leowolfert - Fotolia
Die IT-Sicherheit mit fünf wichtigen Maßnahmen verbessern
Immer komplexere Umgebungen stellen IT-Teams in Sachen Sicherheit vor große Herausforderungen. Folgende Tipps helfen dabei, die Gesamtsituation in Sachen Security zu verbessern.
Geht es in der IT im Unternehmen um die Priorisierung finanzieller und personeller Ressourcen, dann ist die Sicherheit nur ein Faktor von vielen – wie etwa Verfügbarkeit oder Leistung. IT-Leiter und Sicherheitsverantwortliche haben alle Hände voll zu tun, den Herausforderungen gerecht zu werden. Viel Unternehmen sind längst bereit, entsprechend Zeit und Budget für die IT-Security aufzuwenden. Trotz allen Bemühungen sehen sie sich aber einem kontinuierlichen Ansturm von Angriffen ausgesetzt.
Und es ist zugegebenermaßen nicht einfach, genau die richtigen IT-Sicherheitsmaßnahmen für die eigene Umgebung zu etablieren und aufrechtzuerhalten. Unternehmen benötigen meist Beratung, die über die von Herstellern angebotenen Informationen hinausgeht und die gesamte Bandbreite der möglichen Bedrohungsvektoren und Angriffstechniken berücksichtigt.
Nachfolgend haben wir fünf Tipps zusammengefasst, mit denen IT-Leiter und DevOps-Teams die Sicherheit in verteilten Umgebungen verbessern können.
Den IT-Bestand erfassen und priorisieren
Am einfachsten verschaffen sich Eindringliche durch eine unverschlossene Tür Zutritt zum Unternehmen. Und insbesondere durch eine Tür, deren Vorhandensein dem Hausbesitzer nicht einmal bewusst war. Das Gleiche gilt für IT-Angriffe, bei denen verwaiste virtuelle Maschinen (VMs), Schatten-IT-Server und nicht überwachte – oder sogar vergessene – Anwendungen als Einfallstor ins Rechenzentrum genutzt werden.
Einmal in die Umgebung eingedrungen lassen sich dann womöglich raffiniertere Angriff auf kritische Systeme durchführen.
Daher ist es unerlässlich, dass IT-Teams ein aktuelles Inventarsystem führen. Dort müssen alle System- und Software-Assets erfasst werden und nach ihrer Bedeutung für den Geschäftsbetrieb priorisiert werden. Nur so kann sichergestellt werden, dass kritische Systeme auch den notwendigen Sicherheitsschutz erhalten.
Einen Vorfallreaktionsplan entwickeln und testen
Menschen machen Fehler und Abläufe sind niemals perfekt. Daher kommt es selbstredend auch in gut geschützten Organisationen zu Sicherheitsvorfällen. Mit einem ordentlichen Vorfallreaktionsplan (Incident Response Plan, IRP) ist bereits viel gewonnen. Ein gründlicher und vor allem auch erprobter Reaktionsprozess bei einem Sicherheitsvorfall beruhigt Kunden und Mitarbeiter gleichermaßen und sorg zudem dafür, dass der Geschäftsbetrieb nicht über Gebühr unterbrochen werden muss.
Zu einem entsprechenden Vorgehen müssen regelmäßige Tests durch einen unabhängigen Dritten – häufig ein Dienstleister der auf White-Hat-Penetrationstests spezialisiert ist – durchgeführt werden. Damit lassen sich auch die stets neuesten Bedrohungsformen simulieren. Im Idealfall werden diese Tests unangekündigt durchgeführt, um die Bedingungen möglichst real zu halten. Dies auch um zu verhindern, dass die Sicherheitsteams von vornherein in höchster Alarmbereitschaft agieren.
Systeme regelmäßig aktualisieren und scannen
Vielen Sicherheitsvorfällen lag häufig eine nicht geschlossene Schwachstelle zugrunde, und nicht selten stand bereits ein Sicherheits-Update zur Verfügung. Sofern ein Patch oder ein Update nicht nachweislich Probleme im Betrieb verursacht, sollte man alles versuchen, die Systeme stets auf dem neuesten Stand zu halten.
Darüber hinaus ist es ratsam, regelmäßig Sicherheitsscans auf den Systemen durchzuführen, um offene Ports, APIs oder andere Schwachstellen aufzuspüren. Viele der Aufgaben können Sicherheitsteams durchführen, ohne dass der Betrieb für die Anwender eingeschränkt werden muss.
Zugangsdaten richtig absichern
Ein ordentliches Sicherheitsmanagement muss eine sorgfältige Handhabung mit Anmeldeinformationen beinhalten. Und zwar für alle Benutzer, Systemkonten sowie Dienste und APIs. Eine gemeinsame Nutzung von Konten muss grundsätzlich ausgeschlossen sein. Und abhängig davon, ob Person, Anwendung oder Maschine – wenn auf andere Ressourcen zugegriffen wird ist eine eigene Identität und ein eindeutiges, starkes Passwort erforderlich.
Wann immer es möglich ist, sollte Multifaktor-Authentifizierung zum Einsatz kommt, bei der ein Zugang beispielsweise zusätzlich über einen der folgenden Faktoren abgesichert werden kann:
- Einen Hardware-Sicherheitsschlüssel oder Security Token, beispielsweise im USB-Format
- Eine Anwendung zur Codegenerierung wie Microsoft Authenticator oder Google Authenticator, die einmalige Kennungen generiert.
- Mobile Geräte, die eine biometrische Überprüfung erlauben.
Für Administratorzugänge oder Konten, die Anwendungs- und Systemzertifikate beziehungsweise -Schlüssel verwalten ist Multifaktor-Authentifizierung ein Muss.
Phishing mit Schulungen und Zero Trust begegnen
Der menschliche Faktor ist bei Angriffen nicht zu unterschätzen. Kriminelle versuchen mit ausgefeilten Phishing-Attacken, potentielle Opfer in Unternehmen zu bestimmten Aktionen zu verleiten. Sei es das Öffnen von Mail-Anhängen oder das Besuchen von präparierten Websites, um dort Daten abzugreifen.
All dies geschieht inzwischen mit sehr personalisierten und professionellen Angriffen, per Mail aber auch per Textnachricht, dem so genannten Smishing. Derlei Angriffe umgehen häufig technische Abwehrmechanismen, da das Opfer häufig eine Aktion ausführt. Hier ist die wirksamste vorbeugende Maßnahme, die Mitarbeiter sehr gezielt zu schulen. Idealerweise gezielt auf ihre jeweilige Tätigkeit abgestimmt. Ein Mitarbeiter in der Personalabteilung unterliegt meist anderen Angriffen als ein kaufmännischer Sachbearbeiter.
Ist erst einmal ein grundlegendes Sicherheitsbewusstsein im Unternehmen etabliert, ist schon viel erreicht. Darüber hinaus empfiehlt es sich, den Zero-Trust-Ansatz sukzessive umzusetzen.
Beim Zero-Trust-Modell werden zentralisierte Authentifizierung und Richtlinien durch eine granulare Struktur, die eine sehr feine Richtlinienumsetzung auf die Spitze treibt ersetzt. Dies erfordert einen authentifizierten Zugriff für alle Dienste, Systeme und Daten.