Beratung IT-Security durch zertifizierte Experten

Kurz & bündig

Wie setze ich IT-Sicherheit im Unternehmen um?

Es gibt verschiedene, sich auch ständig weiterentwickelnde Disziplinen, die einen ganzheitlichen Ansatz in der IT-Sicherheit ausmachen. Einen exzellenten Überblick geben die 18 Maßnahmenbündel der CIS Critical Security Controls.

01 – Inventar der Unternehmens-IT

Ein Unternehmen kann eine IT-Infrastruktur nur schützen, wenn es weiß, woraus diese besteht. Dazu sollte ein Inventar alle eingesetzten Hardware-Komponenten vorhanden sein. Dazu gehören insbesondere alle mit dem Unternehmens-Netz verbundenen Geräte wie Clients (Workstations, Laptops, Smartphones, und IoT Geräte) und Server. Aber auch Cloud-Infrastruktur zählt dazu.

02 – Inventar der verwendeten Software

Da Softwareschwachstellen ein häufiges Einfallstor darstellen, ist eine Liste aktuell genutzter Software wichtig, um potenzielle Risiken für den der Einsatz zu erkennen. Ohne eine solches Software-Inventar ist ein zuverlässiges Updaten und Patchen nicht möglich.

Der konsequente Schritt nach Aufbau eines solchen Inventar ist das Applikations-Whitelisting. Dabei sind nur noch freigegebene Anwendungen in der IT-Umgebung ausführbar.

03 – Datensicherheit und Datenschutz

Unsere Daten befinden sich nicht mehr nur innerhalb der eigenen Grenzen, sondern auf mobilen Endgeräten wie Smartphone oder Laptop oder in der Cloud – und werden auch oft noch mit Partnern auf der ganzen Welt geteilt. Ohne ein Verständnis dafür zu haben wer gerade auf welche Daten zugreifen kann, wer einen solchen Zugriff genehmigen darf und wie die Daten auf mobilen Endgeräten geschützt sind, ist es schwer sich vor Datenverlusten („Data leak”) zu schützen. Datenverlust kann bei vertraulichen Kundendaten oder Geschäftsgeheimnissen sehr unangenehm sein.

04 – Sichere Konfiguration der Unternehmens-IT sowie der eingesetzten Software

Häufig sind neu eingesetzte Hardware oder Software mit Standardpasswörtern- und Konfigurationen versehen, die einen einfachen Einsatz im Unternehmen und weniger die Sicherheit im Blick haben. Eine umfassende Härtung und aller eingesetzten Clients, Server, Firewalls sollte nach jeder Produktivschaltung erfolgen.

05 – Benutzerverwaltung

Für einen Angreifer ist es oft am einfachsten einen bereits vorhandenen Benutzerkonto zu missbrauchen indem schwache oder gephishte Passwörter, aktive Benutzerkonten von Personen, die bereits das Unternehmen verlassen haben, Testkonten oder ähnliches verwendet werden können. Um dem zu begegnen, muss man einen Überblick auf die aktuell eingesetzten Konten haben und normale Benutzer von administrativen Konten trennen.

06 – Rechteverwaltung

Aufbauend auf 05 müssen die genutzten Rechte verwaltet werden. Multi-Faktor-Autorisierung sollte bei einem Zugriff von remote oder falls möglich auch bei einem Zugriff mit administrativen Rechten genutzt werden.

Das Management von Benutzern und deren Zugriff wird als IAM (Identity Access Management) bezeichnet – darauf aufbauend wird Verwaltung von privilegiertem Zugriff als PAM (Privileged Access Management) bezeichnet.

07 – Schwachstellen-Management

Zügiges Patchen von Sicherheitsschwachstellen und das Einspielen von Updates hätten bereits viele Daten-Leaks verhindert. Dazu ist ein guter Blick auf die im Unternehmen eingesetzten Betriebssystemen und auch Software wichtig.

08 – Audit Log Management

Logdateien von System- und Benutzerereignissen sind wichtig um – im Fall der Fälle – herauszufinden was passiert ist und welche Daten gestohlen oder verändert worden sind. Auch können diese Log-Daten in einem SIEM (Security Information and Event Management) weiterverarbeitet, um in Echtzeit Alarmierungen anzustoßen.

09 – E-Mail und Browser-Schutz

Der Einsatz aktueller und voll unterstützter Software für E-Mails und Browser sollte selbstverständlich sein. Sinnvoll ist häufig ein weitergehender Schutz wie ein Web-Proxy oder ein DNS-Filter.

10 – Malwareschutz

Durch den Einsatz von automatisch updatender Anti-Malware Software ist ein gewissen Grundschutz erreichbar. Hier ist jedoch nicht alles Gold was glänzt: Sich vor Augen führen, dass moderne Malware natürlich genau so entwickelt wird, dass die eingesetzte Anti-Malware Software (egal welchen Herstellers…) nicht ihre volle Schutzwirkung entfaltet, ist wichtig.

Sollte es also doch zu einer Ausführung von Malware auf einem System kommen ist das unschön, oft aber schwer in einer Organisation komplett zu verhindern. Umso wichtiger ist es an dieser Stelle, dass die Malware sich in einem eingeschränkten, nicht-administrativen, Benutzerkonto auf einem voll-gepatchten System in einer gehärteten IT-Umgebung ohne Sicherheitslücken wiederfindet um den Schaden, der angerichtet werden kann zu minimieren. Auch Backups sind an dieser Stelle dann oft unersetzlich, um eine zügige Weiterarbeit zu ermöglichen.

11 – Backups

Automatisiert ablaufende Backups sind nicht optional, sondern ein Muss. Ganz wichtig ist, die Backups von den laufenden Systemen zu isolieren, damit – beispielsweise bei einem Befall von Ransomware – die Backups nicht gleich mit verschlüsselt oder gelöscht werden. Dazu können sich Cloud-Backupdienste oder auch Offline-Backups wie rollierende USB-Festplatten eignen.

12 – Management der Netzwerkinfrastruktur

Eine durchdachte Sicherheitsarchitektur des Unternehmensnetzwerkes (Zonierung/Firewalls) kann helfen die Bewegung von Angreifern einzuschränken. Häufig ist es beispielweise für den Betriebsablauf nicht notwendig von einem Client auf einen anderen Client zugreifen zu können – für den Angreifer (Lateral Movement) ist dies jedoch sehr wichtig.

13 – Netzwerk-Monitoring

Für fortgeschrittene Anforderungen an die IT-Sicherheit kann eine korrelierte Auswertung von Audit Logs und in einem SIEM (Security Information und Event Management) verbunden mit Lösungen für Host-Intrusion-Detection (HIDS), Network-Intrusion-Detection (NIDS), Paketfiltern und Traffic-Flow-Informationen sinnvoll sein.

14 – Security Awareness Trainings

Regelmäßige Awareness Trainings von Mitarbeitern sorgen dafür, dass die „Human Firewall” aktiv. Da aktuell die meisten Angriffe von außen auf Basis von Social Engineering Techniken durchgeführt werden (oft anfänglich über Phishing oder über das Abgreifen von Benutzerpasswörtern) können gut geschulte Mitarbeiter das effektivste Erkennungssystem solcher Angriffe sein.

15 – Management von Service-Providern

In unserer vernetzten Welt verlassen sich Unternehmen auf Anbieter und Partner, um Unternehmensdaten zu verwalten und nutzen externe IT-Infrastruktur für unternehmenskritische Anwendungen. Ein Inventar der eingesetzten Service-Provider sollte verfügbar sein (z.B. Microsoft, falls Office365/Exchange Online eingesetzt werden). Der Einsatz von (Cloud-)Service-Providern kann dabei nicht pauschal bewertet werden. Die Sicherheitsvorkehrungen seitens des Service-Providers sind häufig viel höher als es ein mittleres Unternehmen je darstellen könnte – damit verschiebt sich aber die Angriffsoberfläche in Richtung der eigenen Unternehmensmitarbeiter.

16 – Sicherheit der eingesetzten Software und Web-Anwendungen

Zugegebenermaßen ist Anwendungssicherheit ist ein weites Feld. Ziel ist immer, dass die eingesetzten Anwendungen und Dienste nicht gehackt, kompromittiert, ohne Berechtigung aufgerufen oder abgeschaltet werden können. Je nachdem ob ein Unternehmen primär Software kauft und diese einsetzt oder Software selbst entwickelt kann der Fokus und die durchgeführten Maßnahmen hierzu auch sehr verschieden sein. Als Mindestanforderung sollte der Umgang mit 07 Schwachstellenmanagement etabliert sein. Falls Software selbst entwickelt wird, sollte ein Prozess zur sicheren Softwareentwicklung eingesetzt werden (SDLC, ggf. DevSecOps).

17 – Incident Response

Jedes Unternehmen sollte auf Sicherheitsvorfälle vorbereite sein. Klar definierte Richtlinien, Pläne, Verfahren, Verantwortlichkeiten, Ausbildung und Kommunikation sind die Basis um Sicherheitsvorfälle schnell zu erkennen und angemessen darauf zu reagieren.

18 – Penetrationstests

Eine erfolgreiche Abwehrstrategie erfordert ein umfassendes Programm mit wirksamen Strategien und Governance, starke technische Abwehrmechanismen sowie angemessene Einbindung der Benutzer. Es ist jedoch selten perfekt. In einer komplexen IT-Umgebung, in der Technologie ständig weiterentwickelt wird und regelmäßig neue Angreifer mit neuen Vorgehensweisen auftauchen, sollten Unternehmen die eingesetzten Maßnahmen regelmäßig testen, um Lücken zu ermitteln und die eigene Widerstandsfähigkeit zu bewerten.

Dieser Test kann aus der Perspektive des externen Netzwerks, des internen Netzwerks, einer Anwendung, des Servers- oder Clients erfolgen. Auch Social-Engineering und die Umgehung der physischen Zutrittskontrollen können dabei mit berücksichtig werden.