Welche Maßnahmen sollten zur Absicherung der IT unternommen werden?

1 Grundlagen

Die hier genannten Maßnahmen sind Minimum

1.1 Verantwortung

Die Gesamtverantwortung muss nach ganz oben. Aber was bedeutet das? Es wird sich niemand für IT-Sicherheit interessieren, wenn nicht du als Chef mit dem Thema vorangehst. Zwar steht da "IT" dran, aber das ist nur die technische Perspektive und kaschiert die tatsächliche Bedeutung. In Wirklichkeit geht es um das gesamte Unternehmen, denn wenn die IT nach einem Cyber-Angriff mal großflächig ausfallen sollte, dann steht der gesamte Laden. Oder es werden die Daten der neuesten Produktentwicklung abgezogen. Oder ein großer Geldbetrag wird auf das Konto von Kriminellen umgeleitet. Solche Fälle können existenzbedrohende Züge bekommen.

Was also kannst du tun?

Wenn du Geschäftsführer bist: Frage mindestens einmal pro Woche deinen IT-Verantwortlichen nach dem Status eines der nachfolgende Themen. Damit machst du die Bedeutung klar, die du in der Sache siehst. Und du wirst vermutlich neue Maßnahmen anstoßen, die das Sicherheitsniveau erhöhen. Wiederhole es immer und immer wieder, denn in der Regel dringen neue Themen erst dann bei Anderen ins Bewusstsein, wenn man sie 10 Mal oder öfter gehört hat.

Wenn Du der IT-Verantwortliche bist: Zeige deiner Geschäftsleitung regelmäßig anhand von Beispielen, welche massiven Folgen es für das gesamte Unternehmen haben kann, wenn es Mängel in der Cyber-Sicherheit gibt. Schlage einen Plan von Maßnahmen für die kommenden 12 Monate vor, um die IT-Sicherheit zu verbessern.

1.2 Datensicherung

Eine richtig gemachte Datensicherung ist die wichtigste Vorsorge für die meisten Bedrohungen, denen die Unternehmens-EDV ausgesetzt ist, egal ob Plattencrash, Diebstahl von Hardware, Feuer und Wasser oder Ransomware. Allerdings kommt es stark darauf an, wie diese Sicherung arbeitet. Denn Datensicherung ist nicht gleich Datensicherung.

Werden die zu sichernden Daten nur auf einen anderen Server innerhalb des selben Netzwerks kopiert und nicht weiter abgesichert, so hilft das zwar gegen einen Plattencrash auf dem originalen Server. Bei einem Hackerangriff mit Ransomware sind solche Sicherungen jedoch leichte Beute. Denn die Erfahrung zeigt, dass viele Hacker das Zielsystem zunächst ausführlich erkunden, nachdem sie eingedrungen sind. Manchmal dauert es Wochen oder Monate, bis sie mit der Verschlüsselung der Daten starten, um für die Entschlüsselung hohe Beträge von dem Unternehmen zu verlangen. In dieser Zeit haben sie in der Regel gelernt, wie die Datensicherung erfolgt. Wenn die Sicherungsdateien irgendwo ungeschützt herumliegen, werden sie diese löschen, damit sie für eine Wiederherstellung ohne Zahlung von Erpressungsgeld nicht zur Verfügung stehen.

Erfolgt die Datensicherung auf Server an einem anderen Standort, so hilft das zwar gegen Katastrophen wie schwere Brände am ersten Standort. Solange die Sicherungen aber nicht weiter geschützt sind, macht es für Hacker keinen Unterschied.

Die beste Sicherung vor Angriffen mit Ransomware ist eine Offline-Sicherung. Dabei werden nach erfolgter Sicherung die Sicherungsmedien physikalisch vom Netzwerk getrennt, so dass sie für entfernt wirkende Hacker unerreichbar sind. Das geschieht beispielsweise imdem die Sicherungsbänder entnommen und in einen Safe gelegt werden.

Wichtig ist nun, dass man mehrere Sicherungsmedien in einem geplanten Wechsel nutzt. Die absolute Mindestanforderung ist, dass zu jeder Zeit wenigstens immer eine Sicherung vom Netz getrennt ist. Mit nur einem Sicherungsmedium wäre das nicht zu bewerkstelligen, denn für die nächste Sicherung verbindet man auch die vorherige Sicherung wieder mit dem Netz und diese wird damit angreifbar.

Da Hacker teilweise Wochen auf einem System verbringen, sollte ein Sicherungsplan auch längerfristige Aufbewahrungszeiträume beinhalten. Beispiel: Montag bis Donnerstag tägliche Sicherung nur der geänderten Daten auf jeweils 4 verschiedene Medien, die in der Folgewoche an den entsprechenden Wochentagen wieder überschrieben werden. Freitags eine Komplettsicherung, die mehrere Monate außerhalb aufbewahrt wird, z.B. in einem Bankschließfach. Zum Monatsende eine Komplettsicherung auf 12 Medien, ebenfalls extern gelagert, die erst wieder nach einem Jahr überschrieben werden.

Eine Alternative zur Sicherungen auf physikalischen Medien sind Sicherungen in der Cloud. Hier gibt es zahlreiche Anbieter, die "Immutable Backups" im Programm haben. Die Sicherung erfolgt dabei über das Internet auf einen Speicherplatz des Cloud-Anbieters. Dabei wird gewährleistet, dass die Sicherung unveränderbar ist. Gleichzeitig ist damit eine Aufbewahrung der Sicherung an einem anderen Standort gegeben, damit bei größeren Ereignissen am eigenen Standort nicht auch die Datensicherung zerstört wird.

Sehr wichtig ist es, alle Arten von Sicherungen regelmäßig darauf zu testen, dass sie sich auch wiedereinspielen lassen. Denn es wäre sehr unglücklich, wenn man erst nach Eintritt des Ernstfalls feststellen würde, dass z.B. durch einen Konfigurationsfehler die Sicherungen unvollständig oder komplett unbrauchbar sind.

Bei all diesen Themen sollte man sich kompetent beraten lassen, damit man bei der Datensicherung ein sinnvolles System hinbekommt, das für die verschiedenen Risiken angemessene Lösungen bereithält und für das Unternehmen im Alltag auch gut handhabbar ist.

1.3 Systeme patchen

Wir stellen an unsere IT immer höhere Ansprüche im Hinblick auf Verfügbarkeit, Komfort, Integration mit anderen Systemen. Das führt zwangsweise zu immer komplexerer Software und damit wächst auch die Zahl der Sicherheitslücken. Natürlich sollten die Anbieter alles daran setzen, solche Lücken bereits im Vorfeld zu erkennen. Aber selbst die potentesten und renommiertesten Hardware- und Software-Hersteller schaffen es nicht, alle Schwachstellen zu entdecken. Außerdem werden auch die Angriffstechniken immer ausgefeilter, so dass ein vor einem Jahr noch als sicher geltendes System heute leicht verwundbar sein kann.

Deshalb ist es wichtig, wie mit solchen Lücken umgegangen wird. Die Anbieter müssen die erkannten Sicherheitslücken schließen und viele Anbieter tun das auch. Sie stellen für die von ihnen unterstützten Produktlinien und Versionen entsprechende Patches oder Updates zur Verfügung. Jedoch müssen diese auch sehr zeitnah eingespielt werden, denn gerade bei Lücken in bekannten und weit verbreiteten Systemen sind es manchmal nur wenige Tage bis zu den ersten Angriffen.

Am besten sind alle Systeme so konfiguriert, dass sie sich die Updates alleine ziehen, sobald eines vorliegt. Das funktioniert beispielsweise besonders gut beim Windows-Betriebssystem und bei Browsern. Gelegentlich hört man als Gegenargument, dass man zunächst sehen möchte, ob der Patch stabil ist und deshalb nur manuelle Updates zulässt. Das sollte aber nur dann zugelassen werden, wenn bei einem Anbieter wiederholt Probleme aufgetreten sind und der Prozess so organisiert ist, dass entsprechende Verantwortlichkeiten inkl. Urlaubsvertretung usw. gibt, die sich täglich um solche Fragen kümmern können. Da das selten der Fall sein dürfte, sollten die automatischen Updates gewählt werden. Sind automatische Updates nicht möglich, so sollte man die entsprechenden Veröffentlichungen und Benachrichtungen der Anbieter verfolgen und sofort handeln.

Bei der Konfiguration des Update-Prozesses und beim Einspielen von konkreten Updates können auch Dinge schiefgehen. Vielleicht wurden die automatischen Updates ausgeschaltet und es wurde vergessen, sie wieder einzuschalten. Oder das Einspielen eines Updates blieb hängen und blockiert nun alle weiteren. Deshalb sollte immer wieder überprüft werden, ob die aktuellen Patches tatsächlich eingespielt sind. Lass dir deshalb von deinem IT-Ansprechpartner oder -Dienstleister ganz konkret zeigen, dass Updates auf einem bestimmten System aktiv sind. Auf vielen Systemen kannst du dir auch selbst den Patch-Level anzeigen lassen. Indem Du immer wieder nachfragst, zeigst Du die Wichtigkeit dieses Themas für Dich und der IT-Ansprechpartner wird zukünftig noch größere Sorgfalt zeigen.

Blieb eine Lücke längere Zeit ungepatcht offen, so muss unbedingt qualifiziert geprüft werden, ob sie ausgenutzt wurde und Angreifer es geschafft haben, ins Netzwerk der Firma einzudringen. Denn Angreifer schaffen sich bei erfolgreichem Eindringen sofort eigene Kommunikationswege ins Firmennetzwerk, so dass sie alleine durch das nachträgliche Schließen der Lücke nicht unschädlich gemacht werden.

Und was tun bei alten Systemen, für die es keine Updates mehr gibt? Am besten sofort außer Betrieb nehmen. Nun gibt es Fälle, in denen ein solches System noch genutzt werden muss, weil beispielsweise eine alte und noch benötigte Steuerungssoftware nur auf Windows XP läuft. Dann müssen solche Systeme isoliert und besonders geschützt werden, damit sie nicht als Sprungbrett für eine Cyberattacke auf das restliche System genutzt werden können.

Ja, einige Sachen hiervon klingen kompliziert und auch ein bisschen aufwändig. Die grundlegenden Konfigurationen und Tätigkeiten sind jedoch nicht schwer, sie müssen nur an den Start gebracht und am Laufen gehalten werden. Die Mühe lohnt sich, denn das Aufräumen der Trümmer nach einem Cyber-Angriff ist weitaus aufwändiger.

1.4 Netzwerk segmentieren

In der Vergangenheit herrschte das Prinzip vor, die Unternehmens-IT vorwiegend an deren "Außengrenzen" zu schützen. Das ist der sogenannte Perimeterschutz: Niemand darf von außen in das Netzwerk eindringen. Innerhalb des Netzwerkes jedoch waren alle Systeme relativ frei zugänglich.

Aufgrund der Komplexität der Systeme und der immer ausgefeilteren Angriffsmethoden gelingt es Hackern jedoch immer häufiger, in Netzwerke einzudringen. Wenn dann innerhalb des Netzwerkes die Systeme offen sind, haben sie leichtes Spiel und können die gesamte IT einer Organisation unter ihre Kontrolle bringen.

Deshalb sollte man heute bei der Konzeption von Schutzmaßnahmen eher davon ausgehen, dass Hackern der Einstieg grundsätzlich gelingen wird. Dass man aber dann die ihre Ausbreitung intern einschränken muss, genauso wie man die Auswirkungen eines Angriffs intern eindämmen muss.

Neben einer stärkeren Absicherung der Systeme auch gegen interne Zugriffe gehört dazu die Netzwerksegmentierung. Dabei wird das Netzwerk in einzelne Abschnitte unterteilt, zwischen denen es nur wenige und gut gesicherte Übergänge gibt. Segmente könnten z.B. sein: Bürokommunikation, Produktionssteuerung und IP-Telefonie. Wenn dann ein Angriff im Segment der Bürokommunikation gestartet wird, haben Produktionssteuerung und IP-Telefonie eine höhere Chance, weiterhin zu funktionieren.

1.5 IT-Bestand inventarisieren

Wenn man seine IT gut managen möchte, dann muss man sie auch kennen. Dazu gehört, dass man seine Bestände an Servern, Arbeitsplatzgeräten, Routern usw. inventarisiert und diese Informationen auf dem Laufenden hält. Nur dann kann man beispielsweise nachverfolgen, welche Rechner noch mit veralteten Betriebssystemen genutzt werden. Für solche Aufgaben gibt es natürlich auch Tools, bei kleinen Organisationen reicht oft schon eine Excel-Liste, die die relevanten Angaben enthält.

Alle Geräte sollten eine eindeutige Nummer zu Identifizierung erhalten. Diese Nummer sollte auch auf dem Gerät angebracht sein, z.B. mit einem Aufkleber.

1.6 Nur notwendige Berechtigungen vergeben und nutzen

Alle Benutzer, einschließlich die der IT, sollten immer nur mit den Berechtigungen angemeldet sein und arbeiten, die sie aktuell benötigen. Je weniger Berechtigungen man hat, desto schwieriger ist es für Schadsoftware, sich einzunisten und zu verbreiten. Und die Auswirkungen von versehentlichen Klicks oder anderen ungewollt ausgeführten Aktionen fallen geringer aus.

1.7 Bewusstsein bei den Mitarbeitern schaffen

Die Anwender sind ein wesentliches Element bei der Wahrung der Sicherheit. Warum ist das so? Wollte man alle IT-Systeme so absichern, dass die Sicherheit vollständig unabhängig vom Anwender ist, so wäre die normale Arbeit massiv eingeschränkt. Wenn man beispielsweise für den perfekten Schutz die Möglichkeit externer EMails und den Internet-Zugang kappen würde, dann hat man zwar wichtige Einfallstore für Malware geschlossen, aber in vielen Branchen könnte dann auch nicht mehr sinnvoll gearbeitet werden. Also lässt man bestimmte Funktionen und Dienste zu und der einzelne Anwender ist nun dafür verantwortlich, dass die daraus entstehenden Möglichkeiten nicht für schädliche Zwecke missbraucht werden. Das ist wie beim Schlüssel für die Eingangstür zum Büro: Auch hier muss der Besitzer darauf achten, dass die Tür wieder geschlossen wird und dass ihm auch kein Fremder durch das sich schließende Tor nacheilt.

Jedoch ist die Cyber-Gefahr abstrakt und für viele Menschen schwer greifbar. Deshalb sind wiederholte Kampagnen notwendig, die auf die Cyber-Gefahren und die möglichen Auswirkungen aufmerksam machen. Als grundsätzlicher Punkt ist dabei wichtig zu vermitteln: Cyber-Angriffe treffen Unternehmen jeder Größe. Es sind nicht nur die Konzerne, sondern das Spektrum reicht über Mittelstand bis zum Einzelunternehmer. Deshalb wird irgendwann auch das eigene Unternehmen betroffen sein und deshalb ist das ständige Bewusstsein und eine hohe Wachsamkeit dafür so wichtig.

Die Themen einer solchen Unterweisung sollten u.a. umfassen:

  • Rechner immer sperren
  • Keine unbekannten Anhänge in Mails öffnen
  • Keine Makros in Office-Dateien aktivieren
  • Auf keine zweifelhaften Links klicken
  • Keine fremden USB-Sticks in den Rechner stecken
  • Methoden und Gefahren von Social Engineering
  • Methoden und Gefahren von CEO Fraud
  • Keine Informationen über Unternehmensinternas an Fremde geben
  • Keine Unternehmensdetails auf sozialen Medien posten

Da wir alle täglich mit unzähligen Informationen konfrontiert werden, verlieren solche Schulungen schnell ihre Wirkung. Daher sollten sie in regelmäßigen Abständen wiederholt werden. Die Teilnahme an solchen Unterweisungen sollte durch die Mitarbeiter schriftlich bestätigt werden.

Eine noch bessere Möglichkeit, das Bewusstsein für diese Themen zu stärken, sind praktische Tests. Hier werden die Mitarbeiter mit praktischen Situationen konfrontiert, beispielsweise mit einer Mail, die einen Anhang mit simulierter Schadsoftware enthält. Der Lerneffekt ist deutlich größer im Vergleich zu nur theoretischen Schulungen, weil sich praktisch Erlebtes immer besser einprägt. Es gibt eine Reihe von Dienstleistern, die solche Tests organisieren und durchführen.

Unterstützend kann die Awareness auch durch entsprechende Plakate gestärkt werden, die im Unternehmen aufgehängt werden, z.B. in Gängen oder Pausenräumen.

1.8 Nutzungsregeln aufstellen und durchsetzen

In vielen Unternehmen gibt es sie bereits: Regeln zur Nutzung der Computer durch die Mitarbeiter. Diese sollten von den Vorgesetzten auch durchgesetzt werden und es wirkt verstärkend, wenn jeder Mitarbeiter den Sinn erkennen kann, warum es diese Regeln gibt.

Kernpunkt: Die IT des Unternehmens ist ein zentrales System, ohne das nichts laufen würde. Die meisten Geschäftsprozesse hängen davon ab und ohne funktionierende IT würde das Unternehmen schnell zum Stillstand kommen. Deshalb muss die IT-Infrastruktur besonders geschützt werden. Durch die starke Vernetzung der Komponenten betrifft das auch jeden einzelnen Computer-Arbeitsplatz und jeden Mitarbeiter und jede Mitarbeiterin. Jeder ist für den Schutz mitverantwortlich.

Aus diesem Grund gibt es Regeln, wie die EDV-Systeme zu nutzen sind. Auch wenn sie einschränkend sind: Sie tragen wesentlich dazu bei, die Sicherheit und die Integrität zu gewährleisten. Dazu gehören:

  • Keine Weitergabe von Kennwörtern
  • Sperren des Bildschirms bei jedem Verlassen des Arbeitsplatzes
  • Regeln zur privaten Nutzung, ggf. private Nutzung ganz verbieten
  • Installation von Software nur nach Genehmigung (es sollte am besten technisch ganz verhindert werden)
  • Keine Manipulation der Antivirensoftware bzw. der Überprüfungsläufe
  • Melden aller Unregelmäßigkeiten und Auffälligkeiten

1.9 Incident Response Management

Alle sicherheitsrelevanten Vorfälle sollten unmittelbar gemeldet werden, damit das Unternehmen sofort reagieren kann. Außerdem sollten diese Informationen an einer Stelle zusammenlaufen. Denn ein Cyber-Angriff hinterlässt auch in frühen Phasen durchaus Spuren. Eine einzelne Spur wie ein Änderungsdatum zu überraschend nächtlicher Stunde löst vielleicht eine kurze Verwunderung aus, erscheint aber für sich noch nicht kritisch. Wenn aber jemand erkennen würde, dass es in den vergangenen Tagen an mehreren Stellen ungewöhnliche Aktivitäten gab, dann hätte man hier ein frühes Warnsignal.

Zur Meldung von sicherheitsrelevanten Ereignissen oder von Ungewöhnlichkeiten sollte es einen Prozess geben, der sicherstellt, dass solche Informationen angenommen und verarbeitet werden. Für diesen Prozess sollte es Vertretungsregelungen geben, damit er auch bei Urlaub und anderen Abwesenheiten funktioniert.

Schließlich müssen die Mitarbeiter darüber aufgeklärt und unterwiesen werden. Sie sollten ermuntert werden, lieber eine Auffälligkeit zu viel als zu wenig zu melden. In den Räumen des Unternehmens sollten Hinweisschilder aufgehängt werden, die daran erinnern und die Möglichkeiten zur Meldung beschreiben.

Natürlich müssen in der IT-Abteilung bzw. beim IT-Dienstleister auch die entsprechenden Maßnahmen definiert werden, wie in den entsprechenden Fällen zu reagieren ist bzw. wie Auffälligkeiten dokumentiert werden.

1.10 Einfaches Notfallmanagement

Bei allen Vorsorgemaßnahmen ist nicht auszuschließen, dass eines Tages große Teile der IT ausfallen und damit ein echter Notfall für das gesamte Unternehmen eintritt. Das gilt aktuell vor allem für Cyber-Angriffe mit Ransomware, die wichtige Daten verschlüsselt und damit unbrauchbar macht.

Wie gut ein Unternehmen bzw. eine Organisation aus einem solchen Vorfall herauskommt und ob dadurch eine existenzielle Krise entsteht oder nicht, hängt ganz wesentlich davon ab, wie gut sich das Unternehmen auf einen solchen Fall vorbereitet hat. Denn in einer solche Situation steht mehr oder weniger der komplette Betrieb still, eventuell ruht die Produktion, es kann nichts mehr verkauft oder ausgeliefert werden. Die Verantwortlichen müssen sich mit vielen ungewohnten Fragen auseinandersetzen, müssen in kürzester Zeit zahlreiche wichtige Entscheidungen treffen und in einem Höchstmaß mit Parteien innerhalb und außerhalb des Unternehmens kommunzieren.

Je mehr Gedanken bereits im Vorfeld in ein solches Szenario investiert wurden, desto besser werden die Entscheidungen im Ernstfall werden. Welches sind die wichtigsten Geschäftsprozesse, die zuerst wiederhergestellt werden müssen? Welche Dienstleister können mir im Notfall helfen? Welche sinnvollen Tätigkeiten machen die Mitarbeiter in dieser Zeit? ... Diese Gedanken sollten in strukturierter Form in einem Notfallplan festgehalten werden. Hier sollten auch alle Informationen vorgehalten sein, die zur Wiederherstellung der IT-Funktionen benötigt werden, z.B. Verkabelungsplan oder eine Beschreibung der Schnittstellen zwischen den Systemen.

Ein IT-Notfallmanagement kann noch sehr viel systematischer aufgebaut werden.

Zur systematischen Erstellung eines Notfallplans gibt es eine eigene Seite:
Word-Vorlage für einen IT-Notfallplan

1.11 Durchführung eines Penetration Tests

Bei einem Penetration Test versucht ein Dienstleister, die Unternehmens-IT aus dem Blickwinkel eines Angreifers und mit dessen Methoden zu attackieren. Er sucht dabei nach Schwachstellen, mit deren Hilfe er in das Unternehmensnetzwerk oder in Anwendungen eindringen kann. Solche Schwachstellen können beispielsweise Konfigurationsfehler, ungepatchte Sicherheitslücken oder nicht geänderte Standard-Passwörter sein.

Die Erfahrung zeigt, dass auf einer bisher nicht getesteten Umgebung in vielen Fällen Lücken gefunden werden. Daher lohnt sich die Investition, denn der Schaden durch einen erfolgreichen Hacker-Angriff wird oft ungleich größer sein.

Am besten ist es natürlich, solche Tests regelmäßig zu wiederholen. Dabei sollte immer der Dienstleister gewechselt werden, weil neue Tester in der Regel auch neue Angriffs-Ideen mitbringen und somit potenziell weitere Schwachstellen entdeckt werden.

2 Fortgeschritten

2.1 Business Impact-Analyse (BIA)

Bestimme systematisch die Geschäftsprozesse, die für dein Unternehmen bzw. für deine Organisation kritisch sind und bei deren Ausfall ein hoher Schaden eintreten kann. Ein solcher Schaden kann finanziell sein, es kann sich aber auch Reputationsschäden oder um das Eintreten von Gesetzesverstößen handeln. Das sind dann die Geschäftsprozesse, die bereits im Vorfeld besonders abgesichert werden müssen bzw. die im Rahmen des Notfallmanagements (Disaster Recovery) mit hoher Priorität wiederhergestellt werden müssen.

2.2 IT-Risikomanagement

Die Maßnahmen aus dem ersten Abschnitt adressieren wichtige Gefährdungen, gehen jedoch nur wenig auf die spezifischen Belange der Organisation ein. Diese sollten im Rahmen eines Risikomanagements systematisch ermittelt und bewertet werden. Basierend auf dieser Einschätzung können dann weitere Maßnahmen ergriffen werden, um die IT noch zielgerichteter zu schützen.

Für diese Betrachtungen bieten die ISO 27001 sowie IT-Grundschutz vom BSI gute Strukturen, ohne diese Normen gleich komplett umsetzen zu müssen. In der Business Impact-Analyse (BIA) wurden bereits die kritischen Geschäftsprozesse ermittelt, daraus werden nun die IT-Systeme und -Anwendungen bestimmt, die von diesen Geschäftsprozessen genutzt werden. Dem werden die möglichen Bedrohungen gegenübergestellt, z.B. Feuer, Datenverlust, Hackerangriffe, und im Hinblick auf Eintrittswahrscheinlichkeit und Auswirkungen bewertet. Auf diese Weise bekommt man ein sehr strukturiertes Bild der Risikosituation, die man dann durch geeignete Maßnahmen verbessern kann.

2.3 Verbessertes Notfallmanagement

Aufbauend auf den Ergebnissen der BIA und des Risikomanagements sollten die Notfallpläne systematisch ergänzt werden. Hierfür gibt es Normen wie den BSI-Standard 100-4, der gute Orientierungshilfen bietet.

Ein ganz wichtiger Punkt ist das regelmäßige Üben von IT-Notfällen anhang verschiedener Szenarien, z.B. Feuer, Ransomware. Denn das sind hochkomplexe und ungewohnte Situationen, wodurch die Beteiligten einem hohen Stressniveau ausgesetzt werden. Je mehr sie sich aber bereits im Vorfeld mit ähnlichen Situationen befasst haben, desto besser werden wahrscheinlich die Entscheidungen werden und desto besser wird auch die Organisation den Notfall bewältigen.

2.4 Awareness praktisch trainieren

Mitarbeiter und Mitarbeiterinnen spielen beim Schutz der Unternehmens-IT eine wichtige Rolle. Sie müssen im Umgang mit der Technik aufmerksam sein, um Angreifern kein Einfallstor zu bieten. Hier muss bei allen Beteiligten immer wieder das Bewusstsein geweckt werden. Ein Weg dazu sind regelmäßige Awareness-Schulungen, in denen beispielsweise auf typische Muster von Phishing und anderen Methoden hingewiesen wird. Solche theoretischen Schulungen haben jedoch in den Köpfen nur eine begrenzte Halbwertszeit, je länger eine solche Unterweisung her ist, desto eher dürften die Inhalte vergessen sein und im Ernstfall wird dann doch der schädliche Mail-Anhang geöffnet.

Deshalb sollten theoretische Schulungen mit praktischen Tests ergänzt werden. Verschiedene Dienstleister haben entsprechende Angebote. Sie versenden beispielsweise Phishing-Mails gezielt an die Mitarbeiter des Unternehmens bzw. der Behörde und messen dann, wie oft der Anhang geöffnet wurde, wie oft der Link angeklickt wurde und wie oft Daten auf einer gefälschten Website eingegeben wurden.

Die Ereignisse werden zwar personalisiert erfasst, aber die Auswertung kann so erfolgen, dass nur der Mitarbeiter selbst davon erfährt, dass er eine Dummheit gemacht hat, jedoch ohne dass sein Vorgesetzter/seine Vorgesetzte informiert wird, um es mitbestimmungs-konform umzusetzen. Es wäre auch nicht im Sinn solcher Tests, irgendwelche Fehler nachzuweisen, sondern die Mitarbeiter sehr praktisch auf die Gefahren hinzuweisen.

Das praktische Erleben solcher Situationen hat einen deutlich höheren Lerneffekt als eine nur theoretische Schulung und es kann eher damit gerechnet werden, dass sich die Mitarbeiter auch in echten Situationen adäquat verhalten.

2.5 Regelmäßige Penetration Tests

Wenn bereits ein Penetration Test auf die IT-Infrastruktur der Organisation durchgeführt wurde, dann war das eine wichtige Maßnahme. Allerdings ist IT-Sicherheit nicht statisch. Denn Systeme werden irgendwann umkonfiguriert, es komme neue Komponenten hinzu, er werden neue Schwachstellen bekannt und es werden auch immer wieder neue Angriffstechniken entwickelt. Deshalb sollten Penetration Tests regelmäßig wiederholt werden, beispielsweise jährlich.

Bei einem solchen jährlichen Turnus sollte auch der Dienstleister gewechselt werden. Denn ein PenTest ist auch ein kreativer Prozess, wenn es darum geht, neue Wege in das Unternehmens-Netzwerk und in die Applikationen zu finden. Neue Pen-Tester bringen neue Ansätze mit, wodurch tendenziell auch mehr Lücken aufgedeckt werden.

2.6 Sich beraten lassen

Die Möglichkeiten der IT werden immer umfangreicher, die Angriffstechniken immer ausgefeilter. Es ist insbesondere für nicht spezialisierte Dienstleister immer schwieriger, hier das notwendige Wissen vorzuhalten. Du solltest deshalb erwägen, dich von einem auf IT Security spezialisierten Berater unterstützen zu lassen.

3 Profi

3.1 Information Security Management System (ISMS)

Wer es sehr strukturiert angehen möchte oder muss, der kommt um ein ISMS nicht herum. Das ist ein Managementsystem ähnlich dem aus der ISO 9001, hier aber auf Informationssicherheit ausgelegt und es beinhaltet Verfahren, um die Informationsicherheit in einer Organisation systematisch zu gewährleisten. Es gibt verschiedene standardisierte Ansätze, in Deutschland sind die gängigsten:

  • VdS 10000
  • ISIS12
  • ISO/IEC 27001
  • IT Grundschutz

Vor allem VdS 10000 und ISIS12 sind auf kleine bis mittlere Unternehmen zugeschnitten. Am universellsten anwendbar dürfte die ISO/IEC 27001 sein. Darüber hinaus gibt es weitere branchenspezifische Standards, so kann es sein, dass beispielsweise Kunden von ihren Lieferanten die Einhaltung bestimmter Normen verlangen und dieses auch mit Zertifizierungen nachweisen.

Ein ISMS startet bei den kritischen Geschäftsprozessen und den Anforderungen im Hinblick auf die Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit. Daraus ergeben sich Anforderungen an die zugrunde liegenden Assets wie Hardware, Anwendungen und Daten.

3.2 Security Information and Event Management (SIEM)

Hacker-Angriffe sollten so schnell wie möglich aufgedeckt werden, um das weitere Ausbreiten im Unternehmen zu unterbinden und Schaden wie Malware oder das Abziehen kritischer Daten zu verhindern. Angreifer hinterlassen auch immer irgendwelche Spuren, wie beispielsweise ein protokollierter Datentransfer mitten in der Nacht, der als unüblich auffallen würde, wenn jemand die Logdateien sichten würde. Diese Sichtung scheitert jedoch oft daran, dass solche wertvollen Informationen zwischen Unmengen von anderen Loginformationen verborgen bleiben. Außerdem haben solche Daten oft ein Format, das eine Auswertung erschwert. Damit entsteht ein großer Aufwand zur Auswertung und das hat zur Folge, dass solche Daten nicht regelmäßig geprüft werden und Cyber-Angriffe zunächst nicht erkannt werden.

Hier hilft ein Security Information and Event Management (SIEM). Das ist eine Anwendung, die Log- und Monitor-Daten von anderen Anwendungen einliest, in auswertbare Formate überführt und im Idealfall auffällige Muster und Unregelmäßigkeiten automatisch erkennt und meldet. Auf diese Weise besteht eine höhere Chance, Cyber-Angriffe früh zu erkennen.

SIEMs können selbst betrieben werden, es können aber auch Cloud-Angebote genutzt werden.

3.3 Security Operations Center (SOC)

Um Cyber-Angriffe so schnell wie möglich aufzudecken, sollten alle Unregelmäßigkeiten und Auffälligkeiten sofort analysiert werden und ggf. unmittelbar Maßnahmen ergriffen werden. Das setzt ein darauf spezialisiertes Team voraus, das über die Daten verfügt und an 365 Tagen im Jahr 24 Stunden im Einsatz ist - weil sich Hacker oft nicht an die normalen Bürozeiten halten.

Das genau macht ein Security Operations Center (SOC) aus. Schon aus den durchgehenden Arbeitszeiten wird klar, dass ein eigenes SOC nur für große Konzerne möglich ist. Es gibt jedoch auch zahlreiche Anbieter, die ein SOC als Cloud-Service anbieten, so dass es auch für mittelständische Unternehmen machbar ist. Das Unternehmen sendet kontinuierlich die Loginformationen seiner Systeme live an das SOC, wo die Daten in SIEMs eingespeist werden. Diese werden von der SOC-Mannschaft als Basis für ihre Arbeit genutzt. Der 24h-Service ist möglich, weil das SOC weitere Kunden bedient, ein Teil der Tätigkeiten automatisiert ist und nicht überall gleichzeitig etwas passiert,

3.4 Honeypots

Um Cyber-Attacken zu erkennen, können im IT-Netzwerk der Organisation sogenannte Honeypots installiert werden. Das sind spezielle Komponenten, die Angriffe auf sich locken sollen. Nach außen erscheinen sie unauffällig, sie werden jedoch im normalen Betrieb nicht genutzt und somit ist jeder Zugriff ein Hinweis auf einen kritischen Vorgang. Dieser Unterschied ist für einen Angreifer nicht erkennbar und damit besteht eine gute Chance, dass der Angreifer auf die Komponente zugreift, um sie näher zu untersuchen. Das löst einen entsprechenden Alarm im SIEM bzw. SOC aus.