Die zunehmende Cyber-Kriminalität,vor allem die Verbreitung fortgeschrittener Ransomware-Angriffe stellt die IT-Security vor härter werdende Anforderungen. Hier ein kurzer Überblick:
Segmentierung des Netzes | |
Kein Zugang von außen zum Unternehmensnetz ohne obligatorischen Check durch ein Firewall-System. Keine unverschlüsselten Übertragungswege. Klassifizierung der Datenbestände und Softwareressourcen nach Sensibilisierungsstufen. Segmentierung des Unternehmensnetzes in verschiedene Zonen, deren Übergänge je nach Sensibilitätsstufe besonders überprüft werden. Strenge Regeln für den Zugang zu den hochsensiblen Bereichen, Sperren aller nicht unbedingt erforderlichen Verbindungsmöglichkeiten (Ports, Protokolle). |
Internet der Dinge (IoT) | |
Unter Internet der Dinge (Internet of Things (IoT) wird die Vernetzung der Maschinen und Anlagen in der Produktion verstanden. Dabei stehen zwei Probleme im Vordergrund:
|
Besonderer Schutz für sensible Bereiche | |
Der Schutz für besonders schutzwürdige Netzwerkbereiche kann durch spezielle Software verstärkt werden, z.B Intrusion Detection- oder Intrusion Prevention-Systeme. Sie prüfen jedes Datenpaket auf verdächtige Bitmuster, können den Verlust von Daten erkennen, Alarme auslösen und sofortige Reaktionen veranlassen, die sich auch automatisieren lassen. Sogar die Inspektion der Hauptspeicher auswählbarer Rechner ist möglich. Das Leistungsspektrum erlaubt auch die Analyse von verdächtigem Benutzerverhalten. Hier ist allerdings zu beachten, dass der Schutz der Persönlichkeitsrechte für die Benutzerinnen und Benutzer gewahrt bleibt. |
Regelung des App-Einsatzes | |
Apps bieten vielfältige Erleichterungen. Sie befördern aber auch die Verwischung der Grenzen zwischen Arbeit und Privatheit. Es muss sichergestellt sein, dass externe App-Anbieter über die Nutzung der Apps keinen unkontrollierten Zugang zu unternehmensinternen Ressourcen erhalten. Mögliche Rahmenbedingungen: Nur vom Unternehmen registrierte, geprüfte und erlaubte Apps (z.B. nur über einen unternehmensinternen App Store installierbar), Betrieb nur innerhalb dafür freigegebener Netzwerkzonen. |
Identity Management | |
Oberste Regel: Nur bekannte Berechtigungen mit überprüfbarer Zuordnung zu Personen, Ausschluss unautorisierter Zugriffe. Festgelegtes Verfahren für die Erteilung, Veränderung und Löschung von Berechtigungen. Keine Gruppenberechtigungen für kritische Ressourcen. Regelmäßige Überprüfung. |
Zero Trust | |
Keine Geräte, die dem Unternehmen nicht bekannt sind und nicht geprüft sind. Nur bekannte Berechtigungen mit genau definiertem Berechtigungsumfang. Nur bekannte Softwareprodukte, die sich auf aktuellem Versionsniveau befinden. Besonderes Monitoring für alle Security Tools, die oft privilegierte Administratorzugriffe haben. Alarmsystem für verdächtige Vorgänge. Strenge Einhaltung der Regeln auch für den Home Office-Betrieb. |
Cloud Services | |
Viele Unternehmen wähnen ihre in der Cloud angesiedelten Systeme als besonders sicher, mit der Konsequenz, sich darum nicht mehr intensiv kümmern zu müssen - schließlich haldelt es sich ja um Software as a Service (SaaS). Es ist richtig, dass vor allem die großen Cloud-Anbieter über speziell ausgebildete Security-Experten verfügen, die sich die meisten Unternehmen nicht leisten können oder wollen. Es ist aber auch richtig, dass gerade diese großen Cloud-Anbieter besonders attraktiv für professionelle Hacker sind. Die meisten Unternehmen nehmen nicht gebührend zur Kenntnis, dass ihre Cloud-Anbieter sich nur für die Sicherheit der bei ihnen gehosteten Software verantwortlich fühlen. Unternehmen nutzen aber viele unterschiedliche Cloud-Lösungen von verschiedenen Anbietern. Dadurch entsteht eine Vielzahl von Schnittstellen zwischen den einzelnen Dienste und Programmen - mit oft mangelhaftem Schutz. Und auf diese haben es kriminelle Hacker besonders abgesehen. |
Backup- und Recovery-Strategie | |
Neben einem Backup-Konzept íst vor allen darauf zu achten, dass eine schnelle Wiederherstellung der Daten am ursprünglichen Ort ihres Gebrauchs gewährleistet wird, z.B. nach einem Ransomware-Angriff. |
IT-Policy | |
Die Regeln für den Umgang mit den IT-Ressourcen müssen bekannt sein (Internet-Zugang, Mail, Social Media, besondere Anwendungen). Die Regeln sollten überschaubar, transparent und widerspruchsfrei sein. Trainingsangebote (Schulung, Sensibilisierung) für alle Mitarbeitenden müssen nicht nur verfügbar sein, auf die Durchführung entsprechender Trainings sollte Wert gelegt werden. Die Konzepte bedüften einer laufenden Aktualisierung. Besonders wichtig sind Regeln für den Umgang mit den Ressourcen für externe Nutzung (Home Office, hybrides Arbeiten). |
Karl Schmitz | April 2022 |