Security Automation
Auf der Schnellstraße zu besserer IT-Sicherheit
Dr. Gerald Spiegel ist Leiter Information Security Solutions bei Sopra Steria Consulting und befasst sich im Schwerpunkt mit den Themen IT-Sicherheit, Cybercrime und Security Information and Event Management (SIEM).
Die Antwort lautet: 3.420.000 Euro. So viel kostet eine durchschnittliche Datenpanne in Deutschland - inklusive Regressforderungen von Kunden und Partnern, Bußgelder sowie schwer zu beziffernder "Imageschäden". Zumindest besagen das die Berechnungen der von IBM gesponserten "Cost of Data Breach"-Studie 2017 des Ponemon-Instituts. Und das ist schon eine gute Nachricht, denn es entspricht einem Rückgang um 5,4 Prozent im Vergleich zum Vorjahr.
Foto: jamesteohart - shutterstock.com
Die vergleichsweise gute Lage führt das Institut darauf zurück, "dass europäische Unternehmen in einem Umfeld arbeiten, in dem Datenpannen strengeren Meldevorschriften unterliegen" als beispielsweise in den USA. Laut Studie hat die Reaktionsschnelligkeit eines Unternehmens im Fall eines Hackerangriffs direkten Einfluss auf die Kosten. Wer zum Beispiel Datenpannen innerhalb eines Monats behob, konnte eine Million US-Dollar einsparen im Vergleich zu Unternehmen, die eine Reaktionszeit von mehr als einem Monat benötigten.
Der Trend zu mehr DatenschutzDatenschutz kommt den Unternehmen hier eindeutig zugute: Regulatorische Vorschriften wie die EU-Datenschutz-Grundverordnung (DSGVO), KRITIS zum Schutz kritischer Infrastrukturen, das IT-Sicherheitsgesetz oder die Mindestanforderungen an das Risikomanagement (MaRisk) tragen dazu bei, dass Unternehmen mehr Anstrengungen in den Schutz von Daten (und IT-Infrastrukturen) stecken – weil sie es müssen und weil es ihnen im härter werdenden Wettbewerb Vorteile und Imagegewinne beschert. Beide Faktoren – Zeit und Kosten – führen zur Notwendigkeit von SecuritySecurity Automation. Alles zu Datenschutz auf CIO.de Alles zu Security auf CIO.de
Was ist Security Automation überhaupt?
Security Automation muss ein fester Bestandteil von Sicherheitsstrategien sein. Der Begriff meint den Einsatz automatischer Systeme zur Erkennung, Bewertung und Verhinderung oder Eindämmung von Cyber-Sicherheitsvorfällen sowie Erkennung, Bewertung und Beseitigung von Schwachstellen oder Non-Compliances. Security Automation adressiert dafür folgende zentrale Handlungsfelder:
• Prävention etwa über automatisiert vorgenommene Sicherheitseinstellungen auf IT-Systemen, in Anwendungen und in Netzwerken,
• Detektion von Anomalien (die auf mögliche Angriffe hindeuten) und tatsächlicher Angriffe,
• automatisierte Bewertung als erste Indikation vor der manuellen (menschlichen) Bewertung – schematisch und standardisiert
• Reaktion zur Wiederherstellung der System-Sicherheit und zur Behebung von Schäden oder automatisierte Reaktion auf Angriffe (Intrusion Response System) sowie die Beseitigung von MalwareMalware.
Alles zu Malware auf CIO.de
Zu jedem dieser Handlungsfelder gehören eine ganze Reihe von Einzelmaßnahmen technischer und organisatorischer Art. Security Automation kann viele dieser Maßnahmen beschleunigen oder signifikant verbessern im Hinblick auf Qualität und Verlässlichkeit.
"An Automatisierung kommt niemand vorbei"
IDG Research hat vor kurzem die Studie "Security Automation 2017" vorgestellt. Zentrales Ergebnis der Untersuchung: An der Automatisierung von Prozessen im Bereich IT-Sicherheit kommt mittelfristig kein Unternehmen vorbei, das schneller und wirkungsvoller auf Angriffe von außen reagieren und gleichzeitig seine Infrastrukturen besser vor Attacken schützen möchte.
Security Automation bietet weitere Vorteile: Es erfüllt die steigenden Erwartungen an Cyber-Security aufgrund der immer komplexeren Bedrohungsszenarien und der ebenfalls zunehmenden Komplexität von IT-Infrastrukturen und Firmennetzen. Zudem nimmt es der IT durch den Rückgang manueller Tätigkeiten bei Kontrolle, Eingriffen und Berichten ein wenig vom immerwährenden Kostendruck, der auf ihr lastet. Schließlich unterstützt die Automatisierung Unternehmen dabei, regulatorische und Compliance-Anforderungen besser zu erfüllen, auch wenn kein Gesetz sie explizit fordert.
Voraussetzungen für Security Automation
Unternehmen, die auf Security Automation setzen möchten, sollten die folgenden Voraussetzungen für den Einstieg erfüllen:
Ein firmenweit einheitliches Datenmodell sowie Zugang zu den Daten, die für wirksame Prävention, Detektion und Reaktion nötig sind.
Ein Asset Management für Unternehmensdaten: Wo liegen diese Daten, wer hat Zugriff darauf, welche Daten sind unbedingt, welche weniger schützenswert?
Policies, die den Umgang mit Daten, die Sicherung mobiler Geräte und die Zugriffsrechte von Mitarbeitern verbindlich regeln und ausrollen
Offene Schnittstellen zu Datenquellen unterschiedlicher Provenienz, die es möglich machen, Insellösungen zu vermeiden und Security Automation zu zentralisieren.
Die gute Nachricht: Wer schon bisher wenigstens den gröbsten Teil seiner Hausaufgaben bei der IT-Sicherheit erledigt hat, fängt bei der Security Automation nicht bei null an, sondern kann auf unterschiedlichen Maßnahmen wie SIEM, Vulnerability-Scans, Firewall-Management, Intrusion und Malware Detection aufbauen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
In jedem Unternehmen gibt es Bereiche und Prozesse, die sich automatisieren lassen, etwa mit der automatischen Provisionierung von Berechtigungen, bei toolgestützten Workflows mit Eskalationsmechanismen oder im Berichtswesen durch die automatisierte Messung von Security-KPIs.