[datensicherheit.de, 08.08.2022] Daten und Informationen zu schützen, muss immer ein hohe Priorität für Unternehmen haben – nicht zuletzt aufgrund regulatorischer Vorgaben. Für den bestmöglichen Schutz empfiehlt die PSW Group eine sogenannte System-Härtung: „Dabei handelt es sich um Methoden, Tools sowie bewährte Verfahren, mit denen Angriffsflächen der informationstechnologischen Infrastruktur inklusive Soft- und Hardware sowie Datensysteme verringert werden können.“

Foto: PSW GROUP

Patrycja Schrenk: Die System-Härtung allein reicht nicht: Auch der Faktor Mensch muss einbezogen werden!

System-Härtung beginnt bei Netzwerk und Server

„In aller Regel beginnt die System-Härtung in Netzwerk und Server, anschließend folgen Anwendungen, Datenbanken und Betriebssysteme. Dabei wird methodisch geprüft, um zunächst ein Gefährdungsprofil zu erstellen oder anfällige Bereiche eines Systems zu identifizieren“, erläutert PSW-Geschäftsführerin Patrycja Schrenk.

Anschließend würden potenzielle Sicherheitsschwachstellen behoben, beispielsweise durch Anpassung von Standardeinstellungen und -konfigurationen. Wie Unternehmen Schritt für Schritt die „dringlichsten To-Do´s“ angehen, hat sie mit ihrem Team in der aktuellen PSW-Stellungnahme zusammengefasst:

Netzwerk-Härtung

Zunächst sollten innerhalb der Geräteverwaltung und -konfiguration Schwachstellen aufgespürt und behoben werden. Dazu müssten Firewalls geprüft sowie korrekt konfiguriert und bestehende Regeln turnusmäßig kontrolliert sowie bei Bedarf angepasst werden.

„Hybride Arbeitsmodelle haben dafür gesorgt, dass IT-Teams auch Fernzugriffspunkte und Fernnutzende ausreichend sichern müssen. Empfehlenswert ist es deshalb, unnötige Netzwerk-Ports sicherheitshalber zu blockieren“, rät Schrenk. Zudem sollte geprüft werden, ob überflüssige Dienste sowie Protokolle deaktiviert sind und ob der Netzwerkverkehr verschlüsselt wird.

Server-Härtung

Daten, Ports, Funktionen, Komponenten und Berechtigungen eines Servers sollten überprüft werden – „und zwar bevor sie mit dem Internet oder mit externen Netzwerken verbunden werden“. Teil der Server-Härtung sei es, sämtliche Server in einem sicheren Rechenzentrum unterzubringen und die Installation unnötiger Software auf dem Server zu vermeiden.

Schrenk führt aus: „Ich rate bei der Einrichtung von Nutzer-Accounts dem ,Prinzip der geringsten Privilegien‘ zu folgen. Das heißt: So viele Berechtigungen wie nötig, aber so wenige Berechtigungen wie möglich zu vergeben. Erwägenswert in Hinblick auf die Systemsicherheit ist auch eine Server-Partitionierung.“

Anwendungs-Härtung

Im nächsten Schritt sollte die im Netzwerk installierte Software unter die Lupe genommen werden. Die automatisierte Patch-Verwaltung sei hierbei ein wichtiges Instrument. Empfehlenswert seien auch die Aktualisierung oder Umschreibung von Anwendungscode zur Optimierung der Sicherheit sowie die Bereitstellung weiterer Sicherheitslösungen. Die Zugriffskontrolle für Anwendungen, die Entfernung von Standardpasswörtern sowie die Implementierung von „Best Practices“ zur sogenannten Passworthygiene seien weitere Mittel.

„Ich rate auch zur Überprüfung, welche Dienste tatsächlich benötigt werden und welche deaktiviert oder deinstalliert werden können. Zudem ist die Erstellung von Richtlinien zur Sperrung von Accounts sinnvoll, etwa bei mehrmaliger Falscheingabe von Zugangsdaten“, so Schrenk.

Datenbank-Härtung

Um Datenbestände in Datenbanken sowie Software, welche zur Interaktion mit diesen Daten eingesetzt wird, effizient abzusichern, müssten Schwachstellen in digitalen Datenbanken sowie in Datenbank-Managementsystemen (DBMS) reduziert werden.

Diese gelinge beispielsweise durch Entfernung ungenutzter Accounts, durch Aktivierung der Knotenprüfung, durch Datenverschlüsselung sowohl im Ruhezustand als auch bei Übertragung und durch Implementierung von Zugriffsbeschränkungen.

Betriebssystem-Härtung

Serverbetriebssysteme seien ein häufiges Ziel von Angreifern, weshalb hierbei die Patch-Verwaltung im Mittelpunkt stehe. Idealerweise würden Updates, Patches sowie „Service Packs“ automatisiert überwacht und installiert. Außerdem sollten Aktivitäten, Warnungen sowie Fehler protokolliert und nicht genutzte Bibliotheken, Dateien, Funktionen und Treiber entfernt werden.

Wer zusätzlich Benutzerberechtigungen und Gruppenrichtlinien einrichtet, sowie Dateisystem- sowie Registry-Berechtigungen konfiguriert, habe eine umfassende Betriebssystem-Härtung durchgeführt.

System-Härtung soll vor unbefugten Zugriffen schützen und Datenbestände effizient absichern

„Die System-Härtung dient dazu, vor unbefugten Zugriffen zu schützen und Datenbestände effizient abzusichern, indem Angriffsmethoden minimiert und Schwachstellen reduziert werden.“ Außerdem erhöhe die System-Härtung die Wahrscheinlichkeit, erfolgreiche Angriffe zu entdecken und die Privilegien und Werkzeuge, die Angreifern zur Verfügung stehen, zu beschränken.

Jedoch allein die System-Härtung reiche nicht: Auch der sogenannte Faktor Mensch müsse einbezogen werden. Angestellte müssten beispielsweise wissen, „wie sie Zugänge durch geeignete Passwörter absichern“. In diesem Zusammenhang benennt Schrenk abschließend Sensibilisierungsmaßnahmen wie „Awareness-Trainings“ – diese könnten Mitarbeitern helfen, die Gefahren zu kennen und im Fall der Fälle zu wissen, „was zu tun ist“.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 12.07.2022
Durch Systemhärtung Einfallstore minimieren

[datensicherheit.de, 28.08.2019] Seit Anfang 2019 sind beim baden-württembergischen Datenschutzbeauftragten Dr. Stefan Brink rund 1.000 Meldungen über Datenpannen eingegangen. Die Themen reichen von Ransomware-Vorfällen bis hin zum Fehlversand von Arztberichten. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten Cryptshare AG aus Freiburg im Breisgau, was Mitarbeiter in Arztpraxen tun können.

Bild: Cryptshare AG

Matthias Kess, CTO, Cryptshare AG

ds: Wie können Mitarbeiter für das Thema sensibilisiert werden?

Kess: Die Schlussfolgerung aus dem aktuellen Bericht des Datenschutzbeauftragten, ebenso wie aus den bekannt gewordenen Datenpannen der vergangenen Jahre, kann nur lauten: Die Sensibilisierung der Mitarbeiter, idealerweise in Form von regelmäßigen Schulungen, ist unabdingbar. Schließlich spielen die Anwender die zentrale Rolle bei allen Fragen rund um IT-Sicherheit.
Dazu kommt im täglichen Umgang ein gesunder Menschenverstand – was zu gut klingt, um wahr zu sein, ist in der Regel genau das: zu gut, um wahr zu sein! Aber auch andere Auffälligkeiten wie ein seltsames Erscheinungsbild oder ein unerwarteter Absender von ansonsten vertraut wirkenden E-Mails sind verdächtig. Doch das ist nur die eine Seite der Medaille, die auch nicht isoliert betrachtet werden sollte. Die andere ist die Unterstützung durch entsprechende technische Lösungen.

ds: Wie können Prozesse auch in kleinen Strukturen ordentlich gehandhabt werden, um derartige Vorfälle zu reduzieren oder sogar auszuschließen?

Kess: Nicht nur in der Medizin, sondern auch in der IT sollte eine regelmäßige „Vorsorgeuntersuchung“ durchgeführt werden. Um eine fundierte Diagnose stellen zu können, muss man einen genauen Blick in die vorherrschenden Kommunikationsprozesse werfen.

Und hier ist es ganz grundsätzlich nötig, einen Perspektivenwechsel vorzunehmen – hin zu den in vielen medizinischen Einrichtungen vorherrschenden Kommunikationsprozessen. Sie sind ganz offensichtlich ein Teil des Problems und machen bestimmte Bereiche so angreifbar. Der Gesundheitssektor, der wegen verschiedener Ransomware-Vorfälle schon mehrfach die Schlagzeilen bestimmte, hat beispielsweise Eigenheiten wie „Makros“ in Office-Programmen, die in medizinischen Einrichtungen häufig aktiviert sind.

Die gute Nachricht dabei: Es ist nur eine kleine Stelle, an der diese Prozesse anders gehandhabt werden müssten, um Einfallstore zu schließen und das Schutzniveau zu erhöhen. Es genügt eine einfache und schnell umzusetzende Maßnahme: die Umstellung der internen Workflows und der Einsatz entsprechender Lösungen, die dafür sorgen, dass vorab definierte Dateitypen erst gar nicht per E-Mail angenommen werden können. Wenn sie stattdessen über geeignete Dateiübertragungssysteme ausgetauscht werden, wird die massenhafte Verbreitung von Schadcode aufgrund vorhandener Authentifizierungsmaßnahmen für Absender und Empfänger unmöglich gemacht.

ds: Die am häufigsten gemeldeten Datenschutzverletzungen waren Postfehlversand, Hacking-Angriffe/Malware/Trojaner sowie E-Mail-Fehlversand. Welche Rolle spielt E-Mail in diesem Zusammenhang?
Kess: Die E-Mail spielt in der ganzen Thematik eine zentrale Rolle.

Einerseits hat sie sich gerade im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar. Andererseits kommen gerade hier Sicherheitsfragen ins Spiel: E-Mail-Kommunikation ist ein bevorzugter Angriffsvektor von Kriminellen, Hackern und Wirtschaftsspionen – neun von zehn Cyber-Angriffen starten mit einer E-Mail.

Anders ausgedrückt: E-Mails sind ein zentraler Teil des Problems.

ds: Gibt es so etwas wie fünf praktische Tipps für Arztpraxen, die aber auch leicht umsetzbar sind?

Kess: Da ist zum einen die – bereits angesprochene – Sensibilisierung der Mitarbeiter für unterschiedliche Sicherheitsanforderungen zu nennen.

Auch Sensibilisierung bezüglich der Nutzung sozialer Medien ist wichtig – denn Informationen, die Angreifer aus den sozialen Medien oder aus unverschlüsselten E-Mails ziehen, stellen ein Risiko dar. Und selbst bei verschlüsselten E-Mails (S/MIME und PGP) ist noch im Klartext ersichtlich, wer mit wem über welches Thema kommuniziert – über die Betreffzeile. Das kann bereits ausreichen, um einem der beiden Kommunikationsteilnehmer vertrauenswürdig zu erscheinen und im Rahmen eines Social-Engineering-Angriffs vertrauliche Informationen zu entlocken.

E-Mail bietet als Kommunikationsmedium eine sehr große Angriffsfläche, da die Nachrichten von A nach B einen Weg gehen können, den weder Absender noch Empfänger unter Kontrolle haben. Es empfiehlt sich daher, für schutzbedürftige Daten eine Lösung zu wählen, die den Kommunikationsweg direkter gestaltet, die Angriffsfläche so weit wie möglich verringert und so Kriminellen die Arbeit erheblich erschwert.

Mitarbeiter sollten jedoch auch bei Verwendung einer anderen Kommunikationslösung in der Lage sein, mit jedem beliebigen externen Kontakt, der über eine E-Mail Adresse verfügt, spontan verschlüsselt Informationen austauschen zu können, ohne zuvor die IT auf der einen oder anderen Seite beanspruchen zu müssen. In der Praxis ist jede technische Hürde eine zu viel. Eine Integration in die vorhandene E-Mail-Lösung ist also wünschenswert, denn hier muss kein neues Know-How erlernt werden.

Eine solche Lösung sollte zudem in der Lage sein, auf dem gleichen Wege nicht nur Nachrichten, sondern auch große Dateien auszutauschen. Das funktioniert per E-Mail in der Regel ohnehin nicht, ist im Medizinbereich jedoch häufig erforderlich. Man denke nur an Röntgenbilder oder dreidimensionale CT-Scans.

Mit Hilfe einer E-Mail-Schutz-Klassifizierung kann es den Mitarbeitern einfach gemacht werden, mit ein oder zwei Klicks die jeweils angemessenen Schutzmaßnahmen zu ergreifen. Denn natürlich muss nicht jede Nachricht immer verschlüsselt auf den Weg gehen. Streng vertrauliche Patientendaten jedoch sollten zwingend verschlüsselt und mit nachvollziehbarer Empfangsbestätigung zum Empfänger übertragen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.06.2019
Ein Jahr DS-GVO: Viel Lärm um nichts?

datensicherheit.de, 21.11.2018
Angriffe auf Krankenhäuser über E-Mails: Problem ist Teil der Lösung

[datensicherheit.de, 04.07.2018] EU-weit hat das Thema Cybersicherheit in den vergangenen Jahren erheblich an Bedeutung gewonnen. Für die politischen Entscheidungsträger in der Europäischen Kommission, im Europäischen Parlament und in den EU-Mitgliedstaaten wird das Thema immer wichtiger, so die aktuelle Einschätzung von Palo Alto Networks. Eine der wichtigsten Initiativen des Unternehmens, die sich an den Zielen der EU im Bereich Cybersicherheit orientiert, ist die Sensibilisierung der Unternehmen in Europa.

Palo Alto Networks begrüßt die zunehmende Betonung von Cybersicherheitsbewusstsein und -kompetenz in der EU. Vor einem Jahr ist das Unternehmen der Digital Skills and Jobs Coalition (DSJC) beigetreten. Die Initiative der Europäischen Kommission bringt Mitgliedstaaten, Unternehmen, Sozialpartner, gemeinnützige Organisationen und Bildungsanbieter zusammen, um Maßnahmen zur Förderung digitaler Kompetenzen in Europa zu ergreifen.

Die mit dem digitalen Zeitalter verbundenen Cyberrisiken minimieren

Wie viele Vordenker in der europäische Politik und Wirtschaft ist das Unternehmen davon überzeugt, dass Cybersicherheit ein geschäftliches und nicht nur ein IT-bezogenes Problem ist. Die Unternehmen von heute müssen über die erforderlichen Kenntnisse, Fähigkeiten und Tools verfügen, um die mit dem digitalen Zeitalter verbundenen Cyberrisiken zu minimieren. Mit vier europäischen Ausgaben seiner Buchreihe „Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers“ soll dazu beigetragen werden, das Bewusstsein für Cybersicherheit in die C-Führungsriege in Europa zu bringen.

Diese Bücher enthalten Kapitel, die unter anderem von europäischen Führungskräften sowie aktuellen und ehemaligen NATO- und europäischen Regierungsvertretern verfasst wurden. Die Autoren diskutieren Best Practices und befassen sich mit aktuellen Cybersicherheitsthemen, die Unternehmen und andere Organisationen berücksichtigen müssen, einschließlich der Frage, wie strategische Cybersicherheitsinitiativen auf Vorstandsebene verwaltet werden können.

Die vier europäischen Ausgaben im Einzelnen:

• Deutschland: „Wegweiser in die digitale Zukunft: Praxisrelevantes Wissen zur Cybersicherheit für Führungskräfte“, mit Beiträgen von Otto Gruppe, des Landes Baden-Württemberg, T-Systems International, Cyber-Sicherheitsrat Deutschland e.V. und Boehringer Ingelheim (veröffentlicht im Oktober 2017).
• Benelux: „Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers – Benelux Edition”, mit Beiträgen des früheren EU-Kommissars Neelie Kroes, des niederländischen National Cyber Security Centre, der Rabobank, First Lawyers, der Universität Wageningen, SecureLink, ON2IT, KPN und Proximus (veröffentlicht im Mai 2017).
• Großbritannien: „Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers – United Kingdom”, mit Expertenbeiträgen von Marks & Spencer, Barclays, PwC, BT, Brunswick Group, UK Trade & Investment und der NATO (veröffentlicht im Januar 2017).
• Frankreich: „Gouverner à l’ère du numérique – le guide de la cybersécurité pour les dirigeants d’entreprise”, mit Expertenbeiträgen von Groupe Caisse des Dépôts, EDF, Crédit Agricole, Orange Cyberdéfense und französischen Juristen (veröffentlicht im Oktober 2016).

Palo Alto Networks hat Tausende dieser kostenlosen Bücher an Führungskräfte und Organisationen in ganz Europa verteilt, sowohl in gedruckter Form als auch digital online. Die Bücher wurden zudem auf Kongressen und Konferenzen wie dem Weltwirtschaftsgipfel in Davos beworben. Darüber hinaus hat Palo Alto Networks in ganz Europa zahlreiche regionale und branchenspezifische Roundtables und Workshops zu den behandelten Themen abgehalten, um das Bewusstsein für Cybersicherheit zu schärfen und Führungskräfte bei der Bewältigung der heutigen Sicherheitsherausforderungen zu unterstützen. Eines der Versprechen von Palo Alto Networks im Rahmen des DSJC war es, die europäische C-Führungsriege durch die Bücher für dieses kritische Thema zu sensibilisieren. Als Teil dieser Bemühungen wurde Palo Alto Networks durch die Gemeinsame Mitteilung der Europäischen Kommission vom September 2017 ermutigt, in der die EU-Mitgliedstaaten aufgefordert wurden, das Cyberbewusstsein zu stärken und diese Botschaft an die Wirtschaftsakteure weiterzugeben.

Über die oben genannten europäischen Länder hinaus sind Versionen von „Navigating the Digital Age“ auch in den USA, Japan, Singapur und Australien erschienen. Noch in diesem Jahr wird Palo Alto Networks die zweite Ausgabe veröffentlichen, die Autoren aus vielen Teilen der Welt zusammenbringt. Diese kommende Ausgabe vereint die zukünftige Sicht auf Cyberrisiken sowie Best Practices zu einer Vielzahl von Themen. Die Projektverantwortlichen von Palo Alto Networks hoffen, dass diese neueste Ausgabe Diskussionen über Cybersicherheit zwischen technischen und nicht-technischen Führungskräften fördern wird.

Das Unternehmen ist weiterhin bestrebt, mit politischen Entscheidungsträgern in ganz Europa zusammenzuarbeiten, um Führungskräfte in Regierungsbehörden und im Privatsektor für das Thema Cybersicherheit zu sensibilisieren.

Weitere Informationen zum Thema:

SecurityRoundTable.org
Navigating the Digital Age, Second Edition

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

[datensicherheit.de, 22.03.2010] Zum 1. Mai 2010 tritt die neue Konzerndatenschutzbeauftragte der Deutschen Bahn AG, Chris Newiger, ihr Amt an. Mit diesem Schritt will die DB nach eigenen Angaben die Datenschutzorganisation des Konzerns weiter ausbauen:
Mit Newiger sei eine Konzerndatenschutzbeauftragte gefunden worden, die „gleichermaßen für die Vermittlung wie die Einhaltung des Datenschutzes“ stehe, so Dr. Rüdiger Grube, DB-Vorstandsvorsitzender.
Schwerpunkte des neuen Datenschutzmanagements sollen auf dem Auf- und Ausbau speziell ausgerichteter Abteilungen zum Kunden- und Mitarbeiterdatenschutz liegen. Zudem gehe es um die Sensibilisierung der Mitarbeiter in allen Unternehmensbereichen im Umgang mit personenbezogenen Daten – dafür seien umfangreiche Informationskampagnen und Schulungsmaßnahmen vorgesehen.
Der bisherige Konzerndatenschutzbeauftragte, Dr. Jürgen Sack, werde zukünftig die Abteilung „Kundendatenschutz“ leiten. Damit verbunden sei die „Aufwertung des Datenschutzes zum Qualitätsmerkmal als klares Signal für die Kunden der DB“.

Weitere Informationen zum Thema:

DB, 22.03.2010
Neue Konzerndatenschutzbeauftragte bei der DB