leowolfert - stock.adobe.com
IoT: Zunahme vernetzter Geräte fordert gezielte Maßnahmen
IoT bedeutet, dass mehr Gegenstände mit dem Firmennetzwerk verbunden sind. Daher müssen diese nach ihrer Anfälligkeit priorisiert werden, um Schutzmethoden effizient zu gestalten.
Die IT-Umgebung eines modernen Unternehmens besteht aus einer Vielzahl verschiedener Einheiten. Vernetzte Geräte sind heute allgegenwärtig: Das Spektrum reicht von Standardgeräten wie Notebooks und Servern, Smartphones und Tablets über Router und Drucker bis hin zu Kaffeemaschinen und anderen IoT-Geräten (Internet of Things). Dieses digitale Universum muss katalogisiert und laufend verwaltet werden. Ohne eine genaue, aktuelle Liste aller Geräte ist die Sicherheit des Unternehmens gefährdet.
IT-Systeme gegen Angriffe abzusichern ist sowohl eine technische als auch betriebliche Herausforderung. Beispielsweise stellt das Patchen eine grundlegende Aufgabe dar, für die es einen durchdachten, priorisierten Plan braucht. Dazu ist ein genaues Verständnis über Risiken erforderlich, denen das Unternehmen ausgesetzt ist, sowie eine fundierte Kenntnis und vollständige Übersicht über sämtliche Assets, die in der betrachteten IT-Umgebung existieren.
Die Risiken der IoT-Sicherheit richtig einstufen
Akzeptables Risiko und Risikotransfer sind die Herausforderungen, die die Sicherheitsbranche antreiben. Stand zunächst der perfekte Schutz am Perimeter, sozusagen den Außengrenzen der Daten, im Fokus, ist die heutige IT weitaus komplexer. Deshalb ist es notwendig, im Sicherheitsteam einen individuellen Fokus setzen. Dabei werden vor allem die Sicherheitsstrategen in der Firma notwendig. Es stellt sich zwangsläufig die Frage nach möglichen Verlusten.
Geräte verbinden sich heutzutage praktisch jederzeit mit dem Netz. Hinzu kommt die Vielfalt der genutzten Anwendungen, die den Prozess weiter verkompliziert. Neben erworbenen Softwarepaketen, die lokal auf einer Workstation laufen, setzen Unternehmen für ihre Geschäftstätigkeit zunehmend Cloud-basierte Applikationen und SaaS-Anwendungen (Software as a Service) ein.
Für die Sicherheits-, IT- und Compliance-Experten, die mit all diesen Assets Schritt halten sollen, ist das ein massives Problem, da die einzelnen Abteilungen des Unternehmens Anwendungen oder Assets durchaus selbstständig anschaffen können. Oft müssen sie dazu keine Freigabe der IT abwarten.
Dieses Phänomen wird als „Schatten-IT“ bezeichnet: Anwendungen und Geräte, die Mitarbeiter für ihre täglichen Aufgaben verwenden, vom Unternehmen aber nicht verwaltet werden, beziehungsweise ohne das Wissen des IT-Bereichs existieren. Zur Schatten-IT kann ein Mix aus privaten Smartphones oder Computern gehören, aber auch zusätzliche Hardware, Cloud-Dienste und Anwendungen, die eine Abteilung beschafft.
Oftmals werden Nutzer von IT-Sicherheitsteams aus dem Netzwerk ausgeschlossen, oder ihnen wird der Zugriff verweigert. Ein wirksamer Weg besteht entgegen der gängigen Praxis darin, mit den Stakeholdern Zulässigkeiten zu vereinbaren und zugleich die Netzwerke zuverlässig auf neue oder gefährdete Assets zu überwachen.
IT-Teams müssen neue IT-Assets oder Softwareprogramme im Netzwerk schnell erkennen können. Wenn sie Einsicht in potenzielle Probleme haben und auf dieser Grundlage Entscheidungen treffen, können sie die Risiken besser steuern.
Den eigenen Gerätepark kennen
Es gilt die Maxime: Wissen ist Macht. Für IT-Sicherheitsfachleute besteht der erste Schritt darin, die Assets in ihrem eigenen Universum zu kennen. Anschließend können sie priorisieren, welche untersucht, geschützt, verteidigt, abgesichert oder repariert werden müssen.
Dabei hilft es, einen datengestützten Ansatz zu verfolgen, der darauf basiert, was im Netzwerk existiert und in welchem Zustand es sich befindet. Mit dieser Liste von Assets und Software können Prioritäten besser gesetzt und fundierte Entscheidungen getroffen werden. Resultierend können die knappen Ressourcen gezielt verwendet werden. Dazu sollte priorisiert werden, welche Bedrohungen und Schwachstellen sofort beseitigt und welche erst einmal zurückgestellt werden können.
„IT-Sicherheit erfordert, dass sich Unternehmen die realen Bedingungen ansehen und die möglichen Störungen für Geschäftsabläufe berücksichtigen, die durch die Behebung eines Problems entstehen könnten.“
Marco Rottigni, Qualys
Zu diesem Zweck wird eine Liste aller Softwareschwachstellen benötigt, die speziell für eine individuelle Umgebung relevant sind. Mit einer Kombination aus Schwachstellenmanagement und Asset-Inventarisierung können Unternehmen feststellen, mit welchen Assets sie sich zu welchem Zeitpunkt befassen müssen.
Darüber hinaus ist es hilfreich, die IT-Assets zu betrachten, welche für kurze Zeiträume mit dem Netzwerk verbunden sind. In der Vergangenheit mussten die Sicherheitsteams warten, bis solche Assets im Netzwerk waren, ehe sie sich der Problembeseitigung annahmen. Heute machen es spezialisierte Sensoren und Online-Dienste hingegen möglich, alle Geräte eines Unternehmens zu sehen, wo immer sie sich auch befinden. So müssen die Teams nicht warten, bis die Benutzer notwendige Korrekturmaßnahmen oder Updates zulassen, sondern können diese gezielt steuern und in geeigneten Zeitfenstern durchführen.
Maßnahmen priorisieren
IT-Sicherheit erfordert, dass sich Unternehmen die realen Bedingungen ansehen und die möglichen Störungen für Geschäftsabläufe berücksichtigen, die durch die Behebung eines Problems entstehen könnten. Dabei geht es nicht um Schwarzweißmalerei, sondern um Risikomanagement: Der Sicherheitsverantwortliche muss wissen, welche IT-Assets im Netzwerk existieren, welche Bedrohungen damit einhergehen und wie die vorhandenen Ressourcen am besten genutzt werden. Wenn Firmen einen besseren, genaueren Überblick über Ihre Assets haben, können Sie sowohl deren Verwaltung als auch die Absicherung besser planen.
Über den Autor:
Marco Rottigni ist Chief Technical Security Officer EMEA bei Qualys.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.