IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Security Schild2016 stellte sich als durchaus erfolgreiches Jahr für die Cyber-Kriminalität heraus. Mehrere gelungene Hacker-Angriffe, auch auf große Unternehmen wie Yahoo! und AdultFriendFinder.com oder auf das U.S. Department of Justice im Februar 2016, machten es deutlich wie unausgereift die IT-Sicherheit vielerorts noch ist. 

Dabei liegt es oft nicht daran, dass es an Sicherheits-Strategien fehlt, sondern, dass diese das alte Paradigma des Verteidigens in der Burg einnehmen –was in einer voll vernetzten Welt mit diversen Subdienstleistern und Lieferanten nicht mehr funktioniert. Von der Verwendung von Sicherheitstechnologien, die für Netzwerke und Anwendungen für die Herausforderungen der 90er Jahre entwickelt wurden bis hin zu Passwortschwächen bei Mitarbeitern oder mangelnden Patch-Prozessen, leiden viele Unternehmen an zahlreichen Sicherheitslücken, die Hacker sich leicht zu Nutze machen können.

Nicht alleine auf Sicherheitstechnologien setzen

Sicherheitstechnologie alleine reicht heutzutage nicht aus. Durch weitreichende Vernetzungen in Unternehmen über mehrere Geräte, Ortschaften und Abteilungen hinweg, sowie mit Sub-Dienstleistern, Lieferanten und Anbietern von Cloud-Services kann keine schützende Mauer mehr gezogen werden, die alle Bereiche effektiv abdeckt. Zudem dienen diese Technologien nur als erste Hürde. Unternehmen müssen es sich deshalb zum Ziel setzten, die Hauptursache der Sicherheitslücken oder -Probleme zu erkennen und diese rechtzeitig zu eliminieren. Das beinhaltet durchaus die Nutzung von Technologien, erfordert aber zusätzlich auch die Schulung von Mitarbeitern und die Einführung von unternehmensweiten effektiven Sicherheitsprozessen. Der Faktor Mensch spielt hierbei eine zentrale Rolle, denn nur wenn alle die vorgegebenen Sicherheitsprozesse verstehen und einhalten, kann ein rundum Schutz gewährleistet werden.

Das Sicherheitsproblem Passwörter abschaffen

In einer zunehmend mobilen Arbeitslandschaft, und einer Welt in der Phishing-Kampagnen sowie Malware immer ausgefeilter werden, ist sichere Authentifizierung ein Schlüsselthema. Die meisten Unternehmen und ihre Mitarbeiter verlassen sich dabei oft noch auf das alte Passwort-System und unterschätzen dabei das Sicherheits-Risiko. Das beste Passwort nützt nichts, wenn es Angreifern bekannt ist (durch Phishing oder den Hack einer Seite auf der dieses auch verwendet wurde). Insofern sollten Unternehmen unbedingt Passwörter mit einem weiteren Faktor absichern. Multi-Faktor-Authentifizierung senkt das Risiko einer Kompromittierung aufgrund von Passwörtern und bietet z.B. durch Push-Tokens einen hohen Komfort und damit eine hohe Benutzerakzeptanz. Zudem ermöglicht sie die Umsetzung einer Gerätetrennung –sofern aus rechtlichen Gründen notwendig.

Durch ständige Analysen immer einen Schritt voraus sein

IT-Sicherheit darf nicht stillstehen, sondern muss stetig weiterentwickelt werden, nicht nur um sich den neuen Technologien und Trends, wie IoT Geräten, anzupassen oder Crime-as-a-Service entgegenzuwirken, sondern auch um das eigene Sicherheitsniveau stetig zu verbessern. Insbesondere ist es elementar die Fähigkeit zur Erkennung von Einbruchsversuchen und erfolgreichen Einbrüchen zu verbessern. Je schneller Einbrüche erkannt werden, umso geringer ist die Auswirkung. Ein „Dieb“ der sich in einer Wohnung 2 Jahre umsehen kann und Zeit hat den Safe zu knacken, verursacht mehr Schaden, als ein Einbrecher, der nach 30 Sekunden bereits die Alarmanlage hört und nach 60 Sekunden den Wachdienst herbeieilen sieht. Ziel sämtlicher Maßnahmen in einem Unternehmen sollte es deshalb sein, die Mean Time to Compromise (MTTC) zu erhöhen und damit die Zeit, die ein Angreifer benötigt um Schaden anzurichten als auch die Estimated Time to Detection (ETTD) zu reduzieren, also die Zeit, die man braucht um einen Einbrecher zu erkennen. Interne Wargames ermöglichen nicht nur die Ermittlung dieser Zeiten, sondern auch die Identifikation der Schwachstellen, die Angreifer gezielt ausnutzen. Daraus können Prozesse erarbeitet werden, die diese Schwachstellen nicht nur beseitigen, sondern eine frühzeitige Erkennung künftiger Angriffe dieser Art gestatten.

IT-Security Liferanten-Management

Den Bedarf an IT-Sicherheit im Zuge der Digitalisierung haben die meisten Unternehmen bereits erkannt. Dennoch fehlt es an einem durchgängigen und konsistenten Konzept, das die Sicherheit in einer vollvernetzten digitalen Welt bestmöglich unterstützt. Im Zuge der Digitalisierung und Globalisierung werden diverse Leistungen, wie Software, Entwicklung, Cloud-Services, Rechenzentren und Support von Subdienstleistern und Lieferanten erbracht. Es ist deshalb essentiell sicherzustellen, dass diese über ein einheitliches Mindestsicherheitsniveau verfügen –den die Kette ist nur so stark wie ihr schwächstes Glied. Durch die Kombination von Security Service Level Agreements, Sicherheits-Assessments und Security Gateways vor einem Going-Live, welche z.B. Source Code Reviews, Penetrationstests oder ähnliches beinhalten, wird sichergestellt, dass Unternehmen ohne Sicherheits-Knowhow nicht die Gefährdungslage massiv erhöhen. Auch kann ein durchgehendes Sicherheits-Monitoring dabei helfen, Abweichungen in der Sicherheit zu erkennen –welches sich nicht direkt auf die Leistung auswirken, jedoch zu erheblichen Problemen führen können wie z.B. das Unterlassen von Sicherheitspatches.

Über IT-Sicherheit hinausdenken

Das Thema IT-Sicherheit ist zentral - aber gute Security-Dienstleister können auch Möglichkeiten und Lösungen zeigen, die nicht nur die Sicherheit im Unternehmen erhöhen, sondern auch Ressourcen sparen. Im Fokus steht neben der Sicherheit die Möglichkeit Prozesse zu automatisieren und die Ursachen zu vermeiden, die am Ende zur Sicherheitslücke führen und deren Einzelbehebung wesentlich kostenintensiver ist, als deren Vermeidung im Vorfeld. Ein risikobasiertes Vorgehen, je nach Datenkritikalität sowie ein Wandel in Richtung schneller Erkennung und schneller Reaktion sind dabei maßgeblich.

Unternehmen müssen auf Sicherheitslösungen setzten, die sich leicht den ständigen Entwicklungen im Unternehmen und der Industrie anpassen, dabei aber die allgemeinen Geschäftsprozesse nicht verlangsamen oder gar unterbrechen. Insofern sind technische Lösungen zu bevorzugen, die über eine API verfügen, da diese sowohl zukünftige Use-Cases als auch die Automatisierung vereinfachen. Es ist unverzichtbar alle drei Faktoren – Technologie, Prozesse und Mitarbeiter – zu berücksichtigen. Denn nur die effektive Zusammenarbeit aller Bereiche kann einen Rundum-Schutz bieten, der mögliche Attacken nicht nur gezielt abwehrt, sondern auch im Voraus erkennt. Hierfür müssen Unternehmen auf die richtigen Dienstleister und Plattformen setzten, die ihnen bei der Implementierung und Umsetzung der richtigen Prozesse zu Seite stehen. Nur durch kompetente Beratung kann auch eine dauerhafte Sicherheits-Strategie erschlossen werden, die Ihr Unternehmen auch weit über 2017 hinaus schützt.

Dr Amir Alsbih

Autor: Dr. Amir Alsbih, COO von KeyIdentitiy

 
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet