Beratung IT-Security durch zertifizierte Experten

Ein Unternehmen kann eine IT-Infrastruktur nur schützen, wenn es weiß, woraus diese besteht. Dazu sollte ein Inventar alle eingesetzten Hardware-Komponenten vorhanden sein. Dazu gehören insbesondere alle mit dem Unternehmens-Netz verbundenen Geräte wie Clients (Workstations, Laptops, Smartphones, und IoT Geräte) und Server. Aber auch Cloud-Infrastruktur zählt dazu.

Da Softwareschwachstellen ein häufiges Einfallstor darstellen, ist eine Liste aktuell genutzter Software wichtig, um potenzielle Risiken für den der Einsatz zu erkennen. Ohne eine solches Software-Inventar ist ein zuverlässiges Updaten und Patchen nicht möglich.

Der konsequente Schritt nach Aufbau eines solchen Inventar ist das Applikations-Whitelisting. Dabei sind nur noch freigegebene Anwendungen in der IT-Umgebung ausführbar.

Unsere Daten befinden sich nicht mehr nur innerhalb der eigenen Grenzen, sondern auf mobilen Endgeräten wie Smartphone oder Laptop oder in der Cloud - und werden auch oft noch mit Partnern auf der ganzen Welt geteilt. Ohne ein Verständnis dafür zu haben wer gerade auf welche Daten zugreifen kann, wer einen solchen Zugriff genehmigen darf und wie die Daten auf mobilen Endgeräten geschützt sind, ist es schwer sich vor Datenverlusten („Data leak“) zu schützen. Datenverlust kann bei vertraulichen Kundendaten oder Geschäftsgeheimnissen sehr unangenehm sein.

Häufig sind neu eingesetzte Hardware oder Software mit Standardpasswörtern- und Konfigurationen versehen, die einen einfachen Einsatz im Unternehmen und weniger die Sicherheit im Blick haben. Eine umfassende Härtung und aller eingesetzten Clients, Server, Firewalls sollte nach jeder Produktivschaltung erfolgen.

Für einen Angreifer ist es oft am einfachsten einen bereits vorhandenen Benutzerkonto zu missbrauchen indem schwache oder gephishte Passwörter, aktive Benutzerkonten von Personen, die bereits das Unternehmen verlassen haben, Testkonten oder ähnliches verwendet werden können. Um dem zu begegnen, muss man einen Überblick auf die aktuell eingesetzten Konten haben und normale Benutzer von administrativen Konten trennen.

Aufbauend auf 05 müssen die genutzten Rechte verwaltet werden. Multi-Faktor-Autorisierung sollte bei einem Zugriff von remote oder falls möglich auch bei einem Zugriff mit administrativen Rechten genutzt werden.

Das Management von Benutzern und deren Zugriff wird als IAM (Identity Access Management) bezeichnet – darauf aufbauend wird Verwaltung von privilegiertem Zugriff als PAM (Privileged Access Management) bezeichnet.

Zügiges Patchen von Sicherheitsschwachstellen und das Einspielen von Updates hätten bereits viele Daten-Leaks verhindert. Dazu ist ein guter Blick auf die im Unternehmen eingesetzten Betriebssystemen und auch Software wichtig.

Logdateien von System- und Benutzerereignissen sind wichtig um - im Fall der Fälle - herauszufinden was passiert ist und welche Daten gestohlen oder verändert worden sind. Auch können diese Log-Daten in einem SIEM (Security Information and Event Management) weiterverarbeitet, um in Echtzeit Alarmierungen anzustoßen.

Der Einsatz aktueller und voll unterstützter Software für E-Mails und Browser sollte selbstverständlich sein. Sinnvoll ist häufig ein weitergehender Schutz wie ein Web-Proxy oder ein DNS-Filter.

Durch den Einsatz von automatisch updatender Anti-Malware Software ist ein gewissen Grundschutz erreichbar. Hier ist jedoch nicht alles Gold was glänzt: Sich vor Augen führen, dass moderne Malware natürlich genau so entwickelt wird, dass die eingesetzte Anti-Malware Software (egal welchen Herstellers…) nicht ihre volle Schutzwirkung entfaltet, ist wichtig.

Sollte es also doch zu einer Ausführung von Malware auf einem System kommen ist das unschön, oft aber schwer in einer Organisation komplett zu verhindern. Umso wichtiger ist es an dieser Stelle, dass die Malware sich in einem eingeschränkten, nicht-administrativen, Benutzerkonto auf einem voll-gepatchten System in einer gehärteten IT-Umgebung ohne Sicherheitslücken wiederfindet um den Schaden, der angerichtet werden kann zu minimieren. Auch Backups sind an dieser Stelle dann oft unersetzlich, um eine zügige Weiterarbeit zu ermöglichen.

Automatisiert ablaufende Backups sind nicht optional, sondern ein Muss. Ganz wichtig ist, die Backups von den laufenden Systemen zu isolieren, damit – beispielsweise bei einem Befall von Ransomware – die Backups nicht gleich mit verschlüsselt oder gelöscht werden. Dazu können sich Cloud-Backupdienste oder auch Offline-Backups wie rollierende USB-Festplatten eignen.

Eine durchdachte Sicherheitsarchitektur des Unternehmensnetzwerkes (Zonierung/Firewalls) kann helfen die Bewegung von Angreifern einzuschränken. Häufig ist es beispielweise für den Betriebsablauf nicht notwendig von einem Client auf einen anderen Client zugreifen zu können – für den Angreifer (Lateral Movement) ist dies jedoch sehr wichtig.

Für fortgeschrittene Anforderungen an die IT-Sicherheit kann eine korrelierte Auswertung von Audit Logs und in einem SIEM (Security Information und Event Management) verbunden mit Lösungen für Host-Intrusion-Detection (HIDS), Network-Intrusion-Detection (NIDS), Paketfiltern und Traffic-Flow-Informationen sinnvoll sein.

Regelmäßige Awareness Trainings von Mitarbeitern sorgen dafür, dass die „Human Firewall“ aktiv. Da aktuell die meisten Angriffe von außen auf Basis von Social Engineering Techniken durchgeführt werden (oft anfänglich über Phishing oder über das Abgreifen von Benutzerpasswörtern) können gut geschulte Mitarbeiter das effektivste Erkennungssystem solcher Angriffe sein.

In unserer vernetzten Welt verlassen sich Unternehmen auf Anbieter und Partner, um Unternehmensdaten zu verwalten und nutzen externe IT-Infrastruktur für unternehmenskritische Anwendungen. Ein Inventar der eingesetzten Service-Provider sollte verfügbar sein (z.B. Microsoft, falls Office365/Exchange Online eingesetzt werden). Der Einsatz von (Cloud-)Service-Providern kann dabei nicht pauschal bewertet werden. Die Sicherheitsvorkehrungen seitens des Service-Providers sind häufig viel höher als es ein mittleres Unternehmen je darstellen könnte – damit verschiebt sich aber die Angriffsoberfläche in Richtung der eigenen Unternehmensmitarbeiter.

Zugegebenermaßen ist Anwendungssicherheit ist ein weites Feld. Ziel ist immer, dass die eingesetzten Anwendungen und Dienste nicht gehackt, kompromittiert, ohne Berechtigung aufgerufen oder abgeschaltet werden können. Je nachdem ob ein Unternehmen primär Software kauft und diese einsetzt oder Software selbst entwickelt kann der Fokus und die durchgeführten Maßnahmen hierzu auch sehr verschieden sein. Als Mindestanforderung sollte der Umgang mit 07 Schwachstellenmanagement etabliert sein. Falls Software selbst entwickelt wird, sollte ein Prozess zur sicheren Softwareentwicklung eingesetzt werden (SDLC, ggf. DevSecOps).

Jedes Unternehmen sollte auf Sicherheitsvorfälle vorbereite sein. Klar definierte Richtlinien, Pläne, Verfahren, Verantwortlichkeiten, Ausbildung und Kommunikation sind die Basis um Sicherheitsvorfälle schnell zu erkennen und angemessen darauf zu reagieren.

Eine erfolgreiche Abwehrstrategie erfordert ein umfassendes Programm mit wirksamen Strategien und Governance, starke technische Abwehrmechanismen sowie angemessene Einbindung der Benutzer. Es ist jedoch selten perfekt. In einer komplexen IT-Umgebung, in der Technologie ständig weiterentwickelt wird und regelmäßig neue Angreifer mit neuen Vorgehensweisen auftauchen, sollten Unternehmen die eingesetzten Maßnahmen regelmäßig testen, um Lücken zu ermitteln und die eigene Widerstandsfähigkeit zu bewerten.

Dieser Test kann aus der Perspektive des externen Netzwerks, des internen Netzwerks, einer Anwendung, des Servers- oder Clients erfolgen. Auch Social-Engineering und die Umgehung der physischen Zutrittskontrollen können dabei mit berücksichtig werden.