IT Sicherheit ist ein grosses Themenfeld. Viele Unternehmen wissen nicht genau, wo sie anfangen sollen. Zudem kommen die knappen Ressourcen oder das fehlende Fachwissen dazu. Dies vor allem bei KMUs.
In diesem Artikel wird aufgezeigt, wo eine Firma bei der IT Sicherheit starten sollte. Zudem welche konkreten Schritte unternommen werden können um die Sicherheit zu erhöhen.
Viel Spass beim lesen.
Die Daten stehen im Zentrum
Die Daten stehen bei der Cyber Security im Zentrum. Diese gilt es bestmöglich zu schützen. Konkret lauten die IT Schuzziele bezüglich Datenschutz:
- Confidentiality (Vertraulichkeit)
- Integrity (Integrität)
- Availability (Verfügbarkeit)
Diese werden oft auch als CIA-Triade referenziert (die Anfangsbuchstaben der englischen Ausdrücke).
Bevor die Daten geschützt werden können, braucht es zuerst ein aktuelles Inventar der Daten. Diese Inventar sollte im Minimum beinhalten:
- Wo welche Daten gespeichert sind
- Wo und wie die Daten verarbeitet werden
- Wer für die Daten verantwortlich ist
Ebenfalls gilt es jegliche Daten klar zu klassifizieren. Oft wird in der Praxis eine 4-stufige Klassifizierung angewendet:
- Public
- Internal-only
- Confidential
- Restricted
Jegliche Templates (Word, Power Point, etc.) in der Firma sollten die Klassifizierung beinhalten. So ist die Klassifizierung für jede Person klar sichtbar und auch Tools wie M365 können dies als Sichereitsgrundlage nehmen. Beispielsweise können „restricted“ Inhalte dann nicht mehr per Screen-Sharing gezeigt werden – dies wird von der Software automatisch unterbunden.
Datenschutz ist ein Zusammenspiel
Um die Daten anhand der CIA-Triade zu schützen, braucht es unterschiedliche Massnahmen.
Grob ist es ein Zusammenspiel von personellen, prozessualen und technischen Massnahmen.
In der folgenden Grafik sind pro Themengebiet einige mögliche Sicherheitsmassnahmen aufgelistet.
Die konkreten Massnahmen gilt es immer pro Unternehmen, resp. Produkt oder Service zu erarbeiten.
In den nächsten Kapiteln wird auf diese 3 Themenfelder eingegangen. Es werden Massnahmen aufgezeigt, welche häufig in der Praxis vorkommen.
Der Mensch ist das schwächste Glied
In der Kette zum Schutz der Daten ist der Mensch das schwächste Glied. Um dieses Glied auszuhebeln nutzen Angreifer oft Social Engineering.
Beim Social Engineering werden gezielt Schwächen, aber auch Stärken der Menschen ausgenutzt. So wird beispielsweise künstlicher Druck erzeugt oder an die Hilfsbereitschaft appelliert. Alles schlussendlich mit dem Ziel an vertrauliche Informationen zu kommen oder zu erreichen, dass das Opfer eine Aktion ausführt. Auch technische Attacken (Cryptolocker & co) nutzen diese Methode vielfach als ersten Schritt.
Die wichtigste Gegenmassnahme sind regelmässige Schulungen (Awareness-Trainings) bei den Mitarbeitern. Sobald die Mitarbeiter auf diese Methode sensibilisiert sind, ist die Hürde für einen Angreifer höher. Neben dem Training sind auch sporadische Tests zu empfehlen.
Sehr nützlich ist auch eine zentrale Meldestelle. Dorthin können Mitarbeiter die Sicherheitsvorfälle melden. Diese Meldestelle hat dadurch ein aktuelles Lagebild und kann den Meldungen nachgehen. Idealerweise hat die Meldestelle auch Zugriff auf interne oder externe Sicherheitsexperten.
Ebenfalls an einem zentralen Ort sollte das „Identity Lifecycle“ erfolgen und zwar eng verknüpft mit den HR (Human Resources) Prozessen. Dadurch kann sichergestellt werden, dass neue Mitarbeiter ihren Account und die notwendigen Zugriffsberechtigungen bekommen. Ebenso werden die Accounts zeitnah gelöscht, sobald ein Mitarbeiter die Firma verlässt.
Schlussendlich sind auch die Zugriffe auf die Systeme rollenbasiert zu vergeben. Auch bekannt unter dem Begriff RBAC (Role Based Access Control). Dadurch bekommt der Mitarbeiter nur die Rechte, welche eher für die tägliche Arbeit benötigt.
Die Prozesse müssen etabliert sein
Bezüglich Prozessen im IT Umfeld bietet ITIL (IT Infrastructure Library) bewährte Empfehlungen. Die referenzierten Prozesse in diesem Framework erhöhen auch die Sicherheit. Hier zwei konkrete Beispiele.
Das Release Management hilft beim Rollout von neuen Services oder Updates. Die Releases strukturiert einzuführen erhöht die Verfügbarkeit und Sicherheit der Services. Bei kritischen Services macht es zudem Sinn die Verantwortlichkeiten klar zu definieren und auf unterschiedliche Personen zu verteilen (seperation of duties). So hat ein einzelner Mitarbeiter nicht die Möglichkeit das System zu missbrauchen. Zusätzlich sind alle kritischen Tätigkeiten auch lückenlos aufzuzeichnen (audit trail). Diese Nachvollziehbarkeit hilft sowohl der Sicherheit als auch bei der Fehlereingrenzung bei einem Ausfall.
Bei Störungen kommt das Incident Management zum tragen. Mögliche Ausfallszenarien schon im Vorfeld durchzuspielen hilft enorm für den Ernstfall. Ebenfalls eine einzige Einflugschneise für Störungsmeldungen, auch als SPoC (Single Point of Contact) bekannt. Wichtig ist, dass auch im Störungsfall nicht alle Schutzmechanismen umgangen werden. Besondere Aufmerksamkeit sollte auf den Admin / Root Accounts gelegt werden, da diese Rechte für die Störungsbehebung z.T. notwendig sind aber auch Sicherheitsstufen aushebeln können.
Ein Framework wie ITIL einzuführen geht über einen längeren Zeithorizont. Sinnvollerweise startet eine Firma mit denjenigen Prozessen und Massnahmen, welche die grösste Hebelwirkung bieten. Schrittweise kann später die Maturität der Prozesse gesteigert werden.
Die Technik unterstützt dank der Automatisierung
Schlussendlich sind auch bei der Technik mehrere Sicherheitsstufen umzusetzen (defense in depth). So muss der Angreifer mehrere Stufen überbrücken und die Chance steigt, dass dies verhindert werden kann.
Inbesondere die Automatisierung hilft die Sicherheit zu erhöhen. Einige Beispiele dazu:
- Die Logdaten automatisch auf Anomalien zu untersuchen
- User Accounts bei Missbrauch automatisch zu sperren
- Regelmässig die IT Systeme auf Schwachstellen zu überprüfen (Vulnerability Scans)
- Neue Software Releases automatisch auf Sicherheitslücken zu testen (DevSecOps Pipeline)
Ebenfalls ist die Automatisierung für die Verschlüsselung unabdingbar. Bei der Datenübertragung (data in transit) gilt es die Daten möglichst immer zu verschlüsseln. Vermehrt werden die Daten auch bei der Speicherung (data at rest) standardmässig verschlüsselt. Für hochkritische Daten sogar bei der Verarbeitung (data in use).
Im weiteren gilt es die Verschlüsselung und Zugriffskontrolle auch equivalent beim Backup anzuwenden. Dies ist in der Praxis leider nicht immer der Fall. Empfehlenswert ist es zudem die Backup-Daten auch einen zweiten Standort zu speichern. In Cloud Umgebungen in einem anderen Tenant mit underschiedlichen Zugangsdaten. So muss der Angreifer zwei Systeme infiszieren um die volle Kontrolle zu erhalten.
Experten miteinbeziehen
Die genannten Massnahmen sind nur die Spitze des Eisberges. Die Sicherheitsthematik ist sehr umfangreich und verändert sich konstant.
Es ist empfehlenswert externe Experten miteinzubeziehen. Entweder als Sparring Partner für die firmeninternen Experten oder als Unterstützung, falls intern keine Spezialisten vorhanden sind.
Sicherheit ist ein Zusammenspiel und Teamwork. Zudem muss es laufend an die aktuelle Situation angepasst werden. Dank der langjährigen und paxiserprobten Expertise kann arc7 ihre Firma kompetent unterstützen zum Thema Cyber Security.