IT-Sicherheitssinneswandel
Das können Unternehmen vom Healthcare-Sektor lernen
IT-Security: Neue Herausforderungen richtig meistern
BYOD ist heute Realität und die meisten Unternehmen suchen nach Wegen, um mobile Geräte zu schützen. IoT-Geräte werden mit großer Wahrscheinlichkeit ähnliche Sicherheitsprobleme aufwerfen, die die Unternehmen lösen müssen. Das BKA sieht zwar enorme potenzielle Vorteile durch das IoT in Bereichen wie intelligente Haushaltstechnik oder vernetzte Kraftfahrzeuge, warnt aber zugleich vor den Sicherheitsrisiken. Auf diese müssen Unternehmen vorbereitet sein - zitiert das BKA doch eine Umfrage, wonach bis 2020 mehr als eine Billion Endgeräte mit dem Internet verbunden sein werden. Früher oder später werden diese Endpunkte versuchen, Zugriff auf Netzwerke zu erhalten.
Die IT-Verantwortlichen müssen die richtigen Tools finden, um sich dieser Situation anzupassen. Das hat allerdings dazu geführt, dass sehr viele Sicherheitsprodukte implementiert werden - für jedes Einzelproblem ein eigenes. Vor kurzem wurden in einer Studie 350 Führungskräfte und Consultants aus der IT-Sicherheitsbranche zu ihrer aktuellen Aufstellung hinsichtlich Sicherheitstools befragt. Dabei stellte sich heraus, dass 52 Prozent aller Unternehmen mit über einer Milliarde Dollar Umsatz mehr als 13 verschiedene Sicherheitslösungen im Einsatz haben. In der Regel tauschen diese Tools ihre Erkenntnisse nicht miteinander aus, so dass isolierte Dateninseln entstehen.
Die Best-Practice-Lösung für diese Probleme ist die Orchestrierung der Vorfallsreaktionen. In der erwähnten SANS-Untersuchung zum Gesundheitssektor erklärten 44 Prozent der Befragten, dass sie Network Access Control (NAC) für ein effektives oder sehr effektives Mittel halten, um ihre Sicherheitsbedenken auszuräumen. Next Generation NAC-Technologien sind mittlerweile so ausgereift, dass sie zu einem Eckpfeiler für IoT- und BYOD-Sicherheit geworden sind, und können auch die Einhaltung von Vorschriften gewährleisten. Sobald sich ein Gerät mit dem Netzwerk zu verbinden versucht, prüft NAC automatisch, ob es regelkonform ist, und kann zudem Informationen mit vorhandenen Sicherheitsprodukten von Drittanbietern austauschen. NAC-Technologien kommen ohne Agenten aus, gewährleisten die richtige Konfiguration jedes Endpunkts und optimieren die Sicherheitsarchitekturen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Fazit: Schnelle Reaktion, richtiges Auditing
Die Anzahl der Endgeräte wird in den kommenden Jahren exponentiell zunehmen. Unternehmen müssen diese Entwicklung berücksichtigen und ihre Sicherheitsstrategien durch geeignete Maßnahmen anpassen. Die IT-Experten im Gesundheitswesen haben damit begonnen, das derzeitige IT-Sicherheitsmodell zu überdenken, und ihre Arbeit kann dabei helfen, Sicherheitsmodelle für andere Sektoren zu entwerfen. Die Reaktionsfähigkeit und der Schutz der IT-Infrastruktur werden immer wichtiger und müssen stärker in den Blick genommen werden. Gleichzeitig müssen Organisationen die Vorschriften einhalten und richtiges Auditing gewährleisten.
Das IoT einfach zu verbannen wird nicht funktionieren, da die Beschäftigten Sicherheitsmaßnahmen häufig einfach umgehen, wenn sie glauben, dadurch produktiver arbeiten zu können. NAC hilft Unternehmen, unterschiedliche gesetzliche Vorschriften und Branchenstandards zu erfüllen, selbst wenn deren Einhaltung schwierig ist. Dazu zählt etwa die Branchennorm ISO 27001, die ein Rahmenwerk für die physischen Kontrollen zur Einhaltung gesetzlicher Vorschriften in IT-Risikomanagement-Prozessen schafft. Mittels automatisierter Reaktion und Netzwerksegmentierung können die Sicherheitsabteilungen den Schutz ihrer Assets kontinuierlich gewährleisten, ohne ständig unter Druck zu stehen.