Gina Sanders - stock.adobe.com
Mit Risikobewertung Schwachstellen im Netzwerk finden
IT-Mitarbeiter müssen das Netzwerk regelmäßig nach Sicherheitslücken durchsuchen, um Angriffe zu verhindern und die Kosten durch Risikobewertungen zu kontrollieren.
Da Hacker und andere Cyberkriminelle ihr Angriffsarsenal ständig um ausgefeiltere Tools und Techniken erweitern, nehmen die Datenverletzungen in Unternehmen und bei Privatpersonen Jahr für Jahr zu. Dieser Trend dürfte sich fortsetzen.
Mit den steigenden Datenschutzverletzungen nehmen auch die Kosten für die Lösung der damit verbundenen Folgen zu. Die Zahlen sind ernüchternd: Im Jahr 2017 wurden weltweit mehr als 2,6 Milliarden Datensätze kompromittiert. Das entspricht einem Anstieg um 88 Prozent im Vergleich zum Vorjahr. Laut einer von IBM gesponserten Studie des Ponemon Institute aus dem Jahr 2017 kostet der durchschnittliche Datenverlust Unternehmen 3,62 Millionen US-Dollar. Damit sind zwar die Kosten pro Datenschutzverletzung im Vergleich zu 2016 (Vier Milliarden US-Dollar) gesunken, die Unternehmen melden aber gravierendere Verstöße.
Dies verschärft den Druck auf IT-Abteilungen, die Sicherheit ihrer Unternehmensnetzwerke zu verbessern. Hier sollte am Anfang ein Plan stehen, der die Schwachstellen in der Netzwerksicherheit identifiziert und zeigt, wie die IT diese Lücken in der Verteidigung schließt. Diese Sicherheitslücken können architektonisch, auf die Ressourcen bezogen oder auch technologisch begründet sein.
Um diese Probleme zu isolieren und zu beheben, muss das Unternehmen eine gründliche Risikobewertung durchführen. Das National Institute of Standards and Technology (NIST) in den USA hat das Ziel dieser Risikobewertung definiert. Es geht darum, „das Cybersicherheits-Risiko für organisatorische Abläufe wie übergeordnete Unternehmensziele, Funktionen, Image oder Reputation, Unternehmenswerte und Einzelpersonen“ zu identifizieren.
Firmen definieren in einer Risikobewertung die gefährlichsten internen und externen Bedrohungen für ihre Infrastruktur und beschreiben, welche Kontroll- und Schutzmaßnahmen bereits im Unternehmen vorhanden sind. Eine Risikobewertung erfordert auch eine gründliche Bestandsaufnahme der eingesetzten Systeme und Technologien der Netzwerkinfrastruktur sowie der nichttechnischen Assets. Zudem ist zu klären, welche Geschäftsservices diese Ressourcen unterstützen und wer für die Wartung dieser Systeme zuständig ist.
Zu viele Unternehmen verknüpfen die Bewertung von Risiken und Schwachstellen leider nur mit den jährlichen Compliance-Tests. Sie verstehen nicht, dass diese Bewertungen wichtige Informationen liefern, um Fehler zu korrigieren und Sicherheitslücken zu schließen, bevor ein Verstoß auftritt. Damit Risikobewertungen zu einem wirksamen Element der Maßnahmen zur IT-Sicherheit werden, müssen Unternehmen diese als fortlaufenden Prozess sehen. Dazu sind die Informationen zu ihren Assets permanent zu aktualisieren und neue Lücken und Schwachstellen in ihrer IT-Infrastruktur und im Netzwerk zu überprüfen. Eine Option dafür sind häufige Penetrationstests, um über mögliche Fehler im Bilde zu bleiben, die ein Risiko für das Unternehmen darstellen könnten.
