Zero Trust Infrastruktur aufbauen
Warum Cyber Security zur Chefsache werden muss
Infrastruktur und Maßnahmen für Cyber Security
Von Ben Kröger, Technische Leitung Cyber Security bei Axians IT Security
Das Thema Cyber Security ist ganz oben angekommen: Die Politik sorgt sich, dass Außenstehende durch Datenmanipulation in den Wahlkampf eingreifen könnten. Wie kürzlich publik wurde, waren deutsche Behörden bereits hundertfach Opfer von Ransomware-Angriffen. Und das gilt – mindestens im selben Maß – auch für heimische Unternehmen. Die Attacke auf den IT-Dienstleister Kaseya ist nur das jüngste Beispiel für zunehmende Cyberkriminalität.
Trotzdem gilt Cyber Security in vielen Unternehmen noch als etwas, um das man sich nebenbei kümmert – am besten so, dass es die geschäftlichen Abläufe nicht beeinträchtigt. Erst langsam dämmert auch Topmanager:innen, was ihre Cyber-Security-Verantwortlichen (Chief Security Officers) längst wissen: Ihr Geschäft ist gefährdet durch die Bedrohung der Cybersicherheit.
Fünf Cyber Security-Maßnahmen
Erfahrene CSOs betrachten die Cybersicherheit nicht als Zustand, sondern als Prozess. Am Anfang steht aber in jedem Fall eine Bestandsaufnahme: Welchen Reifegrad hat die Cyber Security des Unternehmens? Welche Instrumente für das Erkennen und Beheben von Schwachstellen sind dort im Einsatz? Woran hapert es? Existiert ein Notfallplan für den Fall des Falles? Und was ließe sich noch tun, um den Ernstfall zu verhindern? Wer sich ein Bild vom Stand der eigenen Cybersicherheit machen will, kann entweder gleich Fachleute zu Rate ziehen oder erst einmal einen kostenlosen Schnelltest absolvieren, wie ihn beispielsweise Axians anbietet. Innerhalb weniger Minuten erhält man dabei Anhaltspunkte, wo und wie der Betrieb besser gegen Cyberangriffe zu schützen wäre.
Penetration-Tests simulieren Hacker-Angriffe
Viele Unternehmen wiegen sich in trügerischer Sicherheit – nach dem Motto: Bisher ist ja nichts passiert. Dabei sind die Hacker vielleicht schon längst eingedrungen und haben eine Hintertür für Schadsoftware offengelassen. Krypto-Trojaner und andere Malware-Programme schlummern oft eine ganze Weile im System, bevor sie evident werden. Hätte das Unternehmen Vorkehrungen getroffen, beispielsweise ein Security Information and Event Management (SIEM) installiert, ließen sich diese Zeitbomben entschärfen, bevor sie hochgehen.
Sinnvoll sind regelmäßige Penetration-Tests, am effizientesten mit Hilfe einer automatisierten Pentest-Plattform. Sie deckt Sollbruchstellen auf, indem sie Hacker-Angriffe simuliert. Je häufiger solche Tests ablaufen, desto deutlicher treten die Security-Schwächen zutage – und desto gezielter kann das Unternehmen sie beseitigen.
Das SIEM als automatisches Frühwarnsystem
Oft sind die Cyberangriffe so subtil, dass das geschädigte Unternehmen sie zunächst gar nicht wahrnimmt. Ein SIEM dient als ein automatisiertes Frühwarnsystem, das Informationen aus der gesamten IT-Infrastruktur sammelt, analysiert und katalogisiert. Anomalien und Abweichungen werden erfasst und bewertet, sodass sich schließlich die sicherheitsrelevanten Vorfälle herausfiltern lassen. Zum Frühwarnsystem gehören auch Softwarewerkzeuge wie Network Detection and Response (NDR), Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR). Für den Umgang mit der Cyber Security haben sicherheitsbewusste Unternehