Suchen

Fehler bei der Security-Strategie vermeiden 4 Tipps zur richtigen Sicherheitsstrategie

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Eine funktionierende Strategie zur IT-Sicherheit im Unternehmen zu entwerfen und umzusetzen ist eine große Herausforderung, an der IT-Fachkräfte oft genug scheitern. Wir haben vier Tipps, wie man schwerwiegende Fehler in einer Security-Strategie erkennen und eliminieren kann.

Bei Fehlern in der Security-Strategie geht einem meist erst ein Licht auf, wenn es zu spät ist. Es gilt also die Strategie regelmäßig auf Aktualität und Sinnhaftigkeit zu überprüfen.
Bei Fehlern in der Security-Strategie geht einem meist erst ein Licht auf, wenn es zu spät ist. Es gilt also die Strategie regelmäßig auf Aktualität und Sinnhaftigkeit zu überprüfen.
(Bild: thaikrit - Fotolia.com)

Dass IT Sicherheit ein Weg ist und nicht nur ein Ziel, wissen all diejenigen, die sich entschlossen haben, diesen steinigen Weg zu gehen, denn Sicherheit ist mehr als nur der Einsatz von Security-Produkten. Eine überlebensfähige Security-Strategie zu entwerfen, umzusetzen und am Leben zu erhalten ist eine immense Herausforderung.

Nicht immer klappt es, alle Aspekte gebührend zu berücksichtigen. Mitunter schleichen sich Fehler ein, die unter Umständen negative Folgen haben können. Deshalb vier Tipps, wie man gravierende Fehler in einer Security-Strategie erkennen und eliminieren kann.

Fehler 1: Desinteressierte Mitarbeiter

IT Sicherheit ist ein dynamisches Thema. Täglich werden neue Bedrohungen erkannt, Schwachstellen aufgedeckt und fehlerhafte Programme gefunden. Diese Informationen zu sichten, zu verstehen und die richtigen Schlüsse daraus zu ziehen ist eine anspruchsvolle Aufgabe. Generell ist daher Mitdenken und Engagement besonders bei den Leuten gefordert, die sich um die IT-Sicherheit kümmern.

Interessierte Mitarbeiter konnten zum Beispiel schon vor Information durch die Hersteller entdecken, ob ihr genutztes Produkt für die Heartbleed-Schwachstelle anfällig war. Denn die betroffenen Versionen der OpenSSL-Bibliothek konnte man in der Regel problemlos identifizieren. Der Vorteil dieser Erkenntnis, eine frühere Reaktionszeit und die Chance, einer Attacke zuvorzukommen.

Mitarbeiter die sich mit dem Thema identifizieren sind interessierte Mitarbeiter, die ihre „Security“ voranbringen wollen und auch über den Tellerrand hinaus blicken. Dieses Engagement kann mitunter ausschlaggebend sein, wenn es gilt eine Attacke frühzeitig abzuwehren oder effektiv Schäden zu minimieren.

Achten Sie daher immer darauf, dass Mitarbeiter, die Security betreiben, dies auch selbst wollen. Mitarbeiter die umständehalber Security betreiben, ohne dies anzustreben, bieten wenig Mehrwert!

Fehler 2: Starre Prozesse

Prozesse sind ein etablierter Ansatz, um Arbeitsabläufe zu beschreiben, zu standardisieren und damit effektiv zu machen. Im Security-Umfeld können aber Prozesse, ohne Sonderregelungen oder Ausstiegsklauseln kontraproduktiv sein.

Definiert ein Prozess beispielsweise, dass bei einer erkannten Infektion durch Schadsoftware der betroffen PC unmittelbar neu aufgesetzt wird, ist dies sinnvoll. Wenn aber der Anwender aus arbeitstechnischen Gründen Dokumente und Rechnungstabellen, die er in den letzten Tagen bearbeitet hat, noch nicht auf ein zentrales Speicherlaufwerk gesichert hat, braucht es hier eine Sonderregelung. Denn nur dann ist es möglich, die Arbeitsergebnisse von der lokalen Platte zu sichern, den PC neu aufzusetzen und die Arbeitsergebnis gesäubert und ohne Schadsoftware dem Anwender wieder zur Verfügung zu stellen. Ohne die Sonderregelung droht Daten- und damit Produktivitätsverlust.

Flexibilität schafft Sicherheit

Auch eine Ausstiegsklausel sollte bei Security-Prozessen immer vorhanden sein, denn mitunter kann es sinnvoller sein, weitere Experten zu Rate zu ziehen um eine Situation bezüglich des Sicherheitsrisikos genauer zu analysieren, als dem Prozess folgend, den Stecker zu ziehen!

Ein Netzwerk, ein Fertigungsband oder eine globale Anwendung stillzulegen hat oft weitreichende Folgen. Vielleicht stellt sich auch im Nachgang heraus, dass ein Scheinangriff nicht nur im Kriegsfall ein probates Mittel ist, um gegnerische Ressourcen zu binden oder den Gegner zu falschen Handlungen zu verleiten.

Geben Sie Mitarbeitern Regeln und Prozesse an die Hand, um Standardabläufe zu etablieren, aber geben Sie auch den Security-Experten und Entscheidern die Möglichkeit ein Veto einzulegen um alternative Wege zu beschreiten.

Fehler 2: Einseitige Ausrichtung

Aussagen wie „Die Sicherheit wird am Gateway-System erbracht!“ sind heutzutage längst überholt. Ohne eine zweite „Line of Defense“, die üblicherweise auf einem Arbeitsplatzsystem erbracht wird geht es heute nicht mehr.

Eine verschlüsselte Datenkommunikation (E-Mail, Web-Nutzung, Datentransfer) lässt sich beispielsweise nicht immer am Gateway aufbrechen und verifizieren. Oft steht der unverschlüsselte Inhalt erst am Arbeitsplatzsystem zur Verfügung und kann auch erst dort überprüft werden. Eine flexible Ausrichtung ist also zwingend erforderlich.

Aber nicht nur auf die Technik kommt es an, sondern beispielsweise auch darauf, Mitarbeiter zu Security-Themen zu sensibilisieren, die Programmierung eigener Anwendungen sicher zu gestalten und bei Arbeitsabläufen auf Security zu achten.

Mit der Zeit gehen – mehrschichtig agieren

Derzeit wird auch durch das Hype-Thema Cloud viel bewegt, was letztendlich wieder zu Security-Betrachtungen von CISOs und Security-Administratoren führen wird.

War vor 10 Jahren die Erbringung einer Security-Dienstleistung noch „eindimensional“, ist heute eine mehrdimensionale Ausrichtung und Absicherung erforderlich.

Richten Sie Ihre Security-Strategie am Bedrohungspotential für Ihr technisches und organisatorisches Umfeld aus und agieren Sie mehrschichtig. Denken Sie wie ein Cyberkrimineller und halten Sie alle Schlupflöcher im Blick!

Fehler 4: Die Irgendwann-mal-Strategie

„Wir sollten eine Firewall einsetzen!“; „Man müsste einmal das Virenschutzkonzept aktualisieren!“; „Wir brauchen ein Security-Patchmanagement!“

Aussagen die mit „sollte“, „bräuchte“, „müsste“ oder „könnte“ beginnen zeigen stets einen Handlungsbedarf an. Das dieser erkannt wird ist gut, aber wenn die Umsetzung aufgeschoben und nicht angegangen wird, ist dies für die eigene Security-Strategie äußerst nachteilig.

Die Cyberkriminellen ruhen nicht, täglich werden neue Methoden ersonnen, um Schutzmechanismen zu umgehen und Daten zu stehlen. Höchst plakativ wird dies bei Spam sichtbar, wo teilweise stundenaktuell auf Schlagzeilen und Begebenheiten reagiert wird! All das, um den Anwender zu ködern und relevante Daten freizugeben, die dem Cybercrime-Täter einen Gewinn garantieren.

Wird also erkannt, dass beispielsweise der eigene Virenschutz nicht mehr mindestens dem Marktstandard entspricht, muss man diese Sicherheitslücke zeitnah schließen. Da hilft kein „man müsste“, sondern ein „Wir setzen zum nächsten Quartal ein neues Konzept zur Bekämpfung und Vermeidung von Malware ein!“.

Sofort reagieren, statt warten

Reagieren Sie sofort, wenn Sie bzgl. Security einen Handlungsbedarf erkennen! Denn die Gegenseite macht keine Pause, um Ihnen Gelegenheit zu geben, in aller Ruhe, im nächsten Geschäftsjahr das Virenschutz-Konzept zu aktualisieren!

Agieren Sie Pro-Aktiv auf sich abzeichnende neue Security-Bedrohungen und auf „Ermüdungserscheinungen“ im eigenen Umfeld, wie z.B. lascher Umgang mit Security-Prozessen. Behalten Sie Ihre eigene Security-Strategie im Auge und verifizieren Sie diese periodisch auf Aktualität und Sinnhaftigkeit. Dies nicht zu tun, ist für Ihre IT Sicherheit absolut tödlich!

(ID:42873500)

Über den Autor