Best Practices

IT-Sicherheit ist ein Prozess, der eine Vielzahl an Personen involviert, angefangen beim Systemadministrator über den Anwendungsbeauftragten bis hin zur Führungsebene. Das alles verlangt nach jemandem, der das Thema IT-Sicherheit lebt und laufend über die neuesten Angriffe und Schwachstellen informiert ist. Nur wenige Unternehmen können es sich jedoch erlauben, solche Experten fest anzustellen. Im Normalfall lassen sich Administratoren von externen Consultants beraten, die sich täglich mit der Materie beschäftigen und einen umfangreichen Überblick über die aktuelle Bedrohungslage haben.

Jedoch scheuen sich viele Firmen davor zurück, mit Externen über die eigene Sicherheitslage zu sprechen. Eine Einstellung, die in Deutschland sehr weit verbreitet ist. Aus diesem Grund führt Deutschland auch die Liste der Staaten an, die am meisten unter Cyberattacken leiden. 2013 betrug der Verlust circa 1,6 Prozent des Bruttoinlandsproduktes – in Zahlen ausgedrückt mehr als 43 Milliarden Euro. Dabei sollten gerade die Administratoren von kleineren Firmen auf das Wissen von Experten zurückgreifen, um die optimale Sicherheit der Infrastruktur zu gewährleisten.

Generell beginnen Sie mit dem Definieren der unternehmenskritischen Assets. Dies können bei einem Bauunternehmen Gebäude-Pläne sein, bei einem Dienstleister Personalakten und bei Banken ist jedem klar, dass dort das Geld den wertvollsten Besitz darstellt. Leider sind viele Unternehmen davon überzeugt, dass sie “nichts haben, was für den Wettbewerb von Interesse ist“. Dann stellt sich aber die Frage, wie dieses Unternehmen existieren kann. In irgendeinem Punkt muss es sich vom Wettbewerb unterscheiden, ansonsten hätte es keine Daseinsberechtigung. Überlegen Sie sich also, was Ihre Kronjuwelen sind und was passiert, wenn diese in die falschen Hände geraten.

Wenn Sie sich Ihre Assets anschauen, sollten Sie sich nicht nur auf Zahlen fokussieren. Häufig leidet die Reputation eines Unternehmens erheblich, wenn Sicherheitsvorfälle öffentlich bekannt gegeben werden müssen (§42a Bundesdatenschutzgesetz). Prominentestes Beispiel ist in diesem Zusammenhang wohl das Unternehmen Sony, das nach dem Angriff auf das Playstation Network eine erhebliche Anzahl Kunden an den Konkurrenten Microsoft mit der Xbox verlor.

Sind alle Assets definiert, schauen Sie sich an, wo Berührungspunkte mit IT-Infrastrukturen auftreten und wie sich Angreifer Zugang verschaffen können. Für den Fall, dass die Schwachstellen nicht klar erkennbar sind, können Sie einen Dienstleister mit einem Penetrationstest beauftragen. Dieser versucht, je nach Zielszenario, die Infrastruktur anzugreifen und irgendwie an die unternehmenskritischen Assets zu gelangen. Dabei müssen Sie sich vor Augen führen, dass es keinen hundertprozentigen Schutz gibt.

In letzter Zeit gehen Angreifer dazu über, sich mittels Social Engineering Zugang zu Unternehmen zu verschaffen und diese von innen heraus zu kompromittieren. In den meisten Fällen sind sie damit erfolgreicher und schneller als mit klassischen Angriffen aus dem Internet. Im Gegenzug werden von vielen Dienstleistern sogenannte "Tiger Team Attacks" angeboten. Sie simulieren diese Angriffe und versuchen Schwachstellen in der physikalischen Gebäudesicherheit sowie beim Verhalten der Mitarbeiter aufzudecken und sich unter Ausnutzung der vorhandenen Hardware Zugang zum Netzwerk des Unternehmens zu verschaffen. Die Ergebnisse von Penetrationstests werden in einem Bericht zusammengefasst, auf dessen Grundlage sich hervorragend die nächsten Schritte zur Behebung der Schwachstellen entwickeln lassen.

Durchführung eines Penetrations-Tests

Sollten Sie einen Penetrations-Test durchführen, unterziehen Sie die Ergebnisse einer gründlichen Risikoanalyse, und zwar jedes einzeln. Als Erstes wird für jede Schwachstelle festgelegt, welche Auswirkungen deren Ausnutzung haben kann und wie hoch das Risiko für das Unternehmen ist. Anschließend legen Sie fest, ob die Schwachstelle behoben wird oder nicht. Häufig gibt es ganz triviale Gründe, weshalb eine Schwachstelle nicht behoben werden kann. So verwenden beispielsweise sehr viele CNC-Fräsen heute noch Steuerungsprogramme, die unter Windows NT laufen. Häufig können diese nicht aktualisiert werden, da die CNC-Steuerung genau für eine bestimmte Windows-Version mit festgelegtem Patchstand geschrieben wurde. In diesem Fall können Sie nur die Infrastruktur soweit härten, dass die Maschine nicht mehr direkt angreifbar ist.

Soll die Schwachstelle behoben werden, wird definiert, wie der Administrator die Sicherheitslücke schließen kann und wann die Durchführung erfolgt. Die Ergebnisse sollten Sie mit einem weiteren Penetrationstest überprüfen. Viele Dienstleister bieten diese Dienste mittlerweile als Bundle an, bei denen jährlich, quartalsweise oder monatlich auf Schwachstellen geprüft wird. Das ermöglicht ein durchgängig hohes Sicherheitsniveau und ist mittlerweile auch von vielen Wirtschaftsprüfern anerkannt.