Unternehmen wissen nicht, welche Daten besonders schützenswert sind. Sie investieren deshalb zu wenig zielgerichtet in IT-Sicherheit. Die Folge: Hohe Ausgaben, wenig Erfolg.
Unternehmen sehen sich einer kontinuierlich wachsenden Zahl an Angriffen auf ihre technische Infrastruktur ausgesetzt. Auch die Methoden und Ziele von Hackern nehmen beständig zu - selbst wenn oft nach wie vor die "klassischen Angriffsmuster" zum Erfolg führen. So steigt aktuell beispielsweise die Zahl massiver Distributed Denial of Service-Attacken sehr dynamisch, bei dem die Server mit einer Unmenge an Abfragen überflutet werden. Auch die zentralen Applikationen geraten immer mehr in den Mittelpunkt von Sicherheitsattacken und lösen die IT-Infrastrukturen als Ziel Nummer Eins ab. Parallel dazu nimmt das Volumen der Informationen, die es in den Unternehmen zu verarbeiten gilt und geschützt werden müssen, gewaltig zu.
So bekämpfen Sie DDoS-Attacken wirksam
Schützen Sie Ihr Unternehmen gegen DDoS-Attacken Die Frequenz und der Umfang von DDoS-Attacken nehmen täglich zu. Aufgrund der steigenden Popularität dieser Angriffe sollten Unternehmen frühzeitig Abwehrmaßnahmen in Stellung bringen. Denn schlechte Netzwerkperformance sowie Ausfälle der Website und der Applikationen verursachen nicht nur hohe Kosten, sondern auch einen nicht zu unterschätzenden Reputationsverlust. Die gute Nachricht: Es gibt Maßnahmen, um den negativen Effekt zu minimieren. Markus Härtner, Senior Director Sales bei <a href="https://f5.com/">F5 Networks</a> gibt Ihnen zehn Tipps zur Hand, wie Sie die Auswirkungen einer Attacke auf Ihr Unternehmen gering halten.
1. Angriff verifizieren Zunächst gilt es, Gründe wie DNS-Fehlkonfiguration, Probleme beim Upstream-Routing oder menschliches Versagen definitiv auszuschließen.
2. Teamleiter informieren Die für Betriebsabläufe und Applikationen zuständigen Teamleiter müssen die angegriffenen Bereiche identifizieren und die Attacke "offiziell" bestätigen. Dabei ist es wichtig, dass sich alle Beteiligten einig sind und kein Bereich übersehen wird.
3. Ressourcen bündeln Ist ein Unternehmen einer massiven DDoS-Attacke ausgesetzt, müssen zügig die wichtigsten Anwendungen bestimmt und am Laufen gehalten werden. Bei begrenzten Ressourcen sollten sich Unternehmen auf die Applikationen konzentrieren, die den meisten Umsatz generieren.
4. Remote-User schützen Durch Whitelisting der IP-Adressen von berechtigten Nutzern haben diese weiterhin Zugriff auf die Systeme, und die Geschäftskontinuität wird aufrechterhalten. Diese Liste sollte im Netzwerk und gegebenenfalls an den Service Provider weitergereicht werden.
5. Attacke klassifizieren Um welche Art von Angriff handelt es sich? Volumetrisch oder langsam und unauffällig? Ein Service Provider informiert seinen Kunden gewöhnlich, wenn es sich um eine volumetrische Attacke handelt, und hat dann bestenfalls schon Gegenmaßnahmen eingeleitet.
6. Bestimmte IP-Adressenbereiche blockieren Bei komplexen Angriffen kann es sein, dass der Service Provider die Quellenanzahl nicht bestimmen und die Attacke nicht abwehren kann. Dann empfiehlt es sich, identifizierte IP-Adressen von Angreifern direkt an der Firewall zu blockieren. Größere Angriffe lassen sich per Geolocation – dem Verbot des Zugriffs auf die Unternehmensserver aus bestimmten Regionen – bekämpfen.
7. Angriffe auf Applikationslayer abwehren Zunächst gilt es, den bösartigen Traffic zu identifizieren und festzustellen, ob dieser von einem bekannten Angriffstool stammt. Spezifische Attacken auf Applikationsebene lassen sich auf Fall-zu-Fall-Basis mit gezielten Gegenmaßnahmen abwehren – dazu sind möglicherweise die schon vorhandenen Security-Lösungen in der Lage.
8. Sicherheitsperimeter richtig einsetzen Sollte es immer noch Probleme geben, liegt das potenziell an einer asymmetrischen Layer-7-DDoS-Flut. In diesem Fall ist es sinnvoll, sich auf die Verteidigung der Applikationen zu konzentrieren, und zwar mittels Login-Walls, Human Detection und Real Browser Enforcement.
9. Ressourcen einschränken Sollten sich alle vorherigen Schritte als unwirksam herausstellen, ist die Begrenzung von Ressourcen, wie die Übertragungsrate und die Verbindungskapazitäten, eine letzte – radikale – Möglichkeit. Eine solche Maßnahme hält den schlechten, aber auch den guten Traffic ab. Stattdessen können Applikationen auch deaktiviert oder in den Blackhole-Modus geschaltet werden – dann läuft der Angriff ins Leere.
10. Kommunikation planen Gelangen Informationen über den Angriff an die Öffentlichkeit, sollten die Mitarbeiter informiert und eine offizielle Stellungnahme vorbereitet werden. Sofern es die Unternehmensrichtlinien erlauben, empfiehlt es sich, die Attacke zuzugeben. Andernfalls können „technische Probleme“ kommuniziert werden. Mitarbeiter sollten auf jeden Fall die Anweisung bekommen, sämtliche Anfragen an die PR-Abteilung weiterzuleiten.
Die Verantwortlichen ringen deshalb schon lange mit ihren Vorgesetzten um deutliche Steigerungen der Investitionsbudgets für die Informationssicherheit. Doch es stellt sich die Frage, ob immer höhere Investitionen dem tatsächlichen Schutzbedürfnis und den wirtschaftlichen Pflichten gerecht werden oder ob die Investitionen nicht gezielter nach den tatsächlichen Sicherheitsbedrohungen eingesetzt werden müssten.
Denn bislang wurde bei der Betrachtung des Schutzbedarfs vielfach in der Breite gedacht - dabei erzeugt längst nicht jede Security-Gefahr die gleichen Unternehmensrisiken und nicht alles ist in gleicherweise schützenswert. Die Antwort: Weil sich die Investitionsbudgets für die Informationssicherheit trotz aktueller Zuwächse nicht unbegrenzt steigern lassen, müssen die Firmen das bisherige Gießkannenprinzip aufgeben.
Ihre Security-Budgets geben viele Unternehmen eher blind aus - im Gießkannen-Prinzip wird an allen Ecken und Enden investiert, ohne den tatsächlichen Bedarf ermittelt zu haben. Foto: Ricardo Reitmeyer - www.shutterstock.com
Zielgerichtetere Security-Ausgaben
Das Gießkannenprinzip führt dazu, dass mitunter für den Schutz weniger relevanter Daten viel Geld ausgegeben wird, während höherwertigere Informationen mit geringerem Aufwand oder gar nicht geschützt werden. Stattdessen sollte sich verstärkt eine pragmatische selektive Investitionspolitik durchsetzen, die sich auf hoch bewertete Unternehmensrisiken konzentriert und bei den weniger kritischen Sicherheitsgefährdungen bewusst Restrisiken toleriert.
Das setzt IT-Security-Verantwortliche unter Druck
Fehlende Fachkenntnisse Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen.
Ungeduldiger Vorstand Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten).
Erkennen vs. vorbeugen Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt.
Zu frühe Releases Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen.
Internet der Dinge Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt.
Big Data Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung.
Angebot und Nachfrage Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget.
Sicherheit des Arbeitsplatzes Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Typisierung der Informationswerte
Allerdings ist in vielen Unternehmen nicht klar, welche Informationen unter Sicherheitsaspekten von besonderer Relevanz sind. Insofern kommt der Informationswertermittlung eine deutlich steigende Bedeutung zu. Von besonderer Bedeutung sind dabei generell solche Daten, die für den Geschäftserfolg unbedingt nötig sind und deren Diebstahl oder Veränderung einen erheblichen Business-Schaden erzeugen können.
Da die Informationswerte bei den Unternehmen sehr unterschiedlich sein können, lässt sich die Frage nach den schützenswerten Informationen nicht pauschal beantworten. So ist beispielsweise die Web-Präsenz eines Baumaterialherstellers tendenziell weniger sicherheitsrelevant als die einer Online-Versicherung. Auch die Informationen zum Notfallmanagement eines Dienstleistungsunternehmens sind in der Regel weniger schützenswert als die eines Chemiekonzerns.
Legt man zur Typisierung Informationswerte-Cluster an, dann kennzeichnen sich Informationen mit einem hohen Schutzbedarf häufig dadurch, dass ihr Wert durch die Nutzung steigt. Dies betrifft etwa Forschungs- und Entwicklungsdaten, personenbezogene und biometrische Daten oder Vorstandsprotokolle.
Zu den mittleren Informationswerten zählen hingegen zumeist solche, bei denen die Informationen im Zeitverlauf an Wertigkeit verlieren. Dazu gehören beispielsweises Geschäfts- und Finanzdaten, Konfigurationsdaten, Protokollierungen und Informationen über die IT-Infrastruktur.
Die dritte Kategorie mit den Daten von niedrigem Informationswert charakterisiert sich oft in der Weise, dass ein höheres Investitionsengagement zum Schutz der Informationen nicht zwangsläufig zu einem höheren Unternehmensnutzen führt. Dies betrifft in vielen Fällen Kunden- und Rechnungsdaten.
Methodische Aspekte
Um sich innerhalb der individuellen Identifikation seiner "Kronjuwelen" nicht zu verzetteln, ist es wichtig, durch gezielte Fragestellungen die mögliche Menge der schützenswerten Daten einzugrenzen:
Welche Informationen sind die kritischsten im Unternehmen?
Welche erzeugen den meisten Umsatz, welche sind am profitabelsten?
Welche Information ist im Falle eines Verlustes besonders kostspielig zu erstezen?
Welche Daten halten die Prozesse aufrecht?
In welchen Fällen eines Datenverlustes droht ein beträchtlicher Imageschaden?
Welche Informationen haben für das Unternehmen selbst oder für mögliche Angreifer einen hohen Marktwert - jetzt oder in Zukunft?
Hilfreich für die firmenindividuelle Bewertung kann sein, Verlustszenarien nach dem "C.I.A.-Prinzip" durchzuspielen, das die drei wesentlichen Bedrohungen der Informationssicherheit abbildet: Confidentiality, Integrity und Availability - also Vertraulichkeit, Integrität und Verfügbarkeit. Mithilfe dieser Szenarien wird ermittelt, zu welchen konkreten Folgen der Verlust der Verfügbarkeit, der Integrität oder der Vertraulichkeit von Daten für die Geschäftstätigkeit führt.
Informationswertanalyse
Die erwähnten Szenarien können eine konkrete Informationswertanalyse jedoch nicht ersetzen. Sie beruht auf einem dreistufigen Vorgehen:
Analyse zur Transparenz der Informationswerte: Festlegung des Analyseumfangs in Bezug auf die Organisation und Prozesse, Ermittlung der in den Prozessen enthaltenen Informationen, Analyse deren Kritikalität und Wertschöpfung;
Bewertung der Informationen: Monetäre und immaterielle Bestimmung der Informationswerte sowie Risikobewertung und Business Threat Modeling mit Bedrohungsanalyse aus Sicht der Geschäftsprozesse;
Gezielte Maßnahmen zum Schutz der Informationswerte: Entwicklung eines Vorgehensplans mit Aktivitäten und Business Cases zur Absicherung der Informationswerte. Dazu Maßnahmen - dies können auch Separierungen hoher Informationswerte respektive die Nutzung von Datentreuhändern sein - für ein regelmäßiges Monitoring und Review. Die Budgetierung der Maßnahmen orientiert sich an den Informationswerten.
Eine große Bedeutung kommt bei der Bewertung der Informationswerte dem Business Threat Modeling zu. Traditionell findet es innerhalb der IT statt und bietet somit eine Innensicht mit Blick auf die technischen Risiken. Aus der Perspektive der Geschäftsprozesse ergibt sich jedoch eine völlig andere Sicht auf diese Risiken. Sie ist aber notwendig, um die Auswirkungen nicht ausreichend geschützter Informationen für das Business zu ermitteln.
Aus diesem Grund müssen die möglichen Schäden bewertbar gemacht werden. Dies gilt sowohl für die finanziellen Auswirkungen als auch für nicht-monetäre Wirkungen wie die Beeinträchtigung der Steuerungsfähigkeit, Imageschäden und rechtliche Probleme aufgrund einer nicht ausreichend geschützten IT.
Investitionsersparnisse als Effekt
Die bisher relativ nebulöse Entscheidungssituation bei den Investitionsplanungen in fast allen Unternehmen führt dazu, dass weitgehend undifferenziert möglichst viele Informationswerte unabhängig ihrer Relevanz geschützt werden. Die Konsequenzen sind eine hohe Projektlast sowie hohe Ausgaben für Schutzmaßnahmen, die teilweise keinen nennenswerten Mehrwert für die Organisation erbringen. Anders formuliert: Es wird häufig viel Geld für Projekte ausgegeben, die keinen realen Zugewinn an Informationssicherheit bewirken.
Eine systematische Ermittlung der Informationswerte beseitigt diese Schwäche bei der Definition des Investitionsumfangs und der Schwerpunkte - nun werden die tatsächlichen Bedarfe transparent. Im Ergebnis führt eine solche informationswertorientierte Investitionsstrategie zu einer nachhaltigen Minderung der notwendigen Budgets, aufgrund der klaren Fokussierung steigt aber vor allem gleichzeitig das Sicherheitsniveau. (sh)
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten