Aktuelles, Gastbeiträge - geschrieben von cp am Donnerstag, Dezember 8, 2016 16:46 - noch keine Kommentare
IT-Sicherheit: Gründliche Planung ist Voraussetzung
KMU stehen vor besonderen Herausforderungen
Von unserem Gastautor Dominique Meurisse, COO bei WALLIX
[datensicherheit.de, 08.12.2016] Viele Organisationen schlagen sich mit der riesigen Menge an IT-Securitylösungen herum – Anbieter, Berater und Analysten liefern eine Vielzahl von Ideen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben oftmals nicht die Zeit und die Ressourcen, eine Vielzahl von Produkten und Werkzeugen (Tools) zu prüfen und zu bewerten.
Einerseits haben Organisationen nur begrenzte Planungszeit und bereits vorhandene Sicherheitstechnologie, die beim Einkauf neuer Lösungen bedacht werden muss. Auf der anderen Seite erzeugt die neue Bedrohungslandschaft einen gewissen Veränderungsdruck – passen sich Unternehmen nicht an, laufen sie Gefahr, Opfer eines Cyberangriffs zu werden, denn die in Organisationen vorhandenen klassischen Systeme haben sich als unzureichend erwiesen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei grundsätzliche Wege für den Aufbau einer Sicherheitsarchitektur:
- Grundlegende Sicherheitsmechanismen für alle Geschäftsprozesse und Unternehmensressourcen in einer Institution, um so die größten Risiken zu minimieren. Detailliertere Schritte können später folgen – der Fokus liegt auf der Einbindung aller Bereiche in ein breitgefächertes Sicherheitskonzept
- Wichtigste Sicherheits- und Schutzfunktionen, Ausgangspunkte sind hier die kritischsten Assets. Verglichen mit dem ersten Punkt liegt hier der Fokus mehr auf der Tiefe als auf der Breite der Schutzmaßnahmen. Nicht alle Prozesse sein gleich wichtig und deshalb sollten flexible Sicherheitsmaßnahmen in Erwägung gezogen werden. Hochkritische Bereiche wie beispielsweise Adminzugänge werden strenger geschützt als ausrangierte IT, die demnächst verschrottet werden soll
- Für einige Branchen gibt der „BSI-Grundschutz“ präzisere Empfehlungen mit Standardmaßnahmen. Der aktuelle BSI-Standard 100-2 enthält jetzt Details zum Schutz industrieller Steuerungssysteme (Industrial Control Systems, ICS).
Das Thema IT-Sicherheit ist nicht neu – hat sich aber stark verändert
In vielen Organisationen wurden bereits grundlegende Sicherheitsmechanismen eingeführt. Auch ist das Bewusstsein von CISOs und ISOS in Hinblick auf die Frage, welches die kritischsten Assets in einer Organisation sind, sehr hoch; das Hauptproblem ist das praktische Management der Sicherheitsverfahren – IT-Strategien mussten so oft angepasst werden oder sind so kompliziert geworden, dass sie nicht mehr effizient sind. Beispielsweise ist nicht sicher, wer eigentlich Zugriff auf kritische Daten hat – oftmals sind Nutzerkonten einfach verloren gegangen oder in Vergessenheit geraten.
Malware und Cyberbedrohungen sind intelligenter geworden, und in Reaktion darauf schuf der Markt mehr Sicherheitsinstrumente für unterschiedliche Szenarien. Gleichzeitig steigt die Anzahl an Geräten, die auch noch heterogener werden. Durch BYOD, IoT, Cloud-Migration und andere Innovationen wurden neue Angriffsvektoren erschlossen – was wiederum dediziertere Einzellösungen in den Firmen zur Folge hat.
Das führte zu einer noch größeren Bedrohung – nämlich zu überlasteten IT-Administratoren. Die Anzahl an Angriffen, Bedrohungen und Sicherheitstools steigt, doch die Arbeitsstunden, die in IT-Abteilungen in Sicherheitsmaßnahmen investiert werden, folgen diesem Anstieg nicht – oder einfach gesagt: IT-Abteilungen verwenden immer mehr Zeit auf die Einführung und Anpassung von Sicherheitsinstrumenten und haben weniger Zeit für die eigentlichen Management-Aufgaben.
Jede neue Lösung zieht voraussichtlich Sicherheitswarnungen und Nutzerbeschwerden nach sich. Ein strategisches Konzept muss also das richtige Schutzniveau mit einer nutzerfreundlichen Anwendung kombinieren. Gleichzeitig muss es in die Alltagsroutine von IT-Verantwortlichen passen und die Erfüllung von Normen und Vorschriften gewährleisten. Es sollte Mitarbeitern die effizienteste Technik für ihre Aufgaben bieten und gleichzeitig die Gefahr von Datenlecks, Cyber-Angriffen und Compliance-Verstößen verringern.
Die Toleranz von Mitarbeitern ist begrenzt: Eine Befragung von 400 IT-Administratoren zeigt, dass 74 Prozent des Personals in IT-Abteilungen durchaus in der Lage sind, Sicherheitsmaßnahmen ganz leicht zu umgehen. Erscheint eines der vielen Sicherheitsinstrumente lästig, wird es wahrscheinlich nicht eingesetzt. Nicht nur die Angestellten einer Organisation könnten zu einem Sicherheitsrisiko führe, auch externe Mitarbeiterinnen und Mitarbeiter sollten in ein Schutzkonzept miteinbezogen werden.
Nach einer von PWC durchgeführten Studie setzen 82 Prozent der Unternehmen eine Form von externen Anbietern ein und lagern Geschäftsaufgaben aus – so auch den Zugriff auf ihre Netzwerke. 90 Prozent aller Organisationen geben auch zu, im letzten Jahr irgendeine Art von Vorfall erlitten zu haben. Überraschend ist die Tatsache, dass 48 Prozent der Verstöße auf menschliches Versagen zurückzuführen sind und 17 Prozent durch absichtlichen Systemmissbrauch durch Menschen verursacht werden.
Privileged Access Management zur Verbesserung und Sicherung von IT-Umgebungen
Fehlverhalten und Fehler im Umgang mit privilegierten Konten können Organisationen schweren Schaden zufügen. IT-Abteilungen haben jedoch nicht die Personalressourcen, alle Aktionen zu verwalten, insbesondere, wenn sie von Dritten eingesetzt werden.
Das Mikromanagement eines jeden einzelnen Nutzers ist zeitaufwendig und unwirtschaftlich.Privileged Access Management (PAM) ist ein eleganter Weg, allen drei BSI-Empfehlungen zu folgen. Detaillierte Maßnahmen für alle Nutzerkonten gewährleisten eine Sicherheitsgrundlage und umfassen Onboarding von Anwendungen, Wartung und Offboarding von Accounts.
Um den gesamten Lebenszyklus abzudecken, muss mit der Erstintegration in das System begonnen werden, alle Änderungen während der Nutzungsdauer mit aufgenommen und das System zum Schluss nach seiner Stilllegung entfernt werden.
Darüber hinaus kann PAM die Workflows der Nutzer einzeln prüfen und sehen, ob ihre Aktionen legitim sind. Zugriffsrechte sollten in Zeit und Tiefe beschränkt sein, so dass Administratoren bestimmte Aktionen innerhalb eines zeitlich festgelegten Zugriffsfensters planen können. Das ermöglicht die Planung von Aktivitäten und die gleichzeitige Sicherstellung des Schutzes.
Für äußerst kritische Accounts mit Zugriff auf wichtige Assets kann ein höheres Schutzniveau eingestellt werden. Wenn solche Accounts geteilt werden, kann Live-Überwachung oder die Zwei-Mann-Regel verbindlich vorgeschrieben werden. Moderne PAM-Lösungen funktionieren agentenlos und sind dabei leicht umzusetzen. IT-Abteilungen können sich so auf die wesentlichen Fragen fokussieren und die wichtigsten Accounts mit erweiterten Zugriffsrechten ermitteln.
Zurzeit sind einige wenige PAM-Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards, wie ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, aber sie sind nur eine Orientierung und höchstwahrscheinlich werden neue Vorschriften folgen. In jedem Fall bieten PAM-Lösungen einen einzigartigen Weg zu effizienter IT-Sicherheit und Compliance.
Fazit
Das BSI liefert zwar strategische Empfehlungen für die IT-Sicherheit, Organisationen müssen jedoch noch ihre eigenen Best Practices definieren, um die Sicherheit und Effizienz in ihren IT-Abteilungen zu steigern. Viele Anbieter haben ihre Büros außerhalb Europas und entwickeln ihre Produkte für ein spezielles Top-Thema. Die Produkte sind innovativ, passen aber nicht in die Sicherheitsarchitektur – was auch für das Personal gilt, das die Tools nutzt und integriert.
Das führt zu Sicherheitsrisiken, denn IT-Administratoren haben mit zu vielen Sicherheitstools zu kämpfen. Sicherheit ist zu einer zeitaufwendigen Angelegenheit geworden, die immer weniger Zeit für tatsächliche Administrationsaufgaben lässt. Insbesondere KMUs brauchen bisweilen passende Basistools, um die Effizienz und Sicherheit zu verbessern, und keine teuren Threat Intelligence der nächsten Generation, die dazu führt, dass Nutzer zu Umgehungslösungen greifen. Größere Sicherheitsbudgets sind nicht erforderlich, doch die zur Verfügung stehenden Budgets sollten sinnvoll eingesetzt werden.
Weitere Informationen zum Thema:
datensicherheit.de, 19.07.2016
Komplexität von IT-Infrastrukturen
Aktuelles, Experten - Dez 10, 2024 10:36 - noch keine Kommentare
vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
weitere Beiträge in Experten
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
Aktuelles, Branche, Studien - Dez 9, 2024 13:38 - noch keine Kommentare
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
weitere Beiträge in Branche
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren