Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Auge ScanNur wer seine Sicherheitslücken beleuchtet, kann Risiken minimieren und Security-Maßnahmen wirtschaftlich sinnvoll priorisieren. Viele Schwachstellen liegen jedoch noch im Dunkeln. Und ihre Zahl wächst mit zunehmender Digitalisierung.

Präventive Maßnahmen wie Vulnerability Management bringen die gefährlichen Einfallstore ans Licht, bevor Angreifer sie ausnutzen können. Eine zusätzliche gezielte Vernetzung von IT-Security-Lösungen hilft, diese zu priorisieren.

Cyberattacken können erheblichen Schaden anrichten. Das zeigt der aktuelle „2017 Annual Cybersecurity Report“ des Netzwerkanbieters Cisco. 29 Prozent der Unternehmen, die 2016 Opfer eines Cyber-Angriffes wurden, erlitten Umsatzeinbußen – mehr als ein Drittel davon sogar über 20 Prozent. Dabei mangelt es nicht an Maßnahmen: Der Studie zufolge haben 65 Prozent der befragten Unternehmen mittlerweile bis zu 50 verschiedene Sicherheitsprodukte installiert. Der Haken: Wenn die einzelnen Systeme nicht nahtlos zusammenarbeiten, entstehen neue Sicherheitslücken.

Diese wiederum nutzen Hacker ganz gezielt aus. Sie konzentrieren sich wieder verstärkt auf klassische Angriffsvektoren wie Adware und E-Mail-Spam, um Schadsoftware in Unternehmensnetzwerke einzuschleusen. So war 2016 das weltweite Spam-Niveau so hoch wie seit 2010 nicht mehr, wobei zehn Prozent der unerwünschten Nachrichten Malware enthielten.

Gesetzliche Sicherheitsvorgaben: Die neue EU-Datenschutz-Grundverordnung

Im Visier der Malware-Spezialisten sind häufig personenbezogene Daten wie Kundendaten oder Kreditkartennummern. Unternehmen sind in der Pflicht, diese ausreichend zu schützen – auch seitens der Gesetzgeber: In der neuen EU General Data Protection Regulation (GDPR) haben sich die europäischen Länder nicht nur auf strengere Regularien zum Datenschutz geeinigt. Sie schreiben auch Maßnahmen für die technische und organisatorische Sicherheit vor. Seit 25. Mai 2016 ist die GDPR in Kraft. Unternehmen haben allerdings noch bis zum 25. Mai 2018 Zeit, die neuen Vorschriften umzusetzen. Wer dann nicht in der Lage ist, sie einzuhalten, muss mit empfindlichen Strafen rechnen. Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes sind möglich, wenn ein Unternehmen gegen die EU-Datenschutz-Grundverordnung verstößt.

Die Regularien zur Datensicherheit finden sich in Artikel 32 der GDPR. Der genaue Gesetzestext lautet: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Vulnerability Management für GDPR-konforme IT-Sicherheit

Ein wichtiger Baustein, mit dem Unternehmen für mehr Datensicherheit sorgen können, ist Vulnerability Management – zu Deutsch: Schwachstellenmanagement. Es organisiert und koordiniert Aktivitäten, die Schwachstellen innerhalb einer IT-Infrastruktur erkennen und entschärfen. Schwachstellen können zum Beispiel Fehler im Betriebssystem oder in der Software sein, aber auch fehlerhafte Konfigurationen und veraltete oder unsichere Passwörter. Anders als Firewalls oder Intrusion-Prevention- und Intrusion-Detection-Systeme (IPS und IDS) nimmt Vulnerability Management die Perspektive eines potenziellen Angreifers ein.

Vulnerability Management listet die gefundenen Schwachstellen nicht nur auf. Es nimmt auch eine Risikobewertung vor und stößt Prozesse und Maßnahmen an, um sie zu beseitigen. Dazu gehört zum Beispiel, Patches einzuspielen und Systeme upzudaten. Außerdem erkennt sie unsichere Einstellungen in Programmen. Mithilfe von Dashboards und Berichten können IT-Verantwortliche jederzeit überprüfen, ob eine Maßnahme erfolgreich war.

Vulnerability Management betrachtet das Netzwerk von außen

Bild 1: Vulnerability Management betrachtet das Netzwerk von außen – und nimmt somit den Blickwinkel der Angreifer ein. (Quelle: Greenbone Networks)

In Teamwork Schwachstellen schließen

Gleich in mehrfacher Hinsicht hilft Vulnerability Management Unternehmen dabei, GDPR-Vorgaben umzusetzen. Zum einen dient es als präventive Maßnahme, um Angriffe zu verhindern. Denn Hacker wählen immer den leichtesten Weg. In vielen Fällen nutzen sie lange bekannte Schwachstellen aus. Wer diese rechtzeitig schließt, schiebt Eindringlingen einen Riegel vor. Idealerweise arbeiten Vulnerability-Management-Lösungen nahtlos mit anderen Sicherheitssystemen wie Firewalls und IPS/IDS zusammen und versorgen diese mit den Ergebnissen ihrer Scans. So lassen sie sich gezielt auf die größten Schwachstellen einstellen und arbeiten effektiver.

Zum anderen fordert die GDPR, dass Unternehmen die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüfen müssen. Genau das tut Vulnerability Management: Es scannt die IT-Infrastruktur regelmäßig auf Schwachstellen, stößt Prozesse zu deren Beseitigung an und zeigt, ob diese erfolgreich waren.

Tägliche Sicherheitsupdates mit Risikoeinschätzung

Bild 2: Tägliche Sicherheitsupdates mit Risikoeinschätzung sorgen dafür, dass neue Lücken schnell entdeckt und geschlossen werden können (Quelle: Greenbone Networks)

Fazit: In IT-Sicherheit investieren lohnt sich

Unabhängig vom Sicherheitskonzept sollten Unternehmen ihre Sicherheitsvorkehrungen nie als abgeschlossen betrachten. Denn Hacker entwickeln kontinuierlich neue Angriffsmethoden und auch die IT-Umgebung ändert sich schnell. Kommt neue Hardware oder Software hinzu oder nutzen Mitarbeiter auch ihre privaten Smartphones, Notebooks und Tablets im Unternehmen, müssen Sicherheitsverantwortliche wieder neue Gegebenheiten in ihr Konzept integrieren. IT-Security ist deshalb immer ein laufender Prozess – es geht darum, Angriffsflächen täglich zu minimieren.

Der Vorstoß des Gesetzgebers ist also positiv zu bewerten: Mit der EU-Datenschutz-Grundverordnung hat die Politik das Thema Datenschutz aus dem Dornröschenschlaf geweckt. Und das in einer Weise, die Daten-Sicherheit mit IT-Sicherheit verbindet. Jetzt bleibt nur noch der steinige Weg zur Realisierung. Doch die Investition in IT-Sicherheit lohnt sich – insbesondere wenn man sie gegen die Kosten eines Sicherheitsvorfalls aufrechnet. Zudem sollten Unternehmen die Umsetzung der GDPR-Vorschriften nicht als Business-Bremse, sondern als Chance sehen. Denn wer frühzeitig geeignete Sicherheitskonzepte implementiert, verschafft sich auch einen Wettbewerbsvorteil.

Dirk Schrader Der Autor Dirk Schrader ist Certified Information Systems Security Professional (CISSP) und Certified Information Security Manager (CISM) bei Greenbone Networks. (Quelle: Greenbone Networks)

www.greenbone.net
 

GRID LIST
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

2018 wird ein gefährliches Cyber-Jahr

Auch im Jahr 2018 werden Hacker-Angriffe und Anschläge auf die Cyber-Sicherheit zu den…
Cyber-Attack

Cyber-Attacken auf Unternehmen zeigen immense Auswirkungen

Tägliche Angriffe auf die IT-Infrastruktur von Unternehmen sind 2017 zur Regel geworden“,…
Tb W190 H80 Crop Int A0b658a2645ffe77f8cfee09e585c568

IT als Teil der inneren Sicherheit?

In immer größeren Mengen und immer kürzeren Abständen kommen neue, smarte IT-Produkte auf…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security