Methoden zur IT-Risikoanalyse

IT-Sicherheitskonzept auf dem Prüfstand

Großunternehmen sollten ihre konventionellen IT-Sicherheitskonzepte dringend auf den Prüfstand ­stellen, wobei insbesondere präzise IT-Risikoanalysen das Bedrohungspotential in Zeiten von Prism, Tempora & Co. reduzieren können.

Autowerkstatt, Bildquelle: iStockphoto.com/meltonmedia

Konventionelle IT-Sicherheitskonzepte sollten in Zeiten von Prism, Tempora & Co. auf den Prüfstand gestellt werden.

Nicht erst die Enthüllungen im Umfeld der Prism- und Tempora-Affäre, auch neue Angriffsszenarien, wie sie kriminellen Hackern durch den verstärkten Einsatz von Smartphones und Tablets im Unternehmensumfeld eröffnet werden, setzen die IT-Verantwortlichen hinsichtlich der IT-Sicherheit unter Handlungsdruck. Dabei ist nicht hektischer Aktionismus gefragt, sondern eine sachliche Auseinandersetzung mit einer „neuen Realität“ und die Anpassung eigener IT-Sicherheitskonzepte und -strategien an sich verändernde Gegebenheiten.

Aktuell hat die Bedrohung der Informationssicherheit eine weitere Facette erhalten. In Zukunft gilt es, persönliche oder unternehmensrelevante Daten nicht nur vor dem Zugriff durch Cyberkriminelle sondern auch vor staatlich organisierter Ausspähung zu schützen. Nach Ansicht von Martin Kuppinger, vom Beratungsunternehmen Kuppinger Cole sind Unternehmen gefordert, sich dieser Thematik zu stellen. Wie groß ist das Risiko durch staatlich – keineswegs nur von den USA – betriebene Wirtschaftsspionage und welche Konsequenzen hat das beispielsweise für die Cloud-Strategien von Unternehmen? Das sind nur zwei von vielen Fragen, die geklärt werden müssen. Der Gefahr zu entgehen, indem man ausschließlich auf europäische Anbieter setzt, ist nach Kuppingers Auffassung nicht zielführend. Denn nicht alle derartigen Angebote sind tatsächlich rein europäisch. Und überdies wäre es naiv davon auszugehen, dass europäische Regierungen nicht ähnliche Programme betreiben. Zudem können auch europäische Cloud-Dienste Angriffsziele anderer Staaten werden, so Kuppinger. „Was es braucht, sind durchdachte Strategien für die Auswahl von Cloud-Service-Providern, die risikoorientiert sind und zu bewussten Entscheidungen bezüglich des zu tragenden und tragbaren Informationsrisikos führen. Hier muss man weg von Ad-hoc-Auswahlprozessen hin zu definierten, standardisierten Vorgehensweisen“, fordert Kuppinger.

IT-Sicherheit im Mittelpunkt

Gemäß seinen Worten geht es darum, die Informationssicherheit in den Mittelpunkt zu stellen. Wie können Informationen zu jedem Zeitpunkt bestmöglich geschützt werden? Hier rückt laut Kuppinger die Ende-zu-Ende-Sicherheit zusammen mit Verschlüsselungstechnologien in den Blickpunkt. „Unternehmen müssen hier den Schritt weg von punktuellen Lösungen auf System- oder Netzwerkebene hin zu einer konsequenten informationszentrierten Sicherheit machen, mit der die Risiken einer verteilten Datenhaltung reduziert werden können“, empfiehlt der Unternehmensberater.

Bevor Unternehmen damit beginnen, durch gezielte Maßnahmen die Informationssicherheit zu erhöhen, sollten nach Ansicht von Oliver Peters von der Experton Group AG unbedingt grundlegende Voraussetzungen geschaffen werden. „Unternehmen haben nur selten ein aktuelles und vollständiges Verzeichnis über den Umfang und die Wichtigkeit der eigenen Informationsbestände“, beklagt Peters. Dieser Informationsmangel hat oft den Effekt, dass ein gezielter und der Klassifikation der Informationen angepasster technischer Schutz nicht umgesetzt werden kann. Auch organisatorisch kann solch ein Informationsmangel unangenehme Folgen haben, wenn Entscheidungen auf der Basis unzureichender Informationen getroffen wurden.

Alte Muster aufbrechen

Die Gründe für das Dilemma sind vielfältig, allerdings kristallisiert sich laut Peters zumeist ein grundlegendes Muster heraus. Es ist die Kombination aus dem Fehlen einer unternehmensweit abgestimmten Informationsklassifikation gepaart mit einer mangelhaften Kommunikation zwischen den Fachabteilungen und der IT. Diese mangelhafte Kommunikation besteht oft darin, dass Fachabteilungen die IT gar nicht oder nur eingeschränkt darüber informieren, wie sensibel die Informationen sind, die auf deren Systemen gespeichert werden. Auf der anderen Seite steht die IT-Abteilung, die davon ausgeht, ein wohlgeschnürtes Paket an Informationen zu erhalten, in dem definiert ist, welche Daten wie wichtig sind, um auf Basis dessen entsprechende Schutzmaßnahmen umzusetzen.

„Aufbrechen kann man dieses Muster nur, wenn im Unternehmen allgemein verbindliche Kriterien etabliert werden, nach denen Informationen hinsichtlich ihres Schutzbedarfs auch tatsächlich klassifiziert werden können. Im Rahmen der unternehmensweiten Umsetzung muss ein Prozess eingeführt werden, der sicherstellt, dass die Fachabteilung alle Daten klassifiziert, die auf IT-Systemen gespeichert werden, und die IT diese Informationen aktiv einfordert“, empfiehlt Peters.

Sicherheitsrisiko erkannt, die Gefahr gebannt?

Wer Sicherheitsprobleme lösen will, muss sie als Risiken begreifen. Und wer Risiken eindämmen will, muss sie analysieren können. Um das geistige Eigentum eines Unternehmens zu schützen, müssen die Verantwortlichen schon handeln, bevor ein Angriff überhaupt stattfindet. Angriffe auf Unternehmensnetze werden immer zielgerichteter, so dass traditionelle Sicherheitslösungen wie klassischer Malware-Schutz ihre Wirksamkeit zunehmend einbüßen. „Sicherheit und der Schutz des geistigen Eigentums erfordern heute ein Denken in Risiko- und Prozesskategorien. Nur ein umfassender Blick auf das gesamte Netzwerk und seine Komponenten sowie deren Abhängigkeiten und Verbindungen untereinander ermöglicht eine saubere Risikoanalyse inklusive Bewertung. Zudem muss diese Analyse aufgrund stetiger Veränderungen, z.B. bei den Einstellungen einer Firewall oder durch das Einspielen neuer IPS-Regeln (Intrusion Preven­tion System), täglich stattfinden. Mit klassischen Sicherheitslösungen inklusive aktiven Schwachstellenscannern ist das einfach nicht möglich“, betont Gidi Cohen, CEO und Gründer von Skybox Security, einem Spezialisten für IT-Risikoanalysen.

Bislang war die Angriffsprophylaxe fast ausschließlich auf die Technologie aktiver Scanner angewiesen. Weil diese aber direkt auf die Systeme zugreifen und deren Betrieb stören oder sogar unterbrechen können, setzen die Unternehmen sie nur sehr unregelmäßig und auch nur ausschnittsweise ein. Skybox Security verfolgt den Ansatz des passiven Scannens. Auf Basis eines vollständigen Netzwerkmodells sowie externer und interner Informationen zu bekannten Sicherheitslücken kann die Lösung die Angriffswege im Netzwerk aufspüren und die Schwachstellen wie in einem Kennzahlensystem priorisieren. Die Sicherheitsverantwortlichen erhalten am Ende eines täglichen passiven Scans eine überschaubare Liste mit zu bewältigenden Handlungsempfehlungen, um die Sicherheit zu erhöhen. Auch Simulation zu Angriffen oder geplanten Änderungen an Netzwerkkomponenten sind mit der Lösung möglich.

Mehr als 70.000 Sicherheitslücken vermutet man heute, mit mehr als einem Dutzend neuer Meldungen pro Tag. Die rasch zunehmende Verbreitung von Social, Mobile und Cloud Computing kann eine weitere Verschärfung der Bedrohungslage bedeuten, da jedes neue Gerät in einem Netzwerk potentielle Schwachstellen erzeugen kann. Als Teil der Security-Intelligence-Plattform hat auch IBM mit dem QRadar Vulnerability Manager (QVM) ein Softwaremodul vorgestellt, das Sicherheitslücken aufspürt und dabei hilft, sich gegen Exploits zu schützen. Durch Aktivieren eines Lizenzschlüssels kann diese Software automatisch das Netzwerk scannen und Analysen durchführen, die Sicherheitsteams helfen, begrenzten Ressourcen effektiver einzusetzen. „Traditionelle Schwachstellen-Management-Lösungen funktionieren nicht mehr ausreichend“, bestätigt Gerd Rademann, Business Unit Executive, Security Systems bei IBM DACH. „Vulnerability Scanning benötigt heute eine Darstellung des kompletten Netzwerkverkehrs unter Berücksichtigung des aktuellen Kontextes zur Bewertung und Echtzeitanalyse. Damit wird vermieden, dass auch bekannte und verhinderbare Bedrohungen in einer Übermenge an Daten verlorengehen.“

Angesichts der bekannt gewordenen Abhöraktionen durch Geheimdienste und der Unklarheit, wie ausgespähte Unternehmensinformationen verwertet werden, gewinnt die Verschlüsselung der Datenkommunikation eine wachsende Bedeutung. „Sie befand sich lange Zeit in einem Dornröschenschlaf, weil die tatsächlichen Gefahren deutlich geringer als tatsächlich vorhanden eingeschätzt wurden“, urteilt Mikado-Vorstand Reimund Reiter. „Aber die Verschlüsselung stellt einen zentralen Stellhebel dar, um für den notwendigen Schutz vor einem Ausspähen sensibler Unternehmensinformationen wie Kunden- und Geschäftsdaten oder neuen Produktentwicklungen zu sorgen.“ Reiter warnt allerdings davor, nun hektische Aktivitäten zu starten. „Am Einsatz von Verschlüsselungsverfahren werden die Firmen auf Dauer zwar nicht vorbeikommen, aber es stellt sich die Frage, ob damit allein das erforderliche Sicherheitsniveau erreicht werden kann.“ Häufig, so Reiter, bestehen noch ganz andere Schwachstellen und demzufolge erzeugt eine zu eingegrenzte Fokussierung mitunter nicht die gewünschten Effekte. Selbst wenn es gelingt, sensible Datenbestände gegen unberechtigte Zugriffe zu schützen, gilt das üblicherweise nur, solange sie sich innerhalb der unternehmenseigenen IT-Architektur befinden. Werden solche Daten jedoch per E-Mail, Fax, SMS oder via EDI verschickt, ist oft jeglicher Schutz dahin. Experten raten daher nicht nur bei der Übermittlung personenbezogener Daten zur Verschlüsselung der elektronischen Unternehmenskommunikation.

Als einer der ersten Anbieter weltweit bietet der Kommunikationsdienstleister Retarus seinen Kunden für alle Managed Services Verschlüsselungsmethoden an, mit denen sich die elektronische Kommunikation umfassend absichern lässt und die den Betrieb einer professionellen Verschlüsselungsinfrastruktur beinhalten. Damit entfällt für Unternehmen jeglicher Administrationsaufwand, wie etwa die komplexe und aufwendige Schlüssel- und Zertifikatsverwaltung. Die Geschäftskommunikation wird automatisiert verschlüsselt und optional signiert.

Genrell gilt: Je mehr unangenehme Details der andauernden Überwachung ans Tageslicht kommen, desto mehr verlieren Nutzer, so die Einschätzung von Experton-Analyst Oliver Peters, das Vertrauen in Dienstanbieter aus den USA. IT-Verantwortliche sollten in Zusammenarbeit mit Datenschützern, dem internen Risikomanagement sowie den Datenverantwortlichen die aktuelle Risikosituation bewerten und Maßnahmen zur Risikoreduktion entwickeln. Gespräche mit Kunden aus dem Mittelstand ergaben, dass sie am ehesten bereit sind, Cloud-Dienste zu nutzen, wenn der Sitz des Unternehmens und das Rechenzentrum in Deutschland sind. Nach Peters Einschätzung ist zu erwarten, dass sich dieser Trend verstärken wird, da dies eine einfache Möglichkeit für die Unternehmen, Risiken aufgrund von Reputationsschäden zu vermeiden. „Für die deutschen IT-Dienstleister ist es eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben“, so Peters.

Handlungsempfehlungen

Um die Datensicherheit in Unternehmen zu erhöhen, hat das Security for Business Innovation Council (SBIC) sieben Handlungsempfehlungen aufgestellt:

  • 1. Kernkompetenzen neu definieren und stärken: Die Core-Teams ­sollten sich zunächst auf vier Hauptbereiche konzentrieren: Analyse der Datensicherheit und Aufklärung der Cyberrisiken, Datensicherheitsmanagement, Risikoberatung und  Steuerungsdesign.
  • 2. Standardvorgänge delegieren: IT, Geschäftsbereiche und ex­terne Dienstleister sollten in gängige Sicherheitsprozesse ­eingebunden werden.
  • 3. Experten vertrauen: Zur Verstärkung der Core-Teams, zum ­Beispiel bei Spezialaufgaben, sollten interne und externe ­Experten hinzugezogen werden.
  • 4. Verantwortlichkeiten im Risikomanagement festlegen: Konsequente Aufgabenverteilung und klare Reportingstrukturen bei der Bewältigung von Sicherheitsrisiken einzubeziehen mindert die Gefahr von Ausfällen.
  • 5. Spezialisten für Prozessoptimierung anstellen: Experten mit ­Erfahrung in Qualität, Projekt- oder Programmmanagement, Prozess- und Service-Optimierung sind eine Bereicherung für das Team.
  • 6. Beziehungen aufbauen: Erstellung eines aktiven Netzwerks an wichtigen Kontakten, zum Beispiel zu wichtigen Dienstleitern.
  • 7. Über den Tellerrand hinaus denken: Der bereits heute akute Fachkräftemangel macht die Förderung von Nachwuchstalenten für viele Unternehmen zum Erfolgsfaktor. Sinnvolle Förderung kann zum Beispiel in den Bereichen Datenverwaltung, Software-Entwicklung, Geschäftsanalyse, Datenwissenschaft, ­Finanzen und Recht oder Statistik liegen.

Quelle: EMC/RSA

Bildquelle: iStockphoto.com/meltonmedia

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok