Auf der Agenda von CIOs bzw. CEOs steht das Thema IT Security dauerhaft ganz weit oben. Zu kritisch sind die Folgen, die sich aus erfolgreichen Cyberangriffen ergeben können. Fakt ist, dass sich die Lage rund um die IT-Sicherheit weiter zuspitzt: die Anzahl der Ransomware-Angriffe nimmt stetig zu, bestehende Krisen verstärken das Risiko zusätzlich. Dazu kommt die zunehmende Digitalisierung in Unternehmen, deren negative Kehrseite ein entsprechendes Mehr an sensitiven Daten und an Verwundbarkeit in der IT-Infrastruktur sind. Der folgende Beitrag stellt kritische Fragen – und möchte diese als eine Art Checkliste für die Praxis auch Unternehmen zur Verfügung stellen, damit diese ihre IT-Resilienz stärken können.
Schwachstelle Technik, Schwachstelle Mensch
IT läuft in der unternehmerischen Praxis in sehr unterschiedlichen Reifegraden. Dabei ist die Qualität und der Status der eigenen IT-Security aus Sicht des Managements nicht immer gut zu beurteilen. Einer aktuellen IDC-Studie zufolge halten sich zwei Drittel der deutschen Unternehmen für gut gewappnet gegen Cyberangriffe. Gleichzeitig geben 70 % der Unternehmen an, bereits Opfer von Ransomware gewesen zu sein. Beide Aussagen passen nicht ganz zusammen – und so sehen auch die Autoren der Studie eine solche Selbstsicherheit absolut nicht gerechtfertigt.
Zu beobachten ist dieses Phänomen in der Praxis oft auch, wenn man unterschiedliche Rollen im Unternehmen auf das Thema IT-Security anspricht: Verantwortliche der internen IT-Revision schätzen die Situation z.B. oft anders ein als z.B. ein Mitarbeiter in der IT. Je nach Perspektive ist die Bestandsaufnahme nicht ehrlich bzw. kritisch genug oder unvollständig. Aus der Sicht des Managements ist das Thema und seine Konsequenzen nicht immer gut zu überblicken – und so ist es sehr wichtig, unabhängige Experten zu Rate zu ziehen.
Nachhaltige Widerstandsfähigkeit erfordert das beständige Hinterfragen von Technik, Prozessen und den Menschen. In diesem Sinne ist die Checkliste mit den nachfolgenden Fragen bzw. Empfehlungen rund um 11 identifizierte Themen zu verstehen. Es ist eine subjektive Liste, deren Aspekte aus den ISO 27001-Anforderungen, aus Best Practices der IT und aus der persönlichen Erfahrung des Autors stammen.
1. IT-Anwender
Schützen Sie Ihre Benutzerkonten ausreichend!?
- Sind alle Ihre Benutzerkonten an eine bestimmte Person gebunden?
- Können Sie für jedes Konto, einschließlich Rollenkonten, System- und Administratorkonten, eine verantwortliche Person angeben?
- Sind die Anmeldedaten Ihrer Notfallbenutzer gut geschützt, und ist die Benutzung überprüfbar?
- Verfügen Sie über ein robustes und widerstandsfähiges Verfahren zur Stilllegung von Benutzern? Auch für externe Benutzer?
- Verlangen Sie Multi-Faktor-Authentifizierung für 100 % Ihrer externen Zugriffe?
- Überprüfen Sie diese Anforderungen regelmäßig? Oder arbeiten „Homer Simpson“, „Mickey Mouse“ & Co. bei Ihnen in der IT-Abteilung als Testnutzer?
2. Wiederherstellung
Stellen Sie sicher, dass Sie auf Katastrophen wie z. B. einem Ransomware-Angriff reagieren können.
- Verfügen Sie über getestete Offline-Backups, die unter (fast) allen Umständen unantastbar sind?
- Testen Sie die Sicherungs- und Wiederherstellungsverfahren regelmäßig?
- Testen Sie Ihre Krisen-Szenarien? Table-Top-Übungen sind leicht durchführbar und liefern Ihnen genügend Erkenntnisse, die Sie beheben können.
3. Erkennung
Ohne Erkennung von Angreifern werden Ihre Schutzmaßnahmen früher oder später
unterlaufen werden.
- Haben Sie EDR (Endpoint Detection & Response) in Ihrem gesamten Unternehmen eingesetzt, und überwachen Sie die Abdeckung?
- Überwachen Sie auch Aktivitäten in Ihrem Berechtigungsmanagement?
- Ist Ihr IT-Team gut genug ausgestattet und geschult, um diese Tools effektiv zu nutzen,
oder nutzen Sie den Service eines externen Dienstleisters?
4. Passwörter
Eines der häufigsten Einfallstore ins Unternehmensnetzwerk sind kompromittierte oder ausprobierte Passwörter.
- Verhindern Sie, dass Ihre Anwender Passwörter wiederverwenden oder mehrfach nutzen. Überwachen Sie dies bei Neuanlage oder auch regelmäßig.
