Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Cyber Defense Schild Shutterstock 450712039 700

Es vergeht kein Tag ohne Datenschutzverletzungen. Die weltweite Datenbank Breach Level Index von Gemalto, die Datenverstöße verfolgt und nach Art der gefährdeten Daten, der Zugriffsmethode und der Art des Verstoßes analysiert, visualisiert, wie viele Datenschutzverletzungen jeden Tag gemeldet werden.

Erfahrungsgemäß basieren zahlreiche Verstöße auf ähnlichen Problemen: schlecht konfigurierte Hardware oder Software, die nicht den neuesten Patch erhalten hat, sowie umfangreiche Zugriffsrechte auf Daten für Benutzer, die nur einen Bruchteil dieser Rechte für ihre Arbeit benötigen würden. Erschreckend oft lassen sich diese Probleme auf eine schlechte IT-Hygiene zurückführen.

Eine gute IT-Hygiene ist eine Reihe von Verfahren in der Informationssicherheit, um Daten sicher und gut geschützt zu halten. Dazu gehören einerseits Sicherheitsrichtlinien, die es dem Unternehmen ermöglichen, seine wichtigsten Systeme und Daten vor Angriffen von außen, wie beispielsweise Malware sowie vor Insider-Bedrohungen, wie beispielsweise menschlichen Fehlern seiner Mitarbeiter, zu schützen. Andererseits fallen auch die Praktiken darunter, die Benutzer anwenden, um sensible Daten organisiert und sicher zu halten. In der Praxis leidet die Qualität der IT-Hygiene allerdings oft darunter, dass das Budget nicht ausreicht, um der wachsenden Komplexität der IT-Umgebung und der Bedrohungslandschaft gerecht zu werden.

Die Folgen einer schlechten IT-Hygiene werden schnell unterschätzt

Unternehmen müssen rentabel arbeiten, aber der jüngste Datenvorfall von Experian, eine der drei größten US-amerikanischen Wirtschaftsauskunftei, zeigt, wie eine Budgetkürzung grundlegende Arbeitsabläufe für Angriffe anfällig macht. IT-Teams fehlen dann oft auch die Tools und Schulungen, um Risiken einzuschätzen, und ihre Geschäftspartner sind nicht immer in der Lage, kritische Assets zu identifizieren, die besonderen Schutz benötigen. Zum Beispiel lässt sich leicht vorstellen, dass eine Datei, die mit dem Namen „Notiz“ in einer SharePoint-Website versteckt ist, tatsächlich eine Tabelle mit sensiblen Kundeninformationen ist, die ein Mitarbeiter abgelegt hat, um auf die Daten schneller Zugriff zu haben. Die Sicherheitsteams haben in der Regel keine Chance, solche Daten richtig einzuschätzen, es sei denn, jemand sagt es ihnen. Genau solche Kommunikationslücken spielen böswilligen Angreifern in die Hände.

Die wirtschaftlichen Folgen von Sicherheitsverletzungen durch den Vertrauensverlust der Kunden, den Datenmissbrauch, Identitätsdiebstahl und andere Szenarien ist für viele Unternehmen schnell kritisch. Dazu kommen zahlreiche staatliche und branchenspezifische Vorschriften, die mit hohen Geldbußen und andere Strafen geahndet werden, wenn verschiedene Arten von sensiblen Daten nicht ordnungsgemäß geschützt werden; die europäische Datenschutzgrundverordnung ist dafür das aktuellste Beispiel.

Die IT-Hygiene gerät schnell in eine Abwärtsspiral: Umso schlechter der Zustand ist, umso aufwendiger wird die Korrektur, umso eher leidet die Hygiene und verschlechtert sich noch mehr, was eine Korrektur noch weiter erschwert. Für viele Sicherheitsteams ist die kritische Frage, wo anfangen soll, den Zustand zu verbessern und den Kreislauf zu durchbrechen. Vier Schritte sind notwendig, um die IT-Hygiene nachhaltig zu verbessern.

Die richtigen Daten zur Evaluation die IT-Hygiene sammeln

Zunächst müssen die Risiken im eigenen Unternehmen bewertet werden, dabei ist der häufigste Fehler, sich auf Annahmen oder Meinungen zu verlassen. Annahmen und Meinungen mögen manchmal plausibel klingen, müssen aber kritisch betrachtet werden, weil ihnen in der Regel belastbare und systematische Beobachtungen fehlen. Ein guter Ansatzpunkt sind die Sicherheitssysteme an der Peripherie des Netzwerks, die heutzutage in den meisten Unternehmen bereits stark ausgeprägt sind und nützliche Daten erfassen. Diese Informationen lassen sich nutzen, um Angriffspunkte zu identifizieren und einen groben Überblick über die Zugriffsberechtigungen innerhalb des Netzwerkes zu bekommen.

Die Bereinigung auf Grundlage des Risikos priorisieren

Diese Daten sind belastbar und erfahrungsgemäß offenbaren sie bei genauer Betrachtung schnell, welche Prioritäten hervorstechen. Allerdings sollte diese Informationslage nur die erste Grundlage sein, um die Risiken zu bewerten. Es wird oft versäumt, auch Führungs- und Fachkräfte aus anderen Geschäftsbereichen des Unternehmens einzubeziehen, die oftmals eine ganz andere Vorstellung als die IT davon haben, wo sich ihre entscheidenden Vermögenswerte des Unternehmens befinden. Möglicherweise wird der Prozess an dieser Stelle schwierig: Die Beteiligten erklären oftmals schnell bei jedem Ordner, dass ein ungehinderter Zugang unverzichtbar sei und an dieser Stelle zeigt sich in der Regel der Wert der zuvor gesammelten Daten. Eine gute Vorbereitung zeigt in der Regel, wann und wie ein Nutzer auf bestimmte Daten Zugriff erhalten hat und wie oft er diese Rechte tatsächlich benötigt.

Die notwendigen Wiederholungen einplanen

Die IT-Systeme und -Infrastruktur eines Unternehmens wandelt sich kontinuierlich und bereits kleine Änderungen an einer Konfigurationsdatei, der vorhandenen Hardware oder bei den Aufgaben sowie Zusammensetzung der Mitarbeiter kann bereits große Auswirkungen auf die Datensicherheit haben. Das bedeutet, dass die IT-Hygiene regelmäßig evaluiert werden muss und eigentlich ein kontinuierlicher Prozess ist, der wiederholt, termingerecht und so weit wie möglich automatisiert durchgeführt werden muss. Deshalb sollte der Prozess gleich an die erstmalige Bereinigung angeschlossen werden, ehe sie wieder neu begonnen werden muss.

Das Gespräch über die IT-Hygiene pflegen

Die CIOs und CISOs müssen über die Risiken so sprechen, dass sie von allen verstanden werden. Oftmals wird das Thema von anderen Vorstandsmitgliedern und der Geschäftsführung nur unzureichend verstanden, weil ihnen die notwendigen Vorkenntnisse fehlen. Das bedeutet allerdings, dass sie die Bedeutung des Anliegens und der notwendigen Investitionen nur unzureichend überblicken können. Deshalb kann lohnt es sich, sie frühzeitig zu coachen, damit sie der Ausführung des CISOs ausreichend folgen und die Folgen ihrer Entscheidung abschätzen können. Das ist meistens der Punkt, an dem sich fast jedes Unternehmen noch stark verbessern kann.

Die IT-Sicherheit muss ständig nach den effizientesten und geeignetsten Wegen suchen, um die Risiken ihres Unternehmens zu minimieren, und es gibt keinen besseren Ort, um damit zu beginnen, als die grundlegende IT-Hygiene sicherzustellen.

Gerald LungGerald Lung, Country Manager DACH bei Netwrix Corporation, www.netwrix.de
 

GRID LIST
Phishing

Das Phishing-Prinzip und seine Gefahr für die IT von Unternehmen

Im Web ist weltweit jedes dritte kleine und mittlere Unternehmen Opfer von…
Hacker lieben Weihnachten

Gefährliche Weihnachtszeit - Hochsaison für Hacker

Für Unternehmen und Behörden ist die Weihnachtszeit alles andere als besinnlich. Während…
Tb W190 H80 Crop Int B4c4e812090ab33236beb9243853732a

Ein Denkfehler ist keine Pioniertat

Die gesamte IT-Sicherheitsindustrie begeht einen Denkfehler – und verkauft ihn als…
Tb W190 H80 Crop Int 658f818261677ec748ec3fc0e8dcad3c

Was ist der Mimecast ESRA Test?

Viele Organisationen sind der Meinung, dass ihre aktuellen Email-Sicherheitssysteme…
Stethoskop und Computer

Warum auch in der IT vorbeugen besser ist als heilen

Die bekannte Redewendung «vorbeugen ist besser als heilen» kann auch in der IT angewendet…
Tb W190 H80 Crop Int Aeb5a1ad0de7db3f252650c4e72a36c1

Als IT-Forensiker zwischen Schadprogrammen und Schraubenziehern

Die fiktive HAK Messtechnik AG wird Opfer einer zielgerichteten Cyber-Attacke und muss…
Smarte News aus der IT-Welt