Gute Planung ist alles

5 konzeptionelle Schwachstellen, die teuer werden können

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Schwachstellen müssen nicht immer rein technischer Natur sein, manchmal hakt es schon bei der Planung.
Schwachstellen müssen nicht immer rein technischer Natur sein, manchmal hakt es schon bei der Planung. (Bild: Archiv)

Der Einsatz von leistungsstarken Security-Produkte ist kein Garant für eine funktionierende IT-Sicherheit! Die Suche nach toten Schnittstellen, fehlendem Know-how und dem TEAM-Gedanken (Toll, Ein Anderer Macht’s) fördert Security-Lücken zu Tage, die teuer werden können.

IT Sicherheit ist ein wesentlicher Bestandteil für den Unternehmenserfolg. Während bekannte Risiken wie z.B. Malware, Hacker oder DDoS-Angriffe minimiert werden, entstehen oft Schwachstellen bei der IT-Nutzung, um die sich so recht keiner kümmern will. Erschwerend kommt hinzu, dass man diese Lücken erst entdeckt, wenn man genau hinsieht bzw. etwas recherchiert und gelebte Verfahren hinterfragt.

Übergreifende fachliche Kompetenz und detaillierte Kenntnisse der internen Prozesse und Zuständigkeiten helfen, diese Schwachstellen aufzudecken. Auch ein gesunder Menschenverstand ist sehr nützlich, denn manche gelebte Lösung ist viel zu kompliziert, um effektiv zu sein. Vernetztes, übergeordnetes Denken im großen Rahmen wird zwar immer gefordert, aber im Berufsalltag dominiert oft noch eine monolithische Einstellung inklusive einer eingeschränkten Betrachtungsweise von Lösungen.

Gelten sollte: Wer im IT-Umfeld durch Modifikationen ein Problem oder eine Security-Schwachstelle erzeugt, muss sich auch um die Lösung bzw. Beseitigung kümmern und darf nicht darauf vertrauen, dass es andere tun. Dies gilt auch, wenn die Lösung nicht in den jeweiligen Zuständigkeitsbereich fällt!

1. Zunehmende Unübersichtlichkeit

Jede neue Version eines Software-Produkts bringt mehr Features mit sich. Viele sind nützlich, viele aber auch überflüssig. Klickibunti beispielsweise ist heutzutage Standard und betrifft auch Security-Produkte. Grafische Oberflächen und Konfigurationsmenüs werden immer komplexer und umfangreicher und verändern damit das Verhalten der Nutzer nachhaltig.

Einerseits wird immer weniger Fachwissen vorgehalten, denn dies steckt ja im Produkt, und gleichzeitig beschränkt sich die Produktnutzung auf vorgefertigte Standard-Funktionen. Neue Features werden, wenn überhaupt, nur zögerlich in den Security-Betrieb eingeführt, denn man versteht die Logik dahinter nicht, hat noch inkompatible Umgebungen oder kann den Mehrwert nicht nutzen.

Durch Marketing-Aussagen, wie „leicht zu bedienen“, „einfach anzuwenden“, „selbstlernend“ etc. wird der Eindruck erweckt, dass Fachwissen und eine Tool-Ausbildung nicht erforderlich ist. Das Gegenteil ist aber oft der Fall. Der Firewall-Verantwortliche kann sich das erforderliche Wissen zur effektiven Nutzung nicht im Selbststudium erarbeiten, denn im Arbeitsalltag hat er dafür zu wenig Zeit dafür. Wenn dann auch noch Aufgrund dieses Zeitmangels der Besuch der Fortgeschrittenen-Schulung ausfällt, ist das existierende Wissen oft nur rudimentär ausgeprägt.

Dass dies im Security-Umfeld kontraproduktiv ist und zu Risiken führen kann ist naheliegend. Fehlt beispielsweise bei einem Textprogramm das Wissen, wie man automatisiert ein Inhaltsverzeichnis erstellt, dauert es „nur“ länger dieses manuell zu erstellen. Fehlt dieses Wissen aber bei einer Firewall, einem AV-Tool oder dem http-Malware-Scanner, dann wird es kritisch!

Tipp: Reden Sie mit Ihren Security-Personal, ob dies in der Lage ist, vollumfänglich die aktuellen Tools zu bedienen oder ob bereits Defizite existieren, die zu einer verringerten Qualität führen. Klären Sie auch ab, ob man bei Ausfall eines Tools einen sicheren Notbetrieb aufrechterhalten kann und das dafür vorhandene Fachwissen (noch) existiert.

Neue Security-Komponenten erfordern u.U. auch eine andere Arbeits-und Betrachtungsweise. Gehen Sie nicht davon aus, dass Ihr Personal über dieses verfügt. Ermöglichen Sie vorab bzw. zeitnah den Besuch von Schulungen und der Schaffung von Freiräumen für das Selbststudium während der Arbeitszeit!

2. Versicherungscheck

Eine Betriebsunterbrechungsversicherung gehört zum Standard-Versicherungspaket eines Unternehmens. Nur sind damit noch lange nicht alle Eventualitäten abgesichert. Jeder Versicherungsmakler und Security-Berater wird Sie gerne darüber informieren, wo aktuell Ihre Versicherungs-Lücken sind und was Sie real versichert haben. Prüfen Sie, ob wirklich alle möglichen, kostenintensiven Schadensoptionen durch das gegenwärtige Versicherungs-Paket abgedeckt sind!

Verifizieren Sie, ob nur Ihre Schäden oder auch die von Dritten gedeckt sind und wie es um die Kostenübernahmen zur Wiederherstellung Ihrer Reputation und Ihres Imageverlustes steht. Wer bezahlt die Wiederherstellung von Daten oder den Einsatz von Forensik-Experten, die man zur Beweissicherung engagiert hat? Wer bezahlt für temporäre Ersatzlösungen, die z.B. durch die Anmietung von Cloud-Kapazitäten anfallen und wie hoch ist maximale Kostenübernahme angesetzt?

Vielleicht müssen Sie Ihr Standard-Versicherungspaket erweitern oder nachjustieren. Möglicherweise macht auch eine zeitgemäße Cyber-Versicherung Sinn. Diese kann Sie zwar nicht vor Schäden bewahren, die ein Hacker durch sein Tun verursacht, aber eine solche Versicherung kann ihnen helfen, die finanziellen Schäden auszugleichen.

Tipp: Setzen Sie sich mit dem Thema Cyber-Versicherung auseinander! Betrachten Sie diese Versicherungsart wir eine neue Hardware- oder Software-Komponente, die sie Ihrem IT-Schutzkonzept hinzufügen.

3. Neues & Altes

Überraschenderweise nimmt jeder an, dass mit dem Einsatz neuer Technik immer alles besser wird. Dass dies nicht so sein muss, entdeckt man leider oft zu spät. Einige Beispiele dazu:

  • Die Datenträger der wöchentlichen Sicherung wurden bisher abwechselnd in Hautgebäude und im Nebengebäude des Unternehmens aufbewahrt. Durch den Einsatz einer neuen, schnelleren Datensicherungseinheit entfällt dies, da die Band-Entnahme zu zeitintensiv ist. So steht nach einem Brand im Hauptgebäude nur eine (veraltete) 3-Monatsssicherung zur Verfügung, da der wöchentliche Auslagerungszyklus aufgegeben wurde.
  • Das altgediente Virenschutzprogramm wurde durch ein neues ersetzt, welches preisgünstiger ist und in Tests bzgl. Scan-Geschwindigkeit und Erkennungsrate überzeugen konnte. Trotzdem kommt es nach Wechsel auf das neue Tool zu vermehrten Vireninfektionen auf Unternehmens-Notebooks. Als Ursache wurde eine Virus-Gruppe entdeckt, die mit einem alten, selten genutzten Pack-Programm komprimiert wurden. Dieses wurde vom neuen Virenschutz-Tool nicht (mehr) erkannt.
  • Das Unternehmen hat auf IP-Telefonie umgestellt. Kritisch wird es aber, als das Netzwerk ausfällt und man telefonischen Kontakt zu Spezialisten aufnehmen will um deren Rat zu holen. Per Handy ist dies zwar möglich, aber nicht aus Tiefbau-Rechenzentrum, da dort kein Funknetz-Empfang möglich ist.

Tipp: Spielen sie nach Einführung von neuer Technologie unbedingt Worst-Case-Szenarien zeitnah durch, um mögliche Schwachstellen entdecken. Für sich betrachtet sind alle Neuerungen sinnvoll, effektiv und kostenreduzierend – aber in Kombination betrachtet, ergeben sich ggf. Effektivitätseinbußen.

4. Wachstum ohne Ende?

So gerne Unternehmen ein stetiges Wachstum begrüßen, nicht jede Art von Wachstum ist gern gesehen. Das beste Beispiel dafür: Unnütze Daten. Eine stetige Zunahme an Daten bedeutet i.d.R. auch mittelfristige Investitionen. Primär für Speicherplatz um diese Daten vorzuhalten, aber auch in allgemeiner Rechnerleistung, um diese Daten per IT schnell zu verarbeiten.

Handelt es sich um nützliche, geschäftsrelevante Daten (Stichwort. Big Data), investiert man bereitwillig, aber Unternehmen haben zunehmend mit einer Flut von unwichtige Daten zu kämpfen, die stetig zunehmen: In Postfächern schlummern E-Mails von vor zwei Jahren, die keinerlei aktuelle Relevanz mehr haben. Persönliche Laufwerke füllen sich mit veralteten Präsentationen und Berichten. Fotos der Abteilungsfeier und SW-Pakete, die niemand mehr verwendet tragen auch zur Speicher-Verschwendung bei.

Der schwarze Verantwortungs-Peter wird dabei zwischen Anwender und betrieblichen Organisationseinheiten hin und hergeschoben. Letztendlich unternimmt aber niemand etwas! Keiner löscht konsequent veraltete, unnütze Daten und so wächst der Bedarf an Speicherkapazität kontinuierlich an. Mehr Daten bedeuten somit mehr Zeit für Backup/Restore-Läufe! Dies kann dazu führen das Zeitvorgaben überschritten werden, denn Maintenance-Zeiten sind im produktiven Umfeld immer knapp kalkuliert.

Mehr Daten bedeutet auch, dass der tägliche On-Demand-Scan per Virenscanner (alle Daten werden auf Malware geprüft), mehr Zeit braucht. Möglicherweise muss er deshalb auf mehrere Tage gesplittet werden, was das Risiko mit sich bringt, neue Malware erst verspätet zu erkennen. Das Nicht-Prüfen von User-Laufwerken per Malware-Tool ist ein zweischneidiges Schwert. Denn so schafft man unkontrollierte Datenbereiche, in denen sich Schadsoftware beinahe ungehindert ausbreiten kann.

Tipp: Geben Sie maximale Größen für Postfächer, private Laufwerke und Abteilungsübergreifende Fileshares vor. Schaffen Sie Auslagerungsmöglichkeiten, damit „alte Daten“ aufbewahrt werden können, ohne den Produktivbetrieb zu belasten. Erstellen Sie monatliche Auswertungen, über den Speicherbedarf der einzelnen Abteilungen und deren Mitarbeiter (ggf. anonymisiert). Schaffen Sie ein Kostenbewusstsein, indem Sie aufschlüsseln, was es kostet diese Daten vorzuhalten (Speicherplatz) und abzusichern (Virenscanner-Prüfung, Verschlüsselung etc.). Machen Sie klar, das auch der (unendliche) Speicherplatz in der Cloud nicht umsonst ist.

5. EOL – End Of Life

Als EOL wird der Zeitpunkt bezeichnet, zu dem der Hersteller einer Lösung (Hardware / Software) den Support bzw. die Weiterentwicklung einstellt. So endete beispielsweise der Microsoft-Support für Windows XP im April 2014 und Windows Vista schlägt 2017 die Stunde.

Wie immer wieder der Presse zu entnehmen ist, werden trotzdem noch viele, auch wichtige, Systeme, weiterhin unter XP betrieben. Oft liegt dies daran, dass man den (finanziellen) Aufwand für einen Betriebssystemwechsel nicht erbringen möchte oder einfach nicht wechseln kann, weil benötigte Anwendungen auf neueren Betriebssystem-Versionen nicht einsatzfähig sind. Produkte die ihr EOL erreicht haben, sind tickende Zeitbomben – denn irgendwann, wird eine Komponente versagen und die gesamte Applikation steht.

Dies kann der Programmiere sein, der in Ruhestand geht, das Netz-Protokoll, welches nicht unterstützt wird oder ganz simpel eine Passwort-Regel, die längere Passwörter als acht Stellen fordert und damit die Applikation überfordert. Auch Updates und Patches, die entdeckte Security-Lücken schließen und nicht mehr für das Betriebssystem bzw. Produkt-Umfeld angeboten werden, sind ein häufiges KO-Kriterium.

Tipp: Lassen sie sich quartalsweise die EOL-Daten für die Key-Applikationen Ihres Unternehmens zeigen und überprüfen sie dabei auch sämtliche Security-Komponenten wie Virenscanner-Produktversionen, Appliance-Firmware, Firewall-Status, Backup-Lösungen und Protokoll-Versionen. Achten Sie dabei vor allem auf Zusammenhänge zwischen den einzelnen Komponenten, die nicht auf den ersten Blick ersichtlich sind aber Folgeaktivitäten erfordern.

Empfehlung

Plakative Security-Maßnahmen wie z.B. das Schließen von SSL/TLS-Schwachstellen, der wirksame Schutz gegen den neuesten Banking-Trojaner oder die kryptografische Absicherung der Cloud-Daten kann man gut präsentieren und als wichtige Aktivität „verkaufen“. Die Überarbeitung einer Prozess-Schnittstelle bietet deutlich weniger Potential. Aber man kann es sich nicht leisten, diese innerbetrieblichen, organisatorischen und produktspezifischen Optimierungen außer Acht zu lassen, denn auch diese haben ein vergleichbares Schadenspotential.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44145118 / Risk Management)