Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Auge ScanNur wer seine Sicherheitslücken beleuchtet, kann Risiken minimieren und Security-Maßnahmen wirtschaftlich sinnvoll priorisieren. Viele Schwachstellen liegen jedoch noch im Dunkeln. Und ihre Zahl wächst mit zunehmender Digitalisierung.

Präventive Maßnahmen wie Vulnerability Management bringen die gefährlichen Einfallstore ans Licht, bevor Angreifer sie ausnutzen können. Eine zusätzliche gezielte Vernetzung von IT-Security-Lösungen hilft, diese zu priorisieren.

Cyberattacken können erheblichen Schaden anrichten. Das zeigt der aktuelle „2017 Annual Cybersecurity Report“ des Netzwerkanbieters Cisco. 29 Prozent der Unternehmen, die 2016 Opfer eines Cyber-Angriffes wurden, erlitten Umsatzeinbußen – mehr als ein Drittel davon sogar über 20 Prozent. Dabei mangelt es nicht an Maßnahmen: Der Studie zufolge haben 65 Prozent der befragten Unternehmen mittlerweile bis zu 50 verschiedene Sicherheitsprodukte installiert. Der Haken: Wenn die einzelnen Systeme nicht nahtlos zusammenarbeiten, entstehen neue Sicherheitslücken.

Diese wiederum nutzen Hacker ganz gezielt aus. Sie konzentrieren sich wieder verstärkt auf klassische Angriffsvektoren wie Adware und E-Mail-Spam, um Schadsoftware in Unternehmensnetzwerke einzuschleusen. So war 2016 das weltweite Spam-Niveau so hoch wie seit 2010 nicht mehr, wobei zehn Prozent der unerwünschten Nachrichten Malware enthielten.

Gesetzliche Sicherheitsvorgaben: Die neue EU-Datenschutz-Grundverordnung

Im Visier der Malware-Spezialisten sind häufig personenbezogene Daten wie Kundendaten oder Kreditkartennummern. Unternehmen sind in der Pflicht, diese ausreichend zu schützen – auch seitens der Gesetzgeber: In der neuen EU General Data Protection Regulation (GDPR) haben sich die europäischen Länder nicht nur auf strengere Regularien zum Datenschutz geeinigt. Sie schreiben auch Maßnahmen für die technische und organisatorische Sicherheit vor. Seit 25. Mai 2016 ist die GDPR in Kraft. Unternehmen haben allerdings noch bis zum 25. Mai 2018 Zeit, die neuen Vorschriften umzusetzen. Wer dann nicht in der Lage ist, sie einzuhalten, muss mit empfindlichen Strafen rechnen. Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes sind möglich, wenn ein Unternehmen gegen die EU-Datenschutz-Grundverordnung verstößt.

Die Regularien zur Datensicherheit finden sich in Artikel 32 der GDPR. Der genaue Gesetzestext lautet: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Vulnerability Management für GDPR-konforme IT-Sicherheit

Ein wichtiger Baustein, mit dem Unternehmen für mehr Datensicherheit sorgen können, ist Vulnerability Management – zu Deutsch: Schwachstellenmanagement. Es organisiert und koordiniert Aktivitäten, die Schwachstellen innerhalb einer IT-Infrastruktur erkennen und entschärfen. Schwachstellen können zum Beispiel Fehler im Betriebssystem oder in der Software sein, aber auch fehlerhafte Konfigurationen und veraltete oder unsichere Passwörter. Anders als Firewalls oder Intrusion-Prevention- und Intrusion-Detection-Systeme (IPS und IDS) nimmt Vulnerability Management die Perspektive eines potenziellen Angreifers ein.

Vulnerability Management listet die gefundenen Schwachstellen nicht nur auf. Es nimmt auch eine Risikobewertung vor und stößt Prozesse und Maßnahmen an, um sie zu beseitigen. Dazu gehört zum Beispiel, Patches einzuspielen und Systeme upzudaten. Außerdem erkennt sie unsichere Einstellungen in Programmen. Mithilfe von Dashboards und Berichten können IT-Verantwortliche jederzeit überprüfen, ob eine Maßnahme erfolgreich war.

Vulnerability Management betrachtet das Netzwerk von außen

Bild 1: Vulnerability Management betrachtet das Netzwerk von außen – und nimmt somit den Blickwinkel der Angreifer ein. (Quelle: Greenbone Networks)

In Teamwork Schwachstellen schließen

Gleich in mehrfacher Hinsicht hilft Vulnerability Management Unternehmen dabei, GDPR-Vorgaben umzusetzen. Zum einen dient es als präventive Maßnahme, um Angriffe zu verhindern. Denn Hacker wählen immer den leichtesten Weg. In vielen Fällen nutzen sie lange bekannte Schwachstellen aus. Wer diese rechtzeitig schließt, schiebt Eindringlingen einen Riegel vor. Idealerweise arbeiten Vulnerability-Management-Lösungen nahtlos mit anderen Sicherheitssystemen wie Firewalls und IPS/IDS zusammen und versorgen diese mit den Ergebnissen ihrer Scans. So lassen sie sich gezielt auf die größten Schwachstellen einstellen und arbeiten effektiver.

Zum anderen fordert die GDPR, dass Unternehmen die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüfen müssen. Genau das tut Vulnerability Management: Es scannt die IT-Infrastruktur regelmäßig auf Schwachstellen, stößt Prozesse zu deren Beseitigung an und zeigt, ob diese erfolgreich waren.

Tägliche Sicherheitsupdates mit Risikoeinschätzung

Bild 2: Tägliche Sicherheitsupdates mit Risikoeinschätzung sorgen dafür, dass neue Lücken schnell entdeckt und geschlossen werden können (Quelle: Greenbone Networks)

Fazit: In IT-Sicherheit investieren lohnt sich

Unabhängig vom Sicherheitskonzept sollten Unternehmen ihre Sicherheitsvorkehrungen nie als abgeschlossen betrachten. Denn Hacker entwickeln kontinuierlich neue Angriffsmethoden und auch die IT-Umgebung ändert sich schnell. Kommt neue Hardware oder Software hinzu oder nutzen Mitarbeiter auch ihre privaten Smartphones, Notebooks und Tablets im Unternehmen, müssen Sicherheitsverantwortliche wieder neue Gegebenheiten in ihr Konzept integrieren. IT-Security ist deshalb immer ein laufender Prozess – es geht darum, Angriffsflächen täglich zu minimieren.

Der Vorstoß des Gesetzgebers ist also positiv zu bewerten: Mit der EU-Datenschutz-Grundverordnung hat die Politik das Thema Datenschutz aus dem Dornröschenschlaf geweckt. Und das in einer Weise, die Daten-Sicherheit mit IT-Sicherheit verbindet. Jetzt bleibt nur noch der steinige Weg zur Realisierung. Doch die Investition in IT-Sicherheit lohnt sich – insbesondere wenn man sie gegen die Kosten eines Sicherheitsvorfalls aufrechnet. Zudem sollten Unternehmen die Umsetzung der GDPR-Vorschriften nicht als Business-Bremse, sondern als Chance sehen. Denn wer frühzeitig geeignete Sicherheitskonzepte implementiert, verschafft sich auch einen Wettbewerbsvorteil.

Dirk Schrader Der Autor Dirk Schrader ist Certified Information Systems Security Professional (CISSP) und Certified Information Security Manager (CISM) bei Greenbone Networks. (Quelle: Greenbone Networks)

www.greenbone.net
 

GRID LIST
Tb W190 H80 Crop Int 736a65166cde31ad5dffda5c8dd250fc

Cybersicherheit bei M & A-Transaktionen – Die unterschätzte Gefahr

Die aktuellen wirtschaftlichen und politischen Turbulenzen in einigen Staaten Europas und…
Tb W190 H80 Crop Int 59c0f6503daa36156da927e434e5a40f

Die 3 gefährlichsten Angriffsvektoren

Dieses Jahr hat Verizon bereits zum elften Mal seinen Data Breach Investigations Report…
Emergency

Fünf Must-haves für ein effektives Krisenmanagement

Everbridge, Spezialist für Critical Event Management, erläutert, wie Unternehmen bei…
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Smarte News aus der IT-Welt