) be­trof­fen. Das ist in­so­fern kri­tisch, als die­se Ge­rä­te ein Ein­falls­tor in die Re­chen­zen­tren sind.

Aber auch Re­chen­zen­tren (29 Pro­zent) und Ser­ver (28 Pro­zent) wa­ren An­griffs­zie­le, eben­so Dru­cker, Sen­so­ren und IoT-Um­ge­bun­gen – wenn auch nicht so oft. Je­de IP-Adres­se bie­tet ei­ne An­griffs­flä­che, je­der Mit­ar­bei­ter ist ein po­ten­zi­el­les An­griffs­ziel, der Pfört­ner genau­so wie der Vor­stands­vor­sit­zen­de. Zeit al­so für ei­nen ganz­heit­li­chen stra­te­gi­schen Si­cher­heits­an­satz.

Schwach­stel­le Mit­ar­bei­ter

Vie­le Un­ter­neh­men ha­ben es bis­lang nicht ge­schafft, das Si­cher­heits­ri­si­ko, das von den ei­ge­nen Mit­ar­bei­tern aus­geht, in den Griff zu be­kom­men. Fehl­ver­hal­ten oder man­geln­de Awa­ren­ess, et­wa durch fal­sche Re­ak­tio­nen auf Phis­hing-Mails, Down­loads un­si­che­rer Apps oder Ge­rä­te­ver­lus­te, ha­ben An­grei­fern auch in den letz­ten Mo­na­ten Tür und Tor zu den Fir­men­da­ten ge­öff­net. So über­rascht es nicht, dass das Fehl­ver­hal­ten der An­wen­der (37 Pro­zent) so­wie un­zu­rei­chend ge­si­cher­te End­points (34 Pro­zent) die bei­den am häu­figs­ten ge­nann- ten Si­cher­heits­ri­si­ken sind – noch vor den Ak­ti­vi­tä­ten von Cy­ber-Kri­mi­nel­len.

In vie­len Un­ter­neh­men tref­fen wir auf his­to­risch ge­wach­se­ne IT-Se­cu­ri­ty-Land­schaf­ten mit manch­mal 50 bis 80 un­ter­schied­li­chen Lö­sun­gen – als On-Pre­mi­se-Soft­ware, Ap­p­li­an­ce, Se­cu­ri­ty as a Ser­vice oder Ma­na­ged Se­cu­ri­ty Ser­vice. Ei­ne Über­sicht über al­le Lö­sun­gen, die fast im­mer in den klas­si­schen Se­cu­ri­ty-Si­los End­point-, Mes­sa­ging-, Net­work- und We­bSe­cu­ri­ty an­zu­tref­fen sind, fehlt häu­fig. Ei­ne sol­che Trans­pa­renz wä­re aber ein ers­ter Schritt in Rich­tung grö­ße­re IT-Si­cher­heit.

De­tect and Re­spond statt Prevent and Pro­tect

Gleich­zei­tig soll­ten IT-Ver­ant­wort­li­che klä­ren, ob und wie gut ihr Cy­ber-Se­cu­ri­ty-Ri­si­ko-Ma­nage­ment bei­spiels­wei­se nach den Maß­stä­ben des US-ame­ri­ka­ni­schen Na­tio­nal In­sti­tu­te of Stan­dards and Tech­no­lo­gy (NIST) die fünf Punk­te Iden­ti­fy – Pro­tect – De­tect – Re­spond – Re­co­ver ab­deckt. Die Stu­die zeigt, dass we­ni­ger als die Hälf­te der Un­ter­neh­men den Schritt der Neu­be­wer­tung vom bis­her do­mi­nie­ren­den „Prevent und Pro­tect“, al­so ei­ner eher re­ak­tiv ori­en­tier­ten Si­cher­heits­land­schaft, hin zu „De­tect and Re­spond“ge­gan­gen ist. Letz­te­res ver­folgt das Ziel ei­ner kon­ti­nu­ier­li­chen Über­wa­chung in Echt­zeit und ge­eig­ne­te Maß­nah­men als Re­ak­ti­on auf Auf­fäl­lig­kei­ten im Sys­tem.

Es reicht nicht mehr aus, nur die zen­tra­le ITOr­ga­ni­sa­ti­on im Blick zu ha­ben, genau­so wich­tig sind die Fach­be­rei­che. Sie schaf­fen heu­te in al­ler Re­gel in Ei­gen­ver­ant­wor­tung Soft­ware und Hard­ware an oder nut­zen Cloud-Ser­vices. Da­bei kommt es oft zu Ver­let­zun­gen der Com­p­li­an­ce – weil die ent­spre­chen­den Re­geln nicht be­kannt sind oder igno­riert wer­den. Auch Dru­cker die­nen An­grei­fern im­mer häu­fi­ger als Ein­falls­to­re. Zwar ist in den meis­ten Un­ter­neh­men ein Ba­sis­schutz der End­ge­rä­te vor­han­den, ei­ne um­fas­sen­de Be­trach­tung des Schut­zes über den ge­sam­ten Lifecy­cle von PCs, Dru­ckern und Mul­ti­funk­ti­ons­ge­rä­ten fehlt aber häu­fig.

IT-Se­cu­ri­ty-Lö­sun­gen, -Tech­no­lo­gi­en und -Ser­vices ent­fal­ten ih­re Wir­kung nur in­ner­halb um­fas­sen­der Kon­zep­te. An­wen­der sol­ten sich da­bei an den gän­gi­gen Best Prac­tices und Si­cher­heits-Frame­works des NIST, der Eu­ro­päi­schen Agen­tur für Netz- und In­for­ma­ti­ons­si­cher­heit (ENISA) oder des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) ori­en­tie­ren. Die­se soll­ten in so vie­len Se­cu­ri­ty Do­mains wie mög­lich um­ge­setzt wer­den – auch wenn das auf­wen­dig ist.

Vie­le IT-Se­cu­ri­ty-Ver­ant­wort­li­che klas­si­fi­zie­ren für neue Lö­sun­gen und Initia­ti­ven das Ri­si­ko, än­dern im wei­te­ren Lifecy­cle aber nichts mehr. IDC emp­fiehlt drin­gend, ein­mal jähr­lich ei­ne Ri­si­ko­be­wer­tung und Klas­si­fi­zie­rung der IT vor­zu­neh­men, auch wenn das Geld kos­tet.

Es fällt im­mer wie­der auf, dass Un­ter­neh­men nach An­griffs­wel­len wie durch Wan­naC­ry oder Pe­tya hek­tisch und ak­tio­nis­tisch re­agie­ren, Bud­gets wer­den kurz­fris­tig be­reit­ge­stellt. Die Be­trie­be könn­ten sol­chen Atta­cken ge­las­se­ner ent­ge­gen­se­hen, wenn sie sich be­reits im Vor­feld mit bei­spiels­wei­se Back­up- und Re­co­ver­yLö­sun­gen auf sol­che An­grif­fe vor­be­rei­te­ten. Nach Ein­schät­zung von IDC ist die Be­reit­schaft, stra­te­gisch in Se­cu­ri­ty zu in­ves­tie­ren, noch nicht aus­rei­chend ent­wi­ckelt. Wir emp­feh­len den IT-Ver­ant­wort­li­chen, ge­mein­sam mit der Ge­schäfts­füh­rung und den Fach­be­rei­chen an ei­ner Lö­sung zu ar­bei­ten.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.