- Implementieren Sie robuste Prozesse zur sicheren Änderung von Anmeldedaten, und folgen Sie den aktuellen Empfehlungen zu Passwörtern (z.B. wird ein Wechsel des Passworts nur unter bestimmten Bedingungen empfohlen).
- Planen Sie den Ersatz von Passwörtern durch moderne Authentifizierungsmethoden.
5. Zugriffsverwaltung
Wissen Sie, auf welche Systeme Ihre Anwender Zugriff haben? Und warum??
- Verfügen Sie über hinreichend detaillierte Zugriffsverwaltungsprozesse?
- Führen Sie einen Überprüfungsprozess ein, bei dem Personalverantwortliche regelmäßig die Rollen und die damit verbundenen technischen Rechte ihrer Mitarbeitenden überprüfen.
- Wenn Sie die Zugriffsrechte gut strukturieren, können Sie Angriffe auf bestimmte Bereiche oder Abteilungen beschränken.
6. Minimale Rechte
Niemand ist „Admin“ – auch nicht der Admin!
- Alle Benutzer und Dienste müssen mit einem Minimum an technischen Rechten laufen.
- Wenn einige Ihrer Benutzer administrative Rechte benötigen, stellen Sie sicher, dass es sich um vorübergehende Rechte handeln. Niemand sollte seine alltäglichen Aktivitäten mit Administratorrechten ausführen.
7. Finanzielle Prozesse
Auch der klassische Betrug kann unter Ausnutzung von IT-Schwachstellen gravierende Folgen haben.
- Machen Sie Ihre Finanz-Prozesse resistent gegen Betrug und Falschinformationen (Business Email Compromise oder CEO-Betrug).
- Ermächtigen Sie Ihre Mitarbeiter, verdächtige Anordnungen in Frage zu stellen, und bringen Sie Ihre Manager dazu, ihre eigenen Prozesse zu befolgen (z.B. IT-Ticket statt WhatsApp).
- Stellen Sie sicher, dass alle Änderungen an finanzrelevanten Daten authentifiziert und autorisiert werden.
8. Segmentierung
Verringern Sie Ihre Angriffsoberfläche.
- Schützen Sie Ihre öffentlichen Zugänge, und eliminieren Sie alle öffentlich zugänglichen RDP-Ports. Isolieren Sie Ihre Server & OT von Ihren internen Netzen sowie voneinander.
- Segmentieren Sie Ihre Netzwerke, und überprüfen Sie regelmäßig Ihre Firewall-Regeln.
- Ziehen Sie Host-basierte Firewalls zur zusätzlichen Absicherung in Betracht.
- Schränken Sie ausgehende Verbindungen weitestgehend ein. Die meisten Angriffe erfordern Internetzugriff, um tatsächlichen Schaden anzurichten.
9. Patch Management
Die meisten Angreifer nutzen bekannte und behebbare Schwachstellen aus.
- Automatisieren Sie das Einspielen von Sicherheitsupdates, und beheben Sie Fehler, die das verhindern.
- Nehmen Sie alle Systeme und Software außer Betrieb, die keine Sicherheitsupdates mehr erhalten.
- Überwachen Sie alle einzelnen Installationen auf Aktualität?
10. IT Asset Management
Wenn man nicht weiß, wie die IT Infrastruktur im Einzelnen aussieht, ist auch deren Schutz nicht möglich.
- Verfügen Sie jederzeit über den aktuellen Überblick und Detailinformationen zu allen IT Assets?
- Bekommen alle Ihre anderen Prozesse (s.o.) ausreichend Informationen aus dem IT Asset Management, um effektiv zu sein?
Mit IT Asset Management schaffen Sie bis ins kleinste Detail Transparenz über alle Ihre IT-Assets.
11. Härtung
Am Ende zielen alle diese Maßnahmen auf die Härtung Ihrer IT ab. Es gibt viele weitere. Schauen Sie sich die Empfehlungen zu Ihren Systemen an.
Auch wenn Sie über effektive Schutzmaßnahmen verfügen, dürfen Sie sich trotzdem noch zusätzlich „verstecken“. „Security by obscurity” verringert trotzdem die Angriffswahrscheinlichkeit.
Zertifizierung allein schützt nicht
IT-Sicherheit muss die richtige Balance zwischen Compliance und einem sehr hohen technischen Schutz gewährleisten. Compliance ist dabei kein Selbstzweck, sondern ermöglicht, dass Unternehmen über drohende Risiken nachdenken, die richtigen Fragen stellen und proaktiv handeln. Auch eine Zertifizierung allein schützt nicht. Hierfür sind konkrete, abgestimmte Härtungs- Maßnahmen erforderlich. Das bedingt permanente substantielle Investitionen in Technik und das Know How der Mitarbeitenden. Das ist gut investiert. Denn allein in Deutschland betrug der Gesamtschaden durch Cyber-Angriffe in 2021 etwa 220 Milliarden Euro.