IT-Sicherheit: Gründliche Planung ist Voraussetzung

KMU stehen vor besonderen Herausforderungen

Von unserem Gastautor Dominique Meurisse, COO bei WALLIX

[datensicherheit.de, 08.12.2016] Viele Organisationen schlagen sich mit der riesigen Menge an IT-Securitylösungen herum – Anbieter, Berater und Analysten liefern eine Vielzahl von Ideen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben oftmals nicht die Zeit und die Ressourcen, eine Vielzahl von Produkten und Werkzeugen (Tools) zu prüfen und zu bewerten.

Einerseits haben Organisationen nur begrenzte Planungszeit und bereits vorhandene Sicherheitstechnologie, die beim Einkauf neuer Lösungen bedacht werden muss. Auf der anderen Seite erzeugt die neue Bedrohungslandschaft einen gewissen Veränderungsdruck – passen sich Unternehmen nicht an, laufen sie Gefahr, Opfer eines Cyberangriffs zu werden, denn die in Organisationen vorhandenen klassischen Systeme haben sich als unzureichend erwiesen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei grundsätzliche Wege für den Aufbau einer Sicherheitsarchitektur:

• Grundlegende Sicherheitsmechanismen für alle Geschäftsprozesse und Unternehmensressourcen in einer Institution, um so die größten Risiken zu minimieren. Detailliertere Schritte können später folgen – der Fokus liegt auf der Einbindung aller Bereiche in ein breitgefächertes Sicherheitskonzept
• Wichtigste Sicherheits- und Schutzfunktionen, Ausgangspunkte sind hier die kritischsten Assets. Verglichen mit dem ersten Punkt liegt hier der Fokus mehr auf der Tiefe als auf der Breite der Schutzmaßnahmen. Nicht alle Prozesse sein gleich wichtig und deshalb sollten flexible Sicherheitsmaßnahmen in Erwägung gezogen werden. Hochkritische Bereiche wie beispielsweise Adminzugänge werden strenger geschützt als ausrangierte IT, die demnächst verschrottet werden soll
• Für einige Branchen gibt der „BSI-Grundschutz“ präzisere Empfehlungen mit Standardmaßnahmen. Der aktuelle BSI-Standard 100-2 enthält jetzt Details zum Schutz industrieller Steuerungssysteme (Industrial Control Systems, ICS).

Das Thema IT-Sicherheit ist nicht neu – hat sich aber stark verändert

In vielen Organisationen wurden bereits grundlegende Sicherheitsmechanismen eingeführt. Auch ist das Bewusstsein von CISOs und ISOS in Hinblick auf die Frage, welches die kritischsten Assets in einer Organisation sind, sehr hoch; das Hauptproblem ist das praktische Management der Sicherheitsverfahren – IT-Strategien mussten so oft angepasst werden oder sind so kompliziert geworden, dass sie nicht mehr effizient sind. Beispielsweise ist nicht sicher, wer eigentlich Zugriff auf kritische Daten hat – oftmals sind Nutzerkonten einfach verloren gegangen oder in Vergessenheit geraten.

Malware und Cyberbedrohungen sind intelligenter geworden, und in Reaktion darauf schuf der Markt mehr Sicherheitsinstrumente für unterschiedliche Szenarien. Gleichzeitig steigt die Anzahl an Geräten, die auch noch heterogener werden. Durch BYOD, IoT, Cloud-Migration und andere Innovationen wurden neue Angriffsvektoren erschlossen – was wiederum dediziertere Einzellösungen in den Firmen zur Folge hat.

Das führte zu einer noch größeren Bedrohung – nämlich zu überlasteten IT-Administratoren. Die Anzahl an Angriffen, Bedrohungen und Sicherheitstools steigt, doch die Arbeitsstunden, die in IT-Abteilungen in Sicherheitsmaßnahmen investiert werden, folgen diesem Anstieg nicht – oder einfach gesagt: IT-Abteilungen verwenden immer mehr Zeit auf die Einführung und Anpassung von Sicherheitsinstrumenten und haben weniger Zeit für die eigentlichen Management-Aufgaben.

Jede neue Lösung zieht voraussichtlich Sicherheitswarnungen und Nutzerbeschwerden nach sich. Ein strategisches Konzept muss also das richtige Schutzniveau mit einer nutzerfreundlichen Anwendung kombinieren. Gleichzeitig muss es in die Alltagsroutine von IT-Verantwortlichen passen und die Erfüllung von Normen und Vorschriften gewährleisten. Es sollte Mitarbeitern die effizienteste Technik für ihre Aufgaben bieten und gleichzeitig die Gefahr von Datenlecks, Cyber-Angriffen und Compliance-Verstößen verringern.

Die Toleranz von Mitarbeitern ist begrenzt: Eine Befragung von 400 IT-Administratoren zeigt, dass 74 Prozent des Personals in IT-Abteilungen durchaus in der Lage sind, Sicherheitsmaßnahmen ganz leicht zu umgehen. Erscheint eines der vielen Sicherheitsinstrumente lästig, wird es wahrscheinlich nicht eingesetzt. Nicht nur die Angestellten einer Organisation könnten zu einem Sicherheitsrisiko führe, auch externe Mitarbeiterinnen und Mitarbeiter sollten in ein Schutzkonzept miteinbezogen werden.

Nach einer von PWC durchgeführten Studie setzen 82 Prozent der Unternehmen eine Form von externen Anbietern ein und lagern Geschäftsaufgaben aus – so auch den Zugriff auf ihre Netzwerke. 90 Prozent aller Organisationen geben auch zu, im letzten Jahr irgendeine Art von Vorfall erlitten zu haben. Überraschend ist die Tatsache, dass 48 Prozent der Verstöße auf menschliches Versagen zurückzuführen sind und 17 Prozent durch absichtlichen Systemmissbrauch durch Menschen verursacht werden.

Privileged Access Management zur Verbesserung und Sicherung von IT-Umgebungen

Fehlverhalten und Fehler im Umgang mit privilegierten Konten können Organisationen schweren Schaden zufügen. IT-Abteilungen haben jedoch nicht die Personalressourcen, alle Aktionen zu verwalten, insbesondere, wenn sie von Dritten eingesetzt werden.

Das Mikromanagement eines jeden einzelnen Nutzers ist zeitaufwendig und unwirtschaftlich.Privileged Access Management (PAM) ist ein eleganter Weg, allen drei BSI-Empfehlungen zu folgen. Detaillierte Maßnahmen für alle Nutzerkonten gewährleisten eine Sicherheitsgrundlage und umfassen Onboarding von Anwendungen, Wartung und Offboarding von Accounts.

Um den gesamten Lebenszyklus abzudecken, muss mit der Erstintegration in das System begonnen werden, alle Änderungen während der Nutzungsdauer mit aufgenommen und das System zum Schluss nach seiner Stilllegung entfernt werden.

Darüber hinaus kann PAM die Workflows der Nutzer einzeln prüfen und sehen, ob ihre Aktionen legitim sind. Zugriffsrechte sollten in Zeit und Tiefe beschränkt sein, so dass Administratoren bestimmte Aktionen innerhalb eines zeitlich festgelegten Zugriffsfensters planen können. Das ermöglicht die Planung von Aktivitäten und die gleichzeitige Sicherstellung des Schutzes.

Für äußerst kritische Accounts mit Zugriff auf wichtige Assets kann ein höheres Schutzniveau eingestellt werden. Wenn solche Accounts geteilt werden, kann Live-Überwachung oder die Zwei-Mann-Regel verbindlich vorgeschrieben werden. Moderne PAM-Lösungen funktionieren agentenlos und sind dabei leicht umzusetzen. IT-Abteilungen können sich so auf die wesentlichen Fragen fokussieren und die wichtigsten Accounts mit erweiterten Zugriffsrechten ermitteln.

Zurzeit sind einige wenige PAM-Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards, wie ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, aber sie sind nur eine Orientierung und höchstwahrscheinlich werden neue Vorschriften folgen. In jedem Fall bieten PAM-Lösungen einen einzigartigen Weg zu effizienter IT-Sicherheit und Compliance.

Fazit

Das BSI liefert zwar strategische Empfehlungen für die IT-Sicherheit, Organisationen müssen jedoch noch ihre eigenen Best Practices definieren, um die Sicherheit und Effizienz in ihren IT-Abteilungen zu steigern. Viele Anbieter haben ihre Büros außerhalb Europas und entwickeln ihre Produkte für ein spezielles Top-Thema. Die Produkte sind innovativ, passen aber nicht in die Sicherheitsarchitektur – was auch für das Personal gilt, das die Tools nutzt und integriert.

Das führt zu Sicherheitsrisiken, denn IT-Administratoren haben mit zu vielen Sicherheitstools zu kämpfen. Sicherheit ist zu einer zeitaufwendigen Angelegenheit geworden, die immer weniger Zeit für tatsächliche Administrationsaufgaben lässt. Insbesondere KMUs brauchen bisweilen passende Basistools, um die Effizienz und Sicherheit zu verbessern, und keine teuren Threat Intelligence der nächsten Generation, die dazu führt, dass Nutzer zu Umgehungslösungen greifen. Größere Sicherheitsbudgets sind nicht erforderlich, doch die zur Verfügung stehenden Budgets sollten sinnvoll eingesetzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2016
Komplexität von IT-Infrastrukturen