9 Schritte zu den richtigen Sicherheitsstrategien

Mit einer IT-Risikoanalyse Sicherheitsrisiken senken

| Autor / Redakteur: Jürgen Venhorst / Peter Schmitz

Jedes Unternehmen sollte daran denken, dass die Risikobewertung in der IT-Sicherheit und die Prozesse des Unternehmens für das Risikomanagement das Herzstück der Cybersicherheit bilden.
Jedes Unternehmen sollte daran denken, dass die Risikobewertung in der IT-Sicherheit und die Prozesse des Unternehmens für das Risikomanagement das Herzstück der Cybersicherheit bilden. (Bild: gemeinfrei / Pixabay)

In der Cybersicherheit geht es darum, Risiken für kritischen Vermögenswerte eines Unternehmens zu verstehen, zu verwalten, zu kontrollieren und zu minimieren. Das bedeutet, dass sich die für IT-Sicherheit verantwortlichen Teams mit dem Thema Risikomanagement beschäftigen müssen.

Die Grundlage dafür ist eine systematische IT-Risikoanalyse (IT Risk Assessment), die viele IT-Verantwortliche allerdings abzuschrecken scheint. In der Praxis stehen sie oft vor der Frage, wo sie mit der Evaluierung ihrer IT-Sicherheitsrisiken beginnen sollen. Ein genauer und strukturierter Ansatz ist allerdings einfacher, als es zunächst aussieht und beginnt mit drei Fragen:

  • 1. Was sind die kritischen IT-Ressourcen des Unternehmens? Das heißt, welche Daten sind es, deren Kompromittierung einen großen Einfluss auf den Geschäftsbetrieb haben würde?
  • 2. Welche sind die fünf wichtigsten Geschäftsprozesse, die von diesen Informationen abhängen und ihre Verfügbarkeit voraussetzen?
  • 3. Welche Cyberbedrohungen könnten die Betriebsfähigkeit dieser Geschäftsprozesse beeinträchtigen?

Sobald bekannt ist, was geschützt werden muss, kann die Entwicklung der Sicherheitsstrategien beginnen. Bevor jedoch Teile des Budgets oder die Zeit der Sicherheitsteams in die Implementierung einer Lösung zur Risikoreduzierung investiert werden, sollten folgende Fragen beantwortet werden:

  • Was ist das Risiko, das reduziert wird?
  • Ist es das Sicherheitsrisiko mit der höchsten Priorität?
  • Wird das Risiko auf die kosteneffizienteste Weise reduziert?

Diese Fragen bringen den Kern des IT Risk Assessments auf den Punkt: Es geht um Risiken.

Office 365 mit Netwrix Auditor effizient überwachen

Video-Tipp: Office 365 Überwachung

Office 365 mit Netwrix Auditor effizient überwachen

14.11.17 - Unternehmen, die auf Office 365 setzen, benötigen Lösungen um die Verwendung und Sicherheit der wichtigsten Dienste zu überwachen. Mit Netwrix Auditor kann ein Admin auf Exchange Online, SharePoint Online und OneDrive for Business ein Auge werfen. Parallel zu Office 365 lässt sich mit Netwrix Auditor außerdem auch noch das Microsoft Azure Active Directory überwachen. lesen

Was heißt Risiko?

Im Kontext eines Risk Assessments ist „Risiko“ ein Geschäftskonzept, das die Wahrscheinlichkeit eines finanziellen Verlustes für das Unternehmen nach hoch, mittel, niedrig oder Null einstuft. Bei der Risikobestimmung spielen drei Faktoren eine Rolle: Was ist die Bedrohung, wie verwundbar ist das System und wie wichtig ist der Vermögenswert, der verletzt oder dessen Verfügbarkeit bedroht wird. Mit diesen Gedanken kann ein Risiko wie folgt definiert werden:

Risiko = Bedrohung x Schwachstelle x Asset

Obwohl Risiko als mathematische Formel dargestellt wird, geht es nicht um Zahlen, sondern um ein logisches Konstrukt. Angenommen, ein Unternehmen möchte das Risiko bewerten, das mit der Bedrohung durch Hacker verbunden ist. Wenn das Netzwerk sehr anfällig ist (z. B. weil weder ein Firewall noch eine Antivirenlösung eingerichtet wurde) und das Asset unternehmenskritisch ist, ist das Risiko hoch. Wenn das System jedoch über eine gute Abwehr verfügt und die Sicherheitslücke geringfügig ist, besteht nur ein mittelgroßes Risiko, obwohl das Objekt immer noch kritisch ist.

Es gibt zwei Sonderfälle zu beachten:

  • Null impliziert stets Null: Wenn einer der Faktoren Null ist, dann ist auch das Risiko Null, selbst wenn die anderen Faktoren hoch oder kritisch sind.
  • Risiken passieren zufällig: Wenn etwas garantiert passiert, ist es kein Risiko.

Gängige Möglichkeiten, wie ein Unternehmen einen finanziellen Schaden erleiden kann, sind:

  • Datenverlust: Der Diebstahl von Geschäftsgeheimnissen kann dazu führen, dass ein Unternehmen sein Geschäft an einen Konkurrenten verliert. Der Diebstahl von Kundendaten kann darüber hinaus zu Vertrauens- und Kundenverlust führen.
  • Ausfallzeiten von Systemen oder Anwendungen: Wenn ein System seine Hauptfunktion nicht erfüllt, können Kunden keine Aufträge erteilen, Mitarbeiter können ihre Arbeit nicht verrichten oder kommunizieren usw.
  • Rechtsfolgen: Wenn jemand Daten aus einer der Datenbanken entwendet, können selbst dann Bußgelder und andere Rechtskosten anfallen, wenn die Daten nicht wertvoll waren, weil die Organisation Sicherheitsanforderungen von DSGVO, PCI DSS oder anderer Compliance-Vorschriften nicht eingehalten hat.

Ein IT Risk Assessment hilft dabei, die richtigen Sicherheitsstrategien zu wählen und solche Folgen zu vermeiden. Wie funktioniert das also? Ein systematischer Ansatz umfasst neun Schritte.

Diese Tools sorgen für mehr AD-Sicherheit

Sicherheitslücken in Active Directory finden

Diese Tools sorgen für mehr AD-Sicherheit

28.11.18 - Verwenden Unternehmen Active Directory, sollte regelmäßig überprüft werden, ob die verschiedenen Bereiche korrekt konfiguriert sind und keine Sicherheitslücken aufweisen. Wir stellen einige Tools vor, mit denen sich die Sicherheit in Active-Directory-Umgebungen überprüfen und verbessern lässt. lesen

Schritt 1: Assets identifizieren und priorisieren

Zu den Assets eines Unternehmens gehören Server, Kundendaten, Kontaktinformationen, sensible Partnerdokumente, Geschäftsgeheimnisse und Vergleichbares. Es sollte immer daran gedacht werden, dass das, was ein Anwender für wertvoll hält, möglicherweise nicht das ist, was für das Unternehmen tatsächlich am wertvollsten ist. Daher müssen Anwender und Management zusammenarbeiten, um eine Liste aller wertvollen Assets zu erstellen. Für jedes Objekt sollten folgende Informationen – soweit zutreffend – gesammelt werden:

  • Software
  • Hardware
  • Daten
  • Schnittstellen
  • Benutzer
  • Unterstützungspersonal
  • Mission oder Zweck
  • Kritikalität
  • Funktionale Anforderungen
  • IT-Sicherheitsrichtlinien
  • IT-Sicherheitsarchitektur
  • Netzwerktopologie
  • Schutz der Datenspeicherung
  • Informationsfluss
  • Technische Sicherheitskontrollen
  • Physische Sicherheitsumgebung
  • Umweltschutz

Da die meisten Unternehmen über ein begrenztes Budget für IT Risk Assessment verfügen, muss sich der Umfang eines Projekts wahrscheinlich auf die wichtigsten Vermögenswerte beschränken. Dementsprechend müssen Firmen einen Standard zur Bestimmung der Bedeutung jedes Assets definieren. Gemeinsame Kriterien sind der monetäre Wert, die rechtlichen Anforderungen und die Bedeutung für die Organisation. Sobald der Standard durch das Management genehmigt und formell in die Sicherheitsrichtlinie zur Risikobewertung aufgenommen wurde, können die Sicherheitsteams damit beginnen, jedes von ihnen identifizierten Asset als kritisch, groß oder geringfügig zu klassifizieren.

Änderungen in Microsoft-Netzwerken nachverfolgen

Video-Tipp: Berechtigungen überwachen

Änderungen in Microsoft-Netzwerken nachverfolgen

14.03.17 - Administratoren haben häufig das Problem, dass sich Änderungen an Berechtigungen für verschiedene Objekte im Netzwerk kaum nachverfolgen lassen. Allerdings sind solche Überwachungen sinnvoll, und in vielen Fällen auch gesetzlich vorgeschrieben. Wie man eine solche Änderungsüberwachung realisiert, zeigen wir in diesem Video-Tipp-Artikel. lesen

Schritt 2: Bedrohungen identifizieren

Eine Bedrohung ist alles, was eine Schwachstelle ausnutzen könnte, um zu Sicherheitsverletzungen zu führen und dem Unternehmen Schaden zuzufügen. Während Hacker und Malware wahrscheinlich jedem in den Sinn kommen, gibt es noch viele andere Arten von Bedrohungen, darunter:

  • Naturkatastrophen: Überschwemmungen, Hurrikane, Erdbeben, Feuer und andere Naturkatastrophen können viel mehr zerstören als ein Hacker. Die betroffenen Organisationen können nicht nur Daten, sondern auch die Server und Applikationen verlieren. Wenn entschieden wird, wo die Server stehen, sollten die Wahrscheinlichkeiten einer Naturkatastrophe einbezogen werden. Beispielsweise sollte ein Serverraum nicht im Erdgeschoss eingerichtet werden, wenn in der Region ein hohes Hochwasserrisiko ausgewiesen ist.
  • Systemfehler: Die Wahrscheinlichkeit eines Systemausfalls hängt von der Qualität eines Computers ab. Bei relativ neuen, hochwertigen Geräten ist die Wahrscheinlichkeit eines Systemausfalls gering. Wenn ein Gerät hingegen alt oder von geringer Qualität ist, steigt die Wahrscheinlichkeit eines Ausfalls deutlich höher. Daher empfiehlt es sich, hochwertige Geräte zu kaufen, oder zumindest auf einen guten Support zu achten.
  • Versehentliche menschliche Eingriffe: Diese Bedrohung ist immer hoch, egal in welcher Branche. Jeder kann Fehler machen, wie z. B. versehentlich wichtige Daten löschen, Phishing-Links zu Malware anklicken oder ein Gerät versehentlich beschädigen. Daher sollten die Daten, einschließlich der Systemeinstellungen, ACLs und andere Konfigurationsinformationen, regelmäßig gesichert und alle Änderungen an kritischen Systemen sorgfältig verfolgt werden.
  • Bösartige Akteure: Es gibt drei Arten von bösartigem Verhalten: 1. Eine Störung bedeutet, dass jemand dem Unternehmen Schaden zufügt, indem er Daten löscht, einen Distributed Denial of Service (DDOS) gegen die Unternehmensseite aufsetzt, physisch einen Computer oder Server stiehlt usw. 2. Eine Interception ist das klassische Hacking, bei dem Daten gestohlen werden. 3. Der Identitätsdiebstahl ist der Missbrauch der Zugangsdaten einer anderen Person, die oft durch Social Engineering-Angriffe oder Brute-Force-Angriffe erworben oder im Darkweb gekauft werden.

