In diesem Fachbeitrag betrachten wir die Themen und Arbeitsschritte eines Unternehmens, das bei Null beginnt und zu einem Maximum an Cybersecurity gelangen will.
Es ist wichtig zu verstehen, dass Cybersecurity zuerst eine Einstellung des Menschen ist und erst danach der Technik. Dass Sie diesen Beitrag lesen, heißt bereits, dass Sie diese erste Vorbedingung erfüllen. Das zeigt sich bereits bei der ersten Station, der Baseline.
Der nächste Aspekt ist, dass man nie etwas vollständig wissen kann. Das Themenfeld Cybersecurity ist schnelllebig und es ändert sich ständig etwas. Sowohl für Verteidiger, als auch für Angreifer. Genau deswegen gibt es keine absolute Sicherheit. Dennoch darf man sich nicht bei Cybersecurity auf das verlassen, was man zu wissen glaubt. Es gibt Fragen, die das Wissen um die eigene Sicherheit überprüfen können.
Dazu gibt es auch einen Fachbeitrag von uns: Glaube oder Gewissheit?
Um die eigene Cybersecurity voranzubringen, ist es wichtig, als Erstes eine Bestandsaufnahme zu machen. Wie viel Budget hat man zur Verfügung? Was hat man bereits angefangen oder investiert? Wo gab es Probleme bei früheren Umsetzungen?
All diese Fragen sind wichtig, um sie für sich selbst zu klären. In diesem Beitrag werden Ihnen einige davon begegnen.
Das Fundament basiert auf dem menschlichen Faktor: Interesse. Es muss der Wille vorhanden sein, auch wenn man meint, es wäre schwer zugänglich oder unverständlich. Wenn diese Basis nicht vorhanden ist, sind alle weiteren Vorhaben weitaus weniger effizient.
Ja, es ist relevant gute Passwörter zu verwenden. Doch warum "gute" und nicht "sichere"? Das liegt daran, dass in den letzten Jahren eine falsche Botschaft vermittelt wurde. Die kompliziertesten Passwörter bringen nichts, wenn sie niemand einsetzen will.
Deswegen ist es wichtig, gute Passwörter zu verwenden. Das heißt sie sind merkbar und lang. Das Interesse muss von selbst entstehen. Das bringen merkbare Passwörter mehr als komplizierte Vorgaben.
Noch besser sind Passwort-Manager. Sie ermöglichen jedem Nutzer, mit einem einzigen guten Passwort, alle anderen zu sichern. Deshalb kann man auch für jedes Account ein anderes Passwort einsetzen, was die Sicherheit insgesamt erhöht.
Einer der Gründe, warum gute Passwörter verwendet werden, liegt am Verständnis dafür. Genauso muss ein Verständnis für mögliche Scams und Phishing-Angriffe vorhanden sein.
Es bringt nichts, hier regelmäßige Schulungen in Form von Power-Point-Präsentationen durchzuklicken. Es muss akzeptiert und im Alltag gelebt werden, was nur über die menschliche Einstellung geschieht.
Ach ja – wie oft haben wir schon diese vermeintlich nervigen Sicherheitsupdates weggeklickt? Erst passt der eine Moment nicht, dann wird es zur Gewohnheit denselben Button zu drücken. Dabei sind Sie notwendig, um neu bekannt gewordene Sicherheitslücken zu schließen.
Natürlich ist nicht jedes Update gleich wichtig, doch wenn kein Interesse besteht die kleineren, weniger wichtigen, einzuspielen, dann wird man auch ein wichtiges vergessen. Das sollte nicht zur Regelmäßigkeit werden, deswegen immer frühzeitig Updates einspielen. So verhindert man die ersten und simpelsten Angriffe.
Sobald die Cybersecurity weiter erhöht werden soll, ist der nächste logische Schritt die Absicherung von Angriffen aus dem Internet. Es ist viel wahrscheinlicher, dass jemand versucht, Daten eines Webservers aufzurufen, als in Ihr Büro einzubrechen.
Dabei möchten wir für KMUs folgendes anmerken: Sie müssen so sicher sein, dass Angreifer nach kurzer Zeit das Interesse verlieren und weiterziehen. Sie brauchen keinen Hochsicherheitstrakt, sondern ein solides Mauerwerk mit vernünftigen Schlössern bei Tür und Fenster. Und das ist genau die Absicherung der Internetpräsenz.
Um die eigenen Systeme absichern zu können, ist es notwendig, alle zu kennen. Gerade bei länger existierenden Infrastrukturen können einzelne Systeme schnell in Vergessenheit geraten. Deswegen ist eine gute Assetverwaltung auch für die Cybersecurity relevant.
Eine Möglichkeit, das Auffinden der eigenen Assets durch externes Personal zu unterstützen, ist mit OSINT, Open-Source-Intelligence. Dabei werden öffentliche Daten verwendet, um alles ausfindig zu machen, was über ein Unternehmen gefunden werden kann.
Viele Angreifer wählen ihre Ziele danach aus, wo schwerwiegende und leicht auffindbare Schwachstellen vorhanden sind. Diese Schwachstellen können sowohl die Angreifer als auch wir mithilfe sogenannter Vulnerability-Scanner finden.
Deswegen sollte zur Absicherung der Internetpräsenz auf alle Systeme, die im Internet stehen, regelmäßig eine automatisierte Schwachstellenanalyse durchgeführt werden. Welches Produkt verwendet wird, ist zunächst weniger entscheidend als die Tatsache, dass überhaupt ein Scan stattfindet.
Nachdem alle Assets bekannt und die schwerwiegendsten Schwachstellen behoben sind, müssen die Folgeschritte genauer angepasst werden. Dafür ist es wichtig zu wissen, wo das größte Risiko bei einem Angriff liegt.
Man sollte immer das Risiko als Produkt von Wahrscheinlichkeit und Auswirkung sehen. Eine technische Schwachstelle kann noch so hoch sein, wenn die entstehenden Probleme keinen nennenswerten Schaden anrichten, so ist es nicht ein kritisches Risiko. Das wird häufig vernachlässigt und dadurch Geld in die Verteidigung von Bereichen investiert, die nicht schützenswert sind.
Deswegen definieren Sie, was wirklich schützenswert ist und verwenden dann Ihre Ressourcen, um dort die Cybersecurity zu erhöhen.
Die meisten wissen, dass nur minimale Berechtigungen vergeben werden sollten. Ob es tatsächlich gelebt wird, ist wieder etwas anderes. Inbesondere Geschäftsführer möchten für einen Notfall alle Berechtigungen besitzen. Daher wäre es besser, wenn für die Notfälle ein separater, stark geschützter Account vorhanden ist, statt mit dem alltäglichen Benutzeraccount alle Berechtigungen zu besitzen.
Was oft bei Least-Privilege vergessen wird, ist der Fokus auf die relevanten Gruppen. Das sind genau die Personen, die den meisten Kontakt nach außen haben. Das sind üblicherweise Vertrieb, HR und Support. Dort sollte viel mehr auf Restriktionen der Berechtigungen geachtet werden, als beispielsweise in der internen Softwareentwicklung.
Ein gut gewählter Fokus, um die Berechtigungen zu minimieren, kann den entscheidenden ersten Schritt vereinfachen. Und auch hier wieder mit dem Blick auf das Risiko.
Wir sehen häufig blindes Vertrauen in die eigenen IT-Dienstleister. Es wurde nie über Cybersecurity allgemein und damit auch nicht über die Situation gesprochen, wenn mal ein Angriff stattgefunden hat. Genau darüber sollte deutlich häufiger gesprochen werden. Ein kurzes Gespräch kann schon viele Aufschlüsse geben, wie der Dienstleister dazu steht.
Noch besser ist es, wenn das alles vertraglich festgehalten wird. Was, wenn ein Dienstleister kompromittiert wurde? Was, wenn meine Systeme nicht funktionieren, weil der Dienstleister angegriffen wurde? Was, wenn meine Kundendaten über den Dienstleister preisgegeben wurden?
Das sind Beispiele zu den Fragen und Gedanken, die man sich machen sollte, bevor man eine Dienstleistung in Anspruch nimmt.
Nachdem das Personal sich mit Cybersecurity auseinander gesetzt hat und der Großteil der Systeme aus dem Internet abgesichert sind, steht der Schutz des Intranets an.
Leider müssen wir davon ausgehen, dass irgendwann ein Angreifer Zugang zu einem internen System erlangt. Dann sind die Schutzmaßnahmen, die hier besprochen werden, relevant.
Beim Themenpunkt Internet hatten wir über Vulnerability-Scanner gesprochen. Wenn die Cybersecurity weiter erhöht werden soll, reicht das alleine nicht aus.
Es sollte ein vollständiges Patch- und Schwachstellenmanagement implementiert werden, das um weitere entscheidende Daten ergänzt wird. Zu den wichtigsten Informationen gehören die aktuellen Softwarestände und noch besser die Schwachstellen, die durch veraltete Versionsstände entstehen.
Damit meinen wir hier alle Arten der Überprüfungen der Cybersecurity. Welche Arten von "Pentests" es gibt, ist in diesem Fachbeitrag genauer beschrieben: Pentest, Vulnscan, Red-Team? Was ist was?
Ein Pentest der externen Systeme jährlich, der internen Systeme alle zwei Jahre und die wichtigen Applikationen vor jedem Major Release: das sind Anhaltspunkte für ein Konzept der regelmäßigen Überprüfung.
Ein kritischer Themenpunkt der internen IT-Infrastruktur sind historisch gewachsene Systeme. Besonders jahrzehntelang existierende Systeme oder Mitarbeiter mit internen Wechsel haben mehr oder falsch gesetzte Berechtigungen.
Das kann sowohl Software als auch Hardware betreffen. Darum ist es bei der Assetverwaltung auch relevant, lang existierende Einträge immer wieder unter die Lupe zu nehmen. Es muss nicht dafür jedes ältere System komplett neu aufgesetzt werden, sondern regelmäßig überprüft werden, ob es noch immer auf aktuellem Stand der Technik gehört.
Die erste Verteidigungsmaßnahme sind Systeme, mit denen Angriffe detektiert werden können. Diese sind in IPS (Intrusion Prevention System), welche automatisiert Zugriffe blocken, und IDS (Intrusion Detection System), welche Angriffe nur detektieren, zu unterscheiden.
Die Implementierung solcher Tools, als auch eines guten Monitoring- & Logging-Systems, ist notwendig, um aktiv gegen Angriffe vorgehen zu können. Doch ohne passendes Personal, nutzt jegliche Software nur minimal, weswegen wir zum nächsten Punkt kommen.
Das SIEM (Security Information and Event Management) oder SOC (Security Operations Center) sind beides die ersten Schritte in der aktiven Verteidigung. Vereinfacht ausgedrückt, ist ein SIEM mehr für die Datenanalyse und Anomalieerkennung und ein SOC mehr für die Überwachung und Reaktion. Hier wollen wir das alles zusammenfassen, weil es um das passende Personal der IT-Sicherheit geht.
Der Aufbau der Verteidigung benötigt gutes Personal. Die Komplexität der Aufgaben steigt schnell und führt dazu, dass stark spezialisiertes Personal benötigt wird. Die restlichen Aufgaben, die bislang genannt wurden können IT-Administratoren und Informationssicherheitsbeauftragte größtenteils abfangen. Ab hier müssen IT-Sicherheitspezialisten die Aufgaben übernehmen.
Damit ist das der erste Themenpunkt, bei dem die ersten größeren Kosten anfallen. Personal, das sich um nichts anderes als Cybersecurity kümmert. Deswegen ist es empfehlenswert, spätestens jetzt das Budget für den IT-Betrieb und Administration, von dem der Cybersecurity zu trennen. Besonders größeren Unternehmen kann es schnell auf die Füße fallen, wenn alles aus demselben Topf gezahlt werden soll. An dieser Stelle darf es nicht mehr zu der Frage kommen, ob man Personal für Cybersecurity oder einen neuen Softwareentwickler einstellt.
Systeme aus dem Internet sind abgesichert, man hat dediziertes Personal für die Überwachung und Verteidigung. Was steht als Nächstes an? Die Perfektion von alledem.
Das ist sowohl der erste als auch der letzte Punkt, den man berücksichtigen muss. Es ist egal, wie gut das Cybersecurity-Personal ist, wenn alle anderen fahrlässig agieren. Deswegen sind passende Awareness-Maßnahmen für alle unerlässlich.
Genauso sollte in spezifische Schulungen für unterschiedliche Aufgaben investiert werden. Um zwei Beispiele zu nennen: Die Softwareentwickler könnten selbst Hacking- oder Forensik-Einsichten erhalten; Projektleiter können im Datenschutz oder der Informationssicherheit ausgebildet werden.
Auf diese Weise werden alle Mitarbeitenden entsprechend ihrer Fachlichkeit im Bereich Cybersecurity weitergebildet. Diese Weiterbildungsmaßnahmen ersetzen jedoch kein qualifiziertes Cybersecurity-Personal.
Während die Verteidigung mit einem SOC einen ersten Einstieg bildet, so meinen wir mit einem Blue-Team das fertig ausgebildete Verteidigungs-Team.
Die Aufgaben werden im Vergleich zum Start eines SOCs erweitert. Beispielsweise ist hier Threat Intelligence, also die aktive Informationsbeschaffung über neue Angriffsmethoden und Bedrohungen, relevant. Es gibt regelmäßige Trainings, um auf Angriffe vorbereitet zu sein.
Zusammengefasst bedeutet das: Man hat ein hoch spezialisiertes Team mit Erfahrungswerten in dem eigenen Unternehmen, trainiert das Personal und erweitert die Software.
Wo ein ausgebildetes Verteidigungs-Team benötigt wird, sollte auch immer ein gleich qualifiziertes Angriffs-Team vorhanden sein. Für maximalen Mehrwert, sowohl als Dienstleister und als interne Abteilung.
Das Red-Team setzt sich aus erfahrenen Ethical Hacker oder Pentestern zusammen, die sich auf unentdeckte Angriffe spezialisiert haben. Sie werden größtenteils dazu verwendet, um das Blue-Team zu trainieren und somit eine hohe Qualität beizuhalten.
Das interne Team sollte zusätzlich regelmäßig auf Schwachstellen untersuchen, damit eine Erweiterung der Vulnerability-Scanner vorhanden ist. Das externe Team wird vor allem für den externen Input benötigt, damit neue Erfahrungen mitgebracht werden.
Ein weiterer Punkt, bei dem externe Unterstützung eingeholt werden kann, sind Bug-Bounty-Programme. Es gibt viele Sicherheitsforscher, die daran interessiert sind, in einem Umfeld sich austoben können. Darüber können die letzten Sicherheitslücken, die anders nicht entdeckt wurden, gefunden und behoben werden.
Wichtig ist nicht, alles gleichzeitig umzusetzen, sondern jeden einzelnen Punkt konsequent umzusetzen. Mit den oben genannten Themen sollten Sie gut herausfinden können, was Ihr aktueller Stand ist und demnach, was die nächsten Schritte sind. Genauso können Sie die Informationen dafür verwenden, eine Roadmap für die Investitionen der folgenden Jahre zu erstellen.
Sollten Sie dabei Unterstützung benötigen, helfen wir Ihnen gerne.