Defizit an Sicherheits-Skills ausgleichen
In zu vielen Unternehmen stellt der Mangel an Security-Skills die größte Herausforderung für die Sicherheit der IT-Infrastruktur dar. Unternehmen verfügen entweder nicht über genügend Personal oder im bestehenden Team mangelt es an Security-Kompetenz, oder wir haben es mit einer Kombination der beiden Faktoren zu tun. Dann wird sich die IT-Abteilung schwer tun, mit den zunehmend aggressiveren und raffinierteren Angriffen Schritt zu halten. Da sie häufig mit Warnmeldungen überschwemmt werden, sind zu viele Sicherheitsexperten damit beschäftigt, diese Alerts zu deaktivieren – und übersehen dabei wirkliche Bedrohungen. Selbst finanzkräftige und gut ausgestattete Unternehmen haben oft Probleme, qualifizierte Fachkräfte für Cybersicherheit zu finden. Marktforscher prognostizieren, dass es im Jahr 2022 mehr als zwei Millionen offene Stellen für IT-Sicherheitsspezialisten geben wird, die Unternehmen nicht besetzen können.
Firmen können und wollen das Personal zwar mit Hilfe von Technologie ergänzen, sie müssen aber auch ihre bisherigen Sicherheitsmaßnahmen neu bewerten. Unternehmen sollten dabei die folgenden Fragen beantworten:
- Wie einfach ist es, Änderungen in der Netzwerkumgebung zu kommunizieren?
- Verfügen wir über die richtigen Mittel und Tools, um neue Schwachstellen im Netzwerk zu finden und zu beheben?
- Können die Experten für Netzwerksicherheit ihre Maßnahmen priorisieren, etwa auf Basis des Asset-Wertes oder der kritischen Bedeutung der betroffenen Daten?
- Und verfügt die IT-Organisation über einen genauen Plan für die Reaktion auf Vorfälle (Incident Response Plan), um die Folgen eines Angriffs zu mildern, wenn er eintritt?
Bei der Priorisierung der Abwehrmaßnahmen hilft ein System, das den Wert eines Assets bemisst und diese Bewertung bei Änderungen anpasst. Einige Unternehmen erstellen eigene interne Tools für die Risikobewertung oder nutzen Services eines externen Anbieters, um diesen Teil des Risikomanagement-Prozesses zu optimieren.
Tools zum Identifizieren von Schwachstellen im Netzwerk
Ebenso wichtig wie die Werkzeuge zur Priorisierung der Maßnahmen auf Angriffe ist der konsistente, kontinuierliche Einsatz dieser Produkte. Leider werden einige der potenziell nützlichsten Tools für Cybersicherheit nicht ausreichend genutzt oder nicht angemessen eingesetzt.
Eine bemerkenswerte Lücke in der Verteidigung der Sicherheit von Unternehmen besteht in der Art und Weise, wie Patch-Management-Systeme eingesetzt werden. Ein effektives Patch-Management-Programm erfordert ein System, das Patches bei Bedarf und schnell anwendet. Wenn ein System so eingerichtet ist, dass es Updates nicht automatisch aufspielt, müssen die Netzwerk- oder Sicherheitsadministratoren die Zero-Day-Bedrohungen im Auge behalten. Dann besteht aber die Gefahr, dass Patches übersehen werden und Hacker Schwachstellen in der Netzwerksicherheit ausnutzen können.
Auch das Identity und Access Management (IAM), sprich die sichere Verwaltung von Identitäten und deren Zugriffsrechten, ist in vielen Firmen nicht so effektiv, wie es sollte. Dadurch besteht die Gefahr, dass Angreifer Passwörter und andere traditionelle Kontrollmaßnahmen umgehen. Eine entscheidende Maßnahme bei der Verteidigung von Angriffen kann die Multifaktor-Authentifizierung (MFA) sein. Die Zugriffskontrolle über Multifaktor-Authentifizierung auf allen Systemen und Anwendungen, auch auf Remote Access Gateways und Cloud-Plattformen, kann die Sicherheitssituation eines Unternehmens sofort verbessern.
Das möglicherweise beste Mittel für eine höhere Netzwerksicherheit in Unternehmen ist aber die Entwicklung, Kommunikation und Umsetzung effektiver Richtlinien. Dazu gehört auch die Schulung der Endnutzer. Eine klare Dokumentation, Schulungen und die kontinuierliche Kommunikation mit Mitarbeitern und Anwendern begrenzen manuelle Fehler und stärken das allgemeine Bewusstsein für Sicherheitsrisiken im Unternehmen.