Getty Images/iStockphoto
IT-Security: Nur ein ganzheitlicher Ansatz führt zum Erfolg
Isolierte Ansätze können in der IT-Security nicht funktionieren. Ein integratives Konzept berücksichtigt Mitarbeiter, Prozesse und Technologien um Sicherheit zu gewährleisten.
Nach wie vor werden in der IT-Security einzelne Sicherheitsmaßnahmen ergriffen, die nicht oder nur unzureichend miteinander verknüpft werden. Zielführend ist ein solcher Ansatz nicht. Eine hohe Sicherheit kann nur gewährleistet werden, wenn eine ganzheitliche Strategie verfolgt wird. Sie muss sowohl technische als auch organisatorisch-prozessuale Aspekte umfassen und nicht zuletzt auch den Faktor Mensch berücksichtigen.
Technisch betrachtet beginnt hohe IT-Sicherheit bei der Architektur. Dass dabei elementare Sicherheitsmaßnahmen ergriffen werden müssen, ist eine Selbstverständlichkeit. Dazu zählt etwa der Perimeterschutz mit Firewalls und AV-Lösungen. Selbst Next-Generation-Firewalls (NGFW) oder NGAV (Next-Generation Antivirus) sind inzwischen weitgehend Standard. Aber auch eine Privileged-Access-Management-Lösung sollte im Hinblick auf die bei nahezu allen Cyberattacken genutzten Angriffswege State-of-the-Art sein.
Aber das Entscheidende ist, dass die Lösungen nicht isoliert betrieben werden, sondern miteinander verzahnt sind. Bezogen auf das Privileged Access Management etwa sollte hinsichtlich Detektion und Angriffsunterbindung auch eine Integration mit SIEM-Systemen (Security-Information-and-Event-Management) und Security-Operations-Center-Services (SOC) vorhanden sein.
Dass eine einzelne, als Silo implementierte Lösung nicht unbedingt die Sicherheit erhöht, sondern im Gegenteil sogar zusätzliche Sicherheitsgefahren mit sich bringen kann, zeigt das Schwachstellen-Scanning, das etwa auch von Gartner empfohlen wird.
Das Problem dabei ist, dass auf Systeme mit hochprivilegierten Accounts zugegriffen wird, um etwa den aktuellen Patch-Stand oder die Konfiguration zu überprüfen. Da auf diesen Systemen dann solche Account-Logins ihre Spuren hinterlassen haben, besteht ein erhebliches Sicherheitsrisiko. Eliminiert werden kann es nur mit einer ergänzenden Lösung, die ein Passwort für den Schwachstellenscanner nur für die jeweilige Laufzeit bereitstellt – mit einer anschließenden Rotation des Passworts. Damit wird der mit der Nutzung von Schwachstellenscannern geöffnete Angriffsvektor geschlossen.
Sichtbarkeit ist ein Schlüssel der IT-Sicherheit
Wenn es darum geht, in der Sicherheit einen integrativen Ansatz zu verfolgen, darf ein Unternehmen ein wichtiges Thema nicht außer Acht lassen: die Schatten-IT. Aus Sicherheitssicht ist es zwingend erforderlich, alle Systeme und Anwendungen der Schatten-IT ans Licht zu bringen, schließlich gilt: Was ich nicht kenne, kann ich auch nicht sichern. Und dabei müssen sowohl alte, vergessene Systeme als auch Systeme und Anwendungen, die bewusst unter dem Radar der IT betrieben werden, Berücksichtigung finden.
Gleiches gilt für das vielfach unterschätzte Thema OT-Sicherheit (Operational-Technology). Oft wird von Unternehmen behauptet, dass eine strikte Trennung zwischen IT und OT vorhanden ist. In etlichen Projekten hat sich aber gezeigt: Es gibt oft „Übergänge“ und „Türen“, die keiner kennt.
Eine hohe OT-Sicherheit kann aber nur gewährleistet werden, wenn solche Nahtstellen ermittelt und für alle relevanten Geräte, Ports oder Verbindungen adäquate Sicherheitsmaßnahmen ergriffen werden – etwa mit der Überwachung privilegierter Zugriffe von IT-Clients auf kritische OT-Systeme und -Ressourcen und einer Unterbindung des Zugangs bei verdächtigen Aktivitäten.
IT-Sicherheit bedeutet auch Prozesssicherheit
Sicherheit darf aber nicht nur aus technologischer Sicht betrachtet werden, sondern muss auch organisatorische Aspekte umfassen, das heißt, es geht auch um Prozesssicherheit. Und hier gilt ebenso: Ein Unternehmen muss immer einen integrativen Ansatz verfolgen.
Wiederum bezogen auf das Privileged Access Management sollte auch eine Vernetzung mit Lösungen von Identity-Management-Anbietern gegeben sein. Für Unternehmen ergeben sich dadurch mehrere Vorteile: von einer harmonisierten Definition von Workflows oder Prozesslogiken etwa für Rollenfreigaben bis hin zur optimierten Umsetzung von Governance- und Compliance-Vorgaben in Prozesse. Außerdem ist die Integration sowohl aus Prozess- als auch aus Kostensicht von Nutzen: Die Eliminierung von Doppelarbeiten reduziert die Fehleranfälligkeit und die Betriebskosten.
„Gute Compliance bringt nicht zwingend Sicherheit oder nur eine löchrige Vernetzung von Silolösungen. Gute Sicherheit hingegen führt zwangsläufig zur Erfüllung von Compliance-Anforderungen.“
Michael Kleist, Cyberark
Gefördert wird das Silodenken in der IT-Sicherheit oft durch Compliance-Themen. Security darf aber keinesfalls rein Compliance-getrieben sein. Eine Compliance-Vorgabe kann etwa lauten, dass PCs mit Antiviren-Software ausgestattet sind. Die ebenso wichtigen Maßnahmen wie sinnvolle Auswertung der erfassten Daten oder ihre Weiterleitung an ein SOC, um Gegenmaßnahmen zu entwickeln, sind aber in den seltensten Fällen Anforderungsbestandteile.
Man könnte sagen: „Nur wenige Richtlinien denken in vernetzten Kategorien“. Also gilt Folgendes: Gute Compliance bringt nicht zwingend Sicherheit oder nur eine löchrige Vernetzung von Silolösungen. Gute Sicherheit hingegen führt zwangsläufig zur Erfüllung von Compliance-Anforderungen.
Security-Awareness-Kampagnen sind Pflicht
Nicht zuletzt muss bei allen Sicherheitsinitiativen auch immer der Faktor Mensch ins Kalkül gezogen werden. Regelmäßige Sicherheitsschulungen und Awareness-Kampagnen sind Pflicht. Es muss deutlich gemacht werden, dass Sicherheitsmaßnahmen keine Gängelung darstellen, sondern der Risikominimierung dienen, auch wenn sie vereinzelt den Benutzerkomfort einschränken mögen.
Voraussetzung für eine breite Akzeptanz ist, dass klar gemacht wird, warum welche Maßnahmen konkret ergriffen werden. Selbstverständlich betrifft das Thema dabei alle Mitarbeiter eines Unternehmens. Oft hört man derzeit, dass der C-Level ein Sicherheitsproblem darstellt, da für ihn Ausnahmen gelten.
Diese Einschätzung gilt eher für den Mittelstand, etwa für inhabergeführte Firmen, bei denen oft noch Handlungs- und Aufklärungsbedarf in Sachen Sicherheit besteht. Auf Vorstands- oder Geschäftsführerebene in großen Unternehmen oder DAX-Konzernen hingegen existiert diese Sicherheitslücke eher selten, da sie strikten Policies unterliegen; für börsennotierte Unternehmen etwa sind klare Compliance-Vorgaben vorhanden.
Insgesamt kann eine hohe Sicherheit nur durch einen ganzheitlichen, durchgängigen Security-Ansatz erreicht werden. Das heißt, ein Unternehmen muss unter Nutzung verschiedenster Technologien eine sicherheitstechnische und organisatorisch-prozessuale Integration vornehmen, denn Security ist keine Einzelsportart, sondern immer ein Mannschaftsspiel!
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.