Informationssicherheit
IT-Sicherheit nicht nur punktuell erledigen
Foto: Pepsco Studio - shutterstock.com
Nicht nur Großkonzerne wie Sony und TV5Monde, sondern auch staatliche Institutionen wie der Bundestag stehen im Visier der Angreifer. Nur die wenigsten Angriffe werden öffentlich bekannt. Wie wichtig dieses Thema für uns persönlich ist, wird uns jedoch erst bewusst, wenn wir direkt betroffen sind und beispielsweise die Kreditkartendaten gestohlen wurden oder die Beantragung des Personalausweises nicht mehr geht.
Die Digitalisierung hat inzwischen in nahezu alle Lebensbereiche Einzug gehalten - mit allen Vorteilen, aber auch Gefahren. Unternehmen sowie Politik und öffentliche Verwaltung haben die sich ändernde Bedrohungslage erkannt. Neben gesetzlichen Regelungen existieren teilweise auch branchenspezifische Regelungen, um das Thema Sicherheit strukturiert anzugehen und damit das Sicherheitsniveau weiter zu verbessern. Rein technische Mittel reichen zur Abwehr aber nicht mehr aus.
ComplianceCompliance ist auch in Sachen Informationssicherheit eine wichtige Anforderung geworden. So kann von außen auf Organisationen eingewirkt werden, eigene Daten und die der Kunden besser zu schützen. Werden Vorschriften und Sicherheitsziele nicht eingehalten, können finanzielle Schäden ebenso die Folge sein wie eine Gefährdung der öffentlichen Sicherheit oder eine negative Außenwirkung mit möglicherweise existenzbedrohenden Konsequenzen. Alles zu Compliance auf CIO.de
So oder so: Für alle Organisationen ist es unerlässlich, nicht nur die Regularien und gesetzlichen Bestimmungen im Bereich Informationssicherheit formal einzuhalten, sondern Sicherheit und Prozesse auch wirklich operativ zu leben. Wenn die Erfahrung aus der Praxis allerdings eines lehrt, dann dies: Sicherheit kann nicht von einer einzelnen Abteilung nebenher bzw. punktuell erledigt werden - tatsächlich ist Informationssicherheit ein Thema für die gesamte Organisation, zu jeder Zeit. Diese Herausforderungen gelten gleichermaßen für Organisationen aller Branchen und aller Größen und umfassen private Unternehmen genauso wie die öffentliche Verwaltung.
IT-Sicherheit allein greift zu kurz
Die Erfahrung aus zahlreichen Projekten zeigt, dass in vielen Unternehmen und Behörden das Thema Sicherheit derzeit noch als bloße IT-Sicherheit verstanden wird. Entsprechend ist mit dem Thema oft nur ein CISO oder IT-Sicherheitsbeauftragter und gegebenenfalls die IT-Abteilung befasst. Sicherheit ist dann - der Rolle und Perspektive der technisch ausgerichteten Abteilung gemäß - auf ihre technische Dimension reduziert. Organisatorische Aspekte und Maßnahmen geraten selten in den Blick. Eine gesamtheitliche Betrachtung des Themas Sicherheit findet in der Regel nicht statt.
- Cyber-Bedrohungen betreffen jedes Unternehmen
Noch vor einigen Jahren konnten Unternehmen tatsächlich davon ausgehen, dass es unwahrscheinlich ist, zum Ziel eines Cyberangriffs zu werden. Angesichts der aktuellen komplexen Bedrohungslandschaft wäre diese Annahme heute jedoch risikoreich und gefährlich. Bedrohungen können überall entstehen, auch intern im Unternehmen. Die Chance ist groß, dass viele Unternehmen in Deutschland schon angegriffen wurden und nichts davon wissen. Deshalb ist ein Umdenken so wichtig: Man sollte auch hierzulande davon ausgehen, dass man in jedem Fall angegriffen wird und die notwendigen Vorkehrungen treffen, um Bedrohungen so schnell wie möglich zu entdecken und beseitigen. Dass es zu Angriffen kommt, steht außer Frage, lediglich der Zeitpunkt ist ungewiss. Mit diesem Bewusstsein – das in anderen Industrienationen häufig schon besser ausgeprägt ist – kann die deutsche Industrie sicherstellen, dass sich der Schaden in Grenzen hält und die Angriffe schnell und mit großer Genauigkeit analysiert werden können. - Umfassendes Monitoring als Schlüssel für mehr Sicherheit
Der Schlüssel zu maximaler Datensicherheit ist eine 360-Grad-Sicht auf alle Netzwerkereignisse. Ohne einen detaillierten Einblick in die Netzwerkstruktur entstehen sogenannte „blinde Flecken“, die Hackern ideale Möglichkeiten bieten, in das Netzwerk einzudringen. Obwohl Perimeter-Lösungen lange Zeit ausreichend gewesen sein mögen, um ein Unternehmen zu schützen, bieten diese allein bei der heutigen Bedrohungslage nicht mehr genügend Schutz. Um einen tieferen Einblick in das Netzwerk zu erhalten, ist ein zentrales Monitoring-System erforderlich, das umfassenden Schutz bietet und die Daten aus verschiedensten Quellen im Netzwerk verarbeiten und auswerten kann. Dies umfasst sowohl Systemereignisse wie auch die Daten aus Anwendungen und Datenbanken.<br /><br /> Die gesammelten Daten müssen intelligent miteinander verknüpft und analysiert werden. Ein einzelnes Ereignis wie beispielsweise ein Anwender, der sich in Düsseldorf in einem Café einloggt, mag für sich allein stehend vollkommen harmlos wirken. Wenn sich dieser Anwender jedoch zehn Minuten zuvor im Münchner Büro ebenfalls im System angemeldet hat, sollten alle Alarmglocken läuten. Können Unternehmen alle verfügbaren Informationen in Bezug zueinander setzen und alle Ereignisse in einem Kontext analysieren, können sie auch Angriffe und Bedrohungen besser erkennen. - Atypische Netzwerkereignisse erkennen
Wie wollen Sie wissen, ob etwas Ungewöhnliches in Ihrem Netzwerk passiert, wenn Sie nicht wissen, was der Normalzustand ist? Wahrscheinlich finden zu jedem Zeitpunkt zahlreiche Netzwerkereignisse statt – seien es Anwender, die sich an ihren Desktops anmelden, oder Datenpakete, die an einen Cloud-Provider übermittelt werden. Ohne zu wissen, wie sich Anwender, Systeme und Anwendungen im Normalfall verhalten, ist es nahezu unmöglich festzustellen, wann Abweichungen auftreten. Unternehmen sollten deshalb eine Basis für die normalen Aktivitäten definieren und alles andere eingehend prüfen. Dabei muss sichergestellt sein, dass alle atypischen Ereignisse als solche gekennzeichnet sind. - Lassen Sie interne Bedrohungen nicht außer Acht
Wenn es um Datendiebstahl geht, sind die Mitarbeiter eines Unternehmens leider eine ebenso große Bedrohung wie Angreifer von außen. LogRhythm hat im Jahr 2013 in einer Marktuntersuchung herausgefunden, dass 23 Prozent der Angestellten auf vertrauliche Daten zugegriffen oder sich diese angeeignet haben. 94 Prozent dieser Datendiebe konnten nicht gefasst werden. Dieselbe Untersuchung hat auch ergeben, dass 75 Prozent der Unternehmen kein System im Einsatz haben, das den unbefugten Zugriff von Mitarbeitern auf sensible Geschäftsdaten verhindert. Deshalb sollten sich Unternehmen nicht ausschließlich auf die Überwachung und den Schutz vor unerlaubtem Zugriff von außerhalb konzentrieren, sondern auch ein Auge darauf haben, was innerhalb ihrer eigenen Wände passiert – ohne dabei die Privatsphäre ihrer Mitarbeiter einzuschränken. Es ist ein schmaler Grat zwischen Kontrolle und kompletter Überwachung und Unternehmen tun - insbesondere in Deutschland - gut daran, nicht auf der falschen Seite zu landen. - Betrachten Sie Fehler als Chance
Fehler sind dazu da, um aus ihnen zu lernen. Ist ein Unternehmen Opfer eines Angriffs geworden und konnte diesen entdecken und eingrenzen, sollten weitere Untersuchungen folgen. Einerseits um zu verstehen, wie das passieren konnte und andererseits, was getan werden muss, um ein derartiges Sicherheitsrisiko in Zukunft zu umgehen. Mit dem passenden Monitoring-Tool im Einsatz kann jede Aktivität und jedes Ereignis im Netzwerk erfasst, dokumentiert und als Basis für die Analyse genutzt werden. Wenn sich Unternehmen eingehend mit diesen Informationen befassen, können sie feststellen, warum sie diese Bedrohung nicht erkannt haben, welche Schwachstellen ihr Sicherheitssystem hat und möglicherweise auch, wer der Eindringling war.<br /><br /> Es ist von großer Bedeutung zu verstehen, ob eine Bedrohung lediglich eine interne Angelegenheit ist und die Daten nicht kompromittiert werden, oder ob ein sicherheitsrelevantes Ereignis auch Kunden oder andere Interessensgruppen betrifft und – vielleicht auch von Rechts wegen – die Benachrichtigung einer dritten Partei erfordert. Damit steht dann fest, wie dieses Ereignis einzustufen ist, welche Maßnahmen aufgesetzt und welche Schritte eingeleitet werden müssen. - Kommunizieren Sie auch Misserfolge
Zu verstehen, was passiert ist, ist das Eine. Es kann jedoch auch nützlich sein, diese Informationen mit anderen zu teilen. Das ist vor allem für Unternehmen mit einer großen Anzahl an Standorten wichtig, denn diese Standorte könnten demselben Sicherheitsrisiko ausgesetzt sein. Wenn Unternehmen die Information, welche Bedrohung aufgetreten ist und wie diese entdeckt und beseitigt wurde, weitergeben, kann dies den Unterschied machen zwischen einem weit verbreiteten und verheerendem Angriff oder einer bloßen Unannehmlichkeit. <br /><br /> Außerdem können dadurch Kunden und Partner gegebenenfalls bei sich selbst noch zusätzliche Sicherheitsmaßnahmen ergreifen, wie zum Beispiel die Änderung ihre Passwörter oder die Verfolgung verdächtiger Vorgänge auf ihrem Online-Banking-Account. <a href="http://www.johnsonking.com/library_de/LogRhythm_GER%20Q4%20survey.pdf" target="_blank">In einer weiteren Studie</a> stimmten sogar fast Zweidrittel der Befragten in Deutschland dafür, dass Unternehmen bedingungslos jeden Datenverlust sofort melden muss. Unternehmen müssen erkennen, dass sie sich dadurch weniger an den Pranger stellen – hauptsächlich hilft die Kommunikation von Datenlecks sich und anderen und schafft zusätzliches Vertrauen. Denn dass jedes Unternehmen heute – häufig auch erfolgreich – angegriffen wird, ist Fakt; ein Unternehmen, das die Betroffenen auch sofort darüber in Kenntnis setzt ist hingegen schon eine Besonderheit.<br /><br /><br /><em>(zusammengestellt von Roland Messmer, Director für Zentral- und Osteuropa bei LogRhythm)</em>