IT-Sicherheit in Deutschland

Transparenz erster Schritt für mehr IT Security

09.10.2018 von Matthias Zacher
IT-Sicherheit ist und bleibt ein Dauerbrenner in den IT-Abteilungen und für jeden Mitarbeiter in den Fachbereichen. Wie Sie Sicherheit proaktiv angehen und Ihren Security-Fokus neu definieren.
In IT Security investieren noch immer zu wenige Unternehmen und oft auch zu wenig Geld.
Foto: Dayna More - shutterstock.com

Eine kürzlich von IDC unter 230 Unternehmen durchgeführte Befragung belegt, wie kritisch die Security-Lage in Deutschland ist. Insgesamt 67 Prozent der befragten Organisationen geben an, Sicherheitsvorfälle verzeichnet zu haben. Am häufigsten waren PC und Notebooks (34 Prozent), Netzwerke (31 Prozent) sowie Smartphones und Tablets (30 Prozent) betroffen. Das ist insofern kritisch, da sie als Einfallstor in das Rechenzentrum genutzt werden.

Aber auch die Rechenzentren selbst (29 Prozent) und Server (28 Prozent) waren ebenso wie Drucker, Sensoren und IoT – wenn auch in geringeren Masse – betroffen. Jede IP-Adresse bietet eine Angriffsfläche, die minimiert werden muss und ausnahmslos jeder Mitarbeiter ist ein potentielles Angriffsziel. Das gilt für den Pförtner genauso wie für den Vorstandsvorsitzenden. Es ist also höchste Zeit, IT-Sicherheit proaktiv, strategisch und gesamtheitlich anzugehen.

Offenbar haben es viele Organisationen bislang nicht geschafft, das Sicherheitsrisiko durch die eigenen Mitarbeiter in den Griff zu bekommen. Fehlverhalten oder mangelnde Awareness, wie etwa durch die Reaktion auf Phishing-Mails, Downloads unsicherer Apps oder Geräteverluste, haben auch in den letzten Monaten wieder Tür und Tor zu Firmendaten für Angreifer von außen geöffnet. Somit überrascht es nicht, dass das Fehlverhalten der Anwender (37 Prozent) sowie unzureichend gesicherte Endpoints (34 Prozent) die beiden am häufigsten genannten Sicherheitsrisiken sind – und damit vor noch den Aktivitäten von Cyber-Kriminellen rangieren.

Realistische Bestandsaufnahme der Schutz-, Abwehr- und Wiederherstellungsfähigkeit

In sehr vielen Unternehmen treffen wir immer wieder auf historisch gewachsene IT-Security-Landschaften. Sie umfassen nicht selten 50 bis 80 unterschiedliche Security-Lösungen, entweder als on-premises Software-Lösung, Appliance, Security as a Service oder Managed Security Service. Eine transparente Übersicht über alle Lösungen, die in den meisten Fällen in den klassischen Security-Silos Endpoint-, Messaging-, Network und Web-Security anzutreffen sind, fehlt häufig. Somit ist Transparenz ein erster wichtiger Schritt in Richtung stärkere IT Security.

Gleichzeitig sollten Sie sich die Frage zu beantworten, ob und wie gut Ihr Cyber-Security-Risiko-Management beispielsweise nach NIST die fünf Punkte "Identify – Protect – Detect – Respond – Recover" abdeckt. Sie helfen Ihnen dabei, an die Bestandsaufnahme eine Neubewertung Ihre IT Security anzufügen. Die Studie zeigt, dass weniger als die Hälfte der befragten Unternehmen den Schritt der Neubewertung vom bisher dominierenden "Prevent und Protect", d. h. einer eher reaktiv orientierten Sicherheitslandschaft hin zu "Detect and Respond", mit dem Ziel einer kontinuierlichen Überwachung in Echtzeit und entsprechenden Maßnahmen als Reaktion auf Auffälligkeiten im System bislang gegangen ist.

Beschränken Sie Ihre Bestandsaufnahme nicht nur auf die zentrale IT-Organisation. Beziehen Sie die Fachbereiche mit ein. Fachabteilungen und Geschäftsbereiche schaffen in der Regel in Eigenverantwortung Software und Hardware an, oder nutzen Cloud Services. Dabei kommt es häufig zur Verletzung der Compliance. Entweder weil die entsprechenden Regeln nicht bekannt sind oder weil sie schlichtweg ignoriert werden. Auch wenn der Begriff Schatten-IT etwas in den Hintergrund gerückt ist, so besitzt der nach wie vor eine volle Gültigkeit zur Kategorisierung der IT-Ressourcen, die außerhalb der zentralen IT-Organisation verwaltet werden.

Zur Bestandsaufnahme müssen unbedingt auch Drucker zählen, denn sie dienen Angreifern immer häufiger als Einfallstore in die Unternehmen. Zwar ist in den meisten Unternehmen ein Basisschutz der Endgeräte vorhanden, eine umfassende Betrachtung des Schutzes über den gesamten Lifecycle von PCs, Druckern und Multifunktionsgeräten fehlt aber häufig. Der Grund: Viele Unternehmen sehen dort nur ein geringes Risiko für den Verlust von Daten oder für Angriffe auf die Unternehmens-IT, oder Sie haben das gesamte Print-Management in die Hände von Managed Print Service Providern gelegt.

Wie Sie sehen, umfasst eine Bestandsaufnahme eine Vielzahl von Bereichen und Aufgaben. Bleiben Sie aber nun nicht auf halben Wege stehen. Der Bestandsaufnahme müssen immer Aktivitäten zur Verbesserung der IT-Sicherheit folgen.

Ganzheitlich und strategische Sichtweise kritisch für erfolgreiche Absicherung

IT-Security-Lösungen, -Technologien und -Services entfalten ihre Wirkung nur innerhalb umfassender Konzepte. Lediglich 58 Prozent der Unternehmen verfügen über ein zentrales Konzept für Informationssicherheit, das alle Systeme und Geräte umfasst. Das ist eine zu geringe Zahl. Wir raten grundsätzlich zu einem zentral ausgerichteten Ansatz. Andernfalls bleibt die Gefahr groß, Lücken und somit potenzielle Angriffspunkte nicht ausreichend abzusichern.

Orientieren Sie sich bei der Konzeption ganzheitlicher Konzepte an den gängigen Best Practice und Sicherheits-Frameworks von NIST, ENISA oder vom BSI. Immerhin 82 Prozent Ihrer Kollegen orientieren sich an IT Security Best Practice und betrachten sie als ein probates Mittel zur Verbesserung der Security-Prozesse. Bemühen Sie sich diese Frameworks in so vielen Security Domains wie möglich umzusetzen. Das ist zugegebenermaßen keine einfache Aufgabe und häufig mit einem hohen Aufwand verbunden.

Viele IT-Security-Verantwortliche führen zu Beginn des Lifecycles neuer Lösungen oder Initiativen eine Risikoklassifizierung durch. Diese wird über den Lifecycle aber in vielen Fällen nicht geändert oder modifiziert. Wir empfehlen dringend, einmal jährlich eine Risikobewertung und Klassifizierung Ihrer IT.

Zu den größten Herausforderungen in diesem Zusammenhang zählt die Bereitstellung von finanziellen Mitteln. Es fällt immer wieder auf, dass Unternehmen nach großflächigen Angriffswellen wie durch WannaCry oder Petya hektisch und aktionistisch reagieren und kurzfristig Budgets bereitstellen. Sie können solchen Attacken gelassener entgegensehen, wenn Sie sich bereits im Vorfeld gezielt mit Anschaffungen, beispielsweise von Back-Up und Recovery-Lösungen, auf solche Angriffe vorbereiten.

Aus unserer Sicht ist die Bereitschaft, strategisch in Security zu investieren noch nicht ausreichend umfassend entwickelt. Hier empfehlen wir Ihnen, gemeinsam mit der Geschäftsführung und den Fachbereichen an einer Lösung zu arbeiten.