Schritt 3: Schwachstellen identifizieren

Im dritten Schritt müssen Schwachstellen erkannt werden. Eine Schwachstelle ist eine Sicherheitslücke, die ein potenzieller Angreifer ausnutzen kann, um die Sicherheit zu verletzen und das Unternehmen zu schädigen. Schwachstellen können durch Schwachstellenanalysen, Auditberichte, die NIST -Datenbank, Herstellerdaten, kommerzielle Incident Response-Teams und die Sicherheitsanalyse der Systemsoftware identifiziert werden.

Das Testen des IT-Systems ist ebenfalls ein wichtiges Instrument zur Identifizierung von Schwachstellen. Die Prüfung kann folgende Punkte beinhalten:

  • Test- und Bewertungsverfahren für die Informationssicherheit (englisch Security Test and Evaluation, ST&E)
  • Penetrationstests
  • Automatisierte Tools zum Scannen von Schwachstellen

Mit einem ordnungsgemäßen Patch-Management kann die IT-Sicherheit softwarebasierte Schwachstellen reduzieren. Aber die physischen Schwachstellen dürfen nicht vergessen werden. Wenn beispielsweise ein Serverraum in den zweiten Stock des Gebäudes verlegt wird, sinkt die Anfälligkeit für Hochwasser bereits stark.

Herausforderung in Active Directory erkennen und lösen

Erst Drittanbieter-Tools machen das AD praktikabel

Herausforderung in Active Directory erkennen und lösen

20.09.18 - Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher. lesen

Schritt 4: Sicherheitskontrollen analysieren

Eine Analyse der Sicherheitskontrollen, die bereits vorhanden sind oder sich in der Planungsphase befinden, minimiert die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle im System ausnutzt. Die Kontrollen können mit technischen Mitteln wie Computerhardware oder -Software, Verschlüsselung, Intrusion Detection-Lösungen sowie durch Subsysteme zur Identifizierung und Authentifizierung implementiert werden. Zu den nicht-technischen Kontrollen gehören Sicherheitsrichtlinien, Verwaltungsmaßnahmen sowie physische und die Firmenumgebung betreffende Mechanismen.

Sowohl technische als auch nicht-technische Kontrollen können weiterhin in präventive Kontrollen und Detective-Kontrollen unterteilt werden. Wie der Name impliziert, versuchen präventive Kontrollen, Angriffe zu verhindern und aufzuhalten. Beispiele für präventive technische Kontrollen sind Geräte zur Verschlüsselung und Authentifizierung. Detective-Kontrollen werden verwendet, um Angriffe oder Ereignisse zu erkennen, z. B. durch ein Audit Trail und Intrusion Detection Systeme.

Schritt 5: Wahrscheinlichkeit für einen Vorfall bestimmen

Unternehmen müssen für jede Schwachstelle einschätzen, wie hoch die Wahrscheinlichkeit ist, dass sie tatsächlich ausgenutzt wird. Dazu sollte die Art der Schwachstelle, die Fähigkeiten und Motive der Gefahrenquelle sowie der Existenz und Wirksamkeit der eigenen Kontrollen berücksichtigt werden. Anstatt eines numerischen Wertes verwenden viele Unternehmen die Kategorien hoch, mittel und niedrig, um die Wahrscheinlichkeit eines Angriffs oder eines anderen unerwünschten Ereignisses zu bewerten.

SQL- und Exchange-Server mit Netwrix Auditor überwachen

Video-Tip: Sichere Datenbanken

SQL- und Exchange-Server mit Netwrix Auditor überwachen

04.07.17 - Um Datenbanken oder Exchange-Server sicher zu betreiben, ist eine regelmäßige Überwachung notwendig, welche die Rechte, die Zugriffe und den Betrieb im Auge behält. Fallen Unregelmäßigkeiten auf, werden Administratoren benachrichtigt und automatische Gegenmaßnahmen eingeleitet. lesen

Schritt 6: Auswirkungen einer Bedrohung analysieren

Die Wirkungsanalyse sollte die folgenden Faktoren umfassen:

  • Die Aufgabe des Systems, einschließlich der vom System implementierten Prozesse.
  • Die Kritikalität des Systems, bestimmt durch seinen Wert und den Wert der Daten für das Unternehmen.
  • Die Anfälligkeit des Systems und seiner Daten.

Die für eine Folgenabschätzung erforderlichen Informationen können aus der vorhandenen Dokumentation des Unternehmens gewonnen werden, einschließlich einer Business Impact Analyse (BIA). Dieses Dokument verwendet entweder quantitative oder qualitative Maßstäbe, um die Auswirkungen zu bestimmen, die durch eine Kompromittierung oder Schäden an den Informationsbeständen des Unternehmens verursacht würden.

Ein Angriff oder ein unerwünschter Zwischenfall kann zu einer Beeinträchtigung oder zum Verlust der Reputation, Integrität und Verfügbarkeit des Informationssystems führen. Wie bei der Wahrscheinlichkeitsbestimmung kann die Auswirkung auf das System qualitativ als hoch, mittel oder niedrig bewertet werden.

Die folgenden zusätzlichen Punkte sollten in die Folgenabschätzung einbezogen werden:

  • Die geschätzte Häufigkeit der Ausnutzung einer Schwachstelle durch die Bedrohung auf jährlicher Basis.
  • Die ungefähren Kosten für jedes dieser Ereignisse.
  • Eine Gewichtung, die auf der relativen Auswirkung einer spezifischen Bedrohung basiert, wenn sie eine bestimmte Schwachstelle ausnutzt.

Schritt 7: Risiken priorisieren

Für jedes Paar aus Bedrohung und Schwachstelle wird jetzt das Risikoniveau für das IT-System, basierend auf den folgenden Angaben ermittelt:

  • Die Wahrscheinlichkeit dafür, dass die Bedrohung die Schwachstelle ausnutzt.
  • Die Auswirkungen einer Bedrohung, die Schwachstelle erfolgreich ausgenutzt wurde.
  • Die Angemessenheit bestehender oder geplanter Sicherheitskontrollen des Informationssystems zur Risikobeseitigung oder -verringerung.

Ein nützliches Instrument zur Risikoabschätzung ist die Risikostufenmatrix. Eine hohe Wahrscheinlichkeit für das Eintreten der Bedrohung wird mit einem Wert von 1,0, eine mittlere Wahrscheinlichkeit mit einem Wert von 0,5 und eine geringe Eintrittswahrscheinlichkeit mit einer Bewertung von 0,1 angegeben. Ebenso wird hohen Auswirkungen ein Wert von 100, mittleren Auswirkungen 50 und einer geringfügigen Auswirkung 10 zugeordnet. Das Risiko wird berechnet, indem die Werte für die Wahrscheinlichkeit und Auswirkung multipliziert werden. Die Risiken können anschließend auf Basis des Werts als hoch, mittel oder niedrig eingestuft werden.

Performance-Troubleshooting gegen Sicherheitsprobleme mit Gruppenrichtlinien

Video-Tipp: Performance-Troubleshooting

Performance-Troubleshooting gegen Sicherheitsprobleme mit Gruppenrichtlinien

09.05.17 - Gruppenrichtlinien spielen eine wichtige Rolle, wenn im Netzwerk für mehr Sicherheit und vor allem eine einheitliche Konfiguration wichtiger Einstellungen gesorgt werden soll. Bei Übertragungs- oder Leistungsproblemen werden Sicherheitsprogramme und die Anmeldung ausgebremst. Mit einigen Troubleshooting-Tricks findet man schnell die passenden Problemlösungen. lesen

Schritt 8: Passende Kontrollen empfehlen

Auf Grundlage des Risikoniveaus können Organisationen festlegen, welche Maßnahmen das Top-Management und andere Verantwortliche ergreifen müssen, um das Risiko zu minimieren. Abhängig vom Risikoniveau gibt es einige allgemeine Empfehlungen, damit umzugehen.

  • Hoch: Ein Plan für die Maßnahmen sollte so schnell wie möglich entwickelt werden.
  • Mittel: Ein Plan für die Maßnahmen sollte innerhalb eines angemessenen Zeitraums entwickelt werden.
  • Niedrig: Die Entscheidungsträger müssen abwägen, ob sie das Risiko akzeptieren oder eine Maßnahme erarbeiten wollen.

Wenn eine Kontrolle zur Minderung eines Risikos in Betracht gezogen wird, sollten folgende Punkte berücksichtigt werden:

  • Unternehmenseigene Richtlinien
  • Kosten-Nutzen-Analysen
  • Operative Auswirkungen
  • Durchsetzbarkeit
  • Geltende Vorschriften
  • Die gesamte Wirksamkeit der empfohlenen Kontrollen
  • Sicherheit und Zuverlässigkeit der Kontrolle

Schritt 9: Ergebnisse dokumentieren

Der letzte Schritt eines IT Risk Assessments besteht darin, eine angemessene Dokumentation zu entwickeln, die dem Management hilft, geeignete Entscheidungen über Budget, Policies, Verfahren und Ähnliches zu treffen. Für jede Bedrohung sollte der Bericht die entsprechenden Schwachstellen, die gefährdeten Vermögenswerte, die Auswirkungen auf die IT-Infrastruktur, die Wahrscheinlichkeit eines Eintritts des Ereignisses und die empfohlenen Kontrollen beschreiben.

Der Bericht hilft dabei, wichtige Sicherheitsmaßnahmen zu identifizieren, mit denen sich mehrere Risiken gleichzeitig reduzieren lassen. So kann beispielsweise sichergestellt werden, dass regelmäßig Backups erstellt und an einem getrennten Ort aufbewahrt werden, um das Risiko einer versehentlichen Löschung von Dateien und auch das Risiko im Fall einer Überschwemmung zu verringern. Jeder dieser Schritte sollte mit den damit verbundenen Kosten in Beziehung gesetzt werden und einen echten Nutzen zur Reduzierung der Risiken beitragen. Es sollte daran gedacht werden, sich auf die geschäftlichen Gründe für jede Implementierung der Verbesserungen zu konzentrieren.

Während des vorgestellten Prozesses erhalten Unternehmen eine bessere Vorstellung davon, wie die Institution sowie seine Infrastruktur aufgebaut ist und wie sie noch besser funktionieren können. Anschließend kann eine Policy für das IT Risk Assessment erstellt werden, die definiert, was das Unternehmen regelmäßig (meist jährlich) tun muss, wie ein Risiko angegangen und reduziert werden soll (z. B. durch eine minimale Risikoschwelle, die akzeptabel ist) und wie das Unternehmen nachfolgende IT Risk Assessments für die Komponenten seiner IT-Infrastruktur und andere Vermögenswerte durchführen soll.

Jedes Unternehmen sollte daran denken, dass die Risikobewertung in der IT-Sicherheit und die Prozesse des Unternehmens für das Risikomanagement das Herzstück der Cybersicherheit bilden, wie auch Ryan Brooks im Netwrix-Blog schreibt. Dies sind die Prozesse, aus denen sich die Regeln und Richtlinien des gesamten IT-Sicherheitsmanagements ableiten und die Antworten darauf geben, welche Bedrohungen und Schwachstellen einem Unternehmen finanziellen Schaden zufügen können und wie sie gemildert werden sollten.

Über den Autor: Jürgen Venhorst ist Country Manager DACH bei Netwrix.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45998051 / Risk Management)