Security Audit

Wie Sie externe Dienstleister auditieren

06.04.2016 von David Geer und Simon Hülsbömer
Angreifer dringen zunehmend über externe Dienstleister und Zulieferer-Systeme in Unternehmensnetze ein - der sichere Parameter ist obsolet geworden. Umso wichtiger, die gesamte Lieferkette zu kennen und alle ihre Bausteine im Blick zu haben.

Seine Lieferanten nicht zu kennen, ist wie, seine interne IT nicht zu kennen. In beiden Fällen ist es unmöglich, Sicherheitslücken zu schließen - eben weil man von deren Existenz nichts weiß. Wer aber die richtigen Punkte kennt, die es zu überwachen und zu auditieren gilt, hat ein ganzes Stück Sicherheit dazugewonnen.

Wie die Kontrollmechanismen auszusehen haben, hängt vom jeweiligen Zulieferer ab, von seiner Branche, seiner geografischen Lage, der dort geltenden Gesetzgebung und der Art der Services, die er offeriert. Es gibt Industriestandards wie den Kreditkarten-Security-Standard PCI DSS (Payment Card Industry Data Security Standard) für den Retail-Bereich oder auch das NIST Cybersecurity-Framework für den Sektor Energie und kritische Infrastrukturen, auf dem beispielsweise auch das deutsche IT-Sicherheitsgesetz aufsetzt.

Ein Unternehmen schaut sich am besten die Richtlinien an, an die es sich selbst zu halten hat und legt diese Maßstäbe auch an alle seine externen Lieferanten an - dann könne es wenig falsch machen, rät M. Scott Koller, juristischer Berater in der Kanzlei BakerHostetler: "Beispielsweise müssen sich sowohl der Händler selbst und auch sein Lieferant des Point-of-Sale-Systems beide an den PCI-DSS-Standard halten." Wer die Standards nicht nur einfordert, sondern auch routinemäßig prüft, ist auf der sichere Seite.

Zugriff von außen beschränken

Um den Zugriff von externen Dienstleistern auf die internen Systeme einzuschränken, rät Koller zu Netzwerksegmentierung und dazu, den Netzwerkzugang beispielsweise mithilfe von VLANs ebenfalls aufzuteilen. "Verwenden Sie für Ihr Unternehmen immer denselben Benutzernamen bei einem Zulieferer - wenn dieser ihn dann nicht mehr benötigt, lässt er sich schnell deaktivieren. Der Remote-Zugang in Ihr Netzwerk sollte zudem nur auf einen, über eine Whitelist definierten, Kreis von IP-Adressen möglich sein - benötigen Sie einen externen Service gerade nicht, deaktivieren Sie die Liste einfach", stellt Koller einfache Sicherheitsmechanismen vor.

Die Grundprinzipien lauten:

"Wenn Sie Remote-Zugang via LogMeIn oder RDP zulassen, sollten Sie diese Programme immer dann ausschalten, wenn der Dienstleister sie nicht verwendet", rät Koller. Dazu sei es sinnvoll, den deaktivierten Fernzugriff selbst einmal auszutesten, wenn er gerade nicht anderweitig in Benutzung sei. Auch das sei eine Form des Audits, die regelmäßig vorgenommen werden müsse.

Mobile Fernwartung
Fernwartung - so gehts!
Vom Smartphone oder Tablet remote auf den Rechner zugreifen - hier die Optionen.
NTR FreeCloud
Ein zusätzliches Passwort für die Verbindung ist in jedem Fall Pflicht.
NTR FreeCloud
Auf einem Tablet macht ein Fernwartungszugriff, hier NTR von einem iPad, durchaus noch Spaß. Auf einem 2.4“ Smartphone ist die Darstellung einfach zu klein.
NTR FreeCloud
An sich ist Platz für viele Rechnernamen – die kostenfreie Version von NTR begrenzt jedoch die Anzahl auf zwei Systeme, egal ob Server oder PC.
NTR FreeCloud
Die Installation der NTR-Software, hier auf einem Windows Server 2008 R2, ist in wenigen Minuten erledigt.
Teamviewer
Klassiker aus Deutschland: TeamViewer. Wie sich das „Kloning“ von virtuellen Maschinen auswirkt, lässt sich unschwer erkennen.
Teamviewer
TeamViewer ist schnell, unkompliziert und für viele Plattformen erhältlich.
Teamviewer
Immer eine gute Sache: Wie ging noch einmal der Rechtsklick? Hier die Erklärung von TeamViewer.
RDP mit 2x
Eine durchaus elegante Alternative: RDP-Weiterleitung über den Router mit einem RDP-Client, hier der 2X-Client.
RDP mit 2x
Achtung! 2X warnt vor der Verwendung der einfachen RDP-Verbindung über die eigene Software.
RDP mit 2x
Einfach und praktisch: RDP-Zugriffe vom iPad auf einen Windows Server 2012 R2.
LogMeIn
LogMeIn bietet alle Features, die eine professionelle Fernwartungssoftware braucht.

Vertragsbezogene Maßnahmen

Unternehmen müssten laut Koller sicherstellen, dass ihre Dienstleisterverträge auch Bestimmungen darüber enthalten, wie hoch die Rückstellungen für Verbindlichkeiten für Cyber-Vorfälle sein müssen, wer für den Ausfall kritischer Dienste haftet, wo die Grenzen der Verpflichtungen seitens der Zulieferer liegen und wie ein möglicher Schadenersatz aussieht. Je nach Typ des Zulieferers und seines Services sehe solch ein Vertrag anders aus. Wer sich nicht sicher sei, solle sich juristischen Rat bei Experten einholen.

Damit die vereinbarten Regeln auch für beide Seiten nachvollziehbar und langfristig gültig sein können, müssen Unternehmen vor Vertragsunterzeichnung den Wert ihrer zu schützenden Daten und Systeme gegen die drohenden Risiken abwägen, die durch einen Zugriff von außen entstehen. Sie müssen sicherstellen, dass der Zulieferer gut genug versichert ist, um den schlimmstmöglichen Schaden finanziell decken zu können. Wichtig ist auch, dass jeder Zulieferer zum angemessenen Schutz der gefährdeten Systeme verpflichtet ist. "Begrenzungen von verbindlich zu tätigenden Rückstellungen für den Ernstfall senken zwar die Kosten für den Service, im Fall eines Daten-GAUs entsteht aber möglicherweise zusätzlicher finanzieller Schaden", erklärt Koller.

Die Kosten-Nutzen-Abwägung spielt vor Vertragsabschluss mit einem Dienstleister eine ganz entscheidende Rolle.
Foto: Adam Vilimek - www.shutterstock.com

Eine entscheidende Rolle bei der Risikoabwägung spielen die Größe des Dienstleisters und der Umfang der Geschäftsbeziehungen, die ein Unternehmen mit ihm eingehen will. Erst wenn diese Indikatoren klar benannt sind, sollte ein Vertrag aufgesetzt werden. Je größer der Zulieferer, desto größer auch seine finanziellen Mittel, um den Auftraggeber im Fall eines Security-Vorfalls zu entschädigen. Berechnen Sie Ihren größtmöglichen finanziellen Schaden in dem betroffenen Bereich und halten Sie diesem Wert die größtmögliche Entschädigungsleistung des Zulieferers entgegen. Wenn der drohende Schaden größer ist als das, was der Dienstleister zu leisten im Stande ist, passt es möglicherweise nicht - der Lieferant ist zu klein. Andersrum stellt das Ganze meist kein Problem dar - dann sind aber eventuell die Kosten für eine Dienstleistung von einem viel größeren Zulieferer von Anfang an zu hoch.

Wer dennoch unbedingt mit einem Dienstleister zusammen arbeiten möchte, der die finanziellen Mittel im Schadensfall nicht aufbringen kann, sollte eine Cyber-Versicherung für Schäden, die durch Zulieferer entstanden sind, ins Auge fassen. Entsprechende Policen gibt es einige am Markt - man müsse laut Koller aber schon genau darauf achten, welche Schäden abgedeckt sind.

5 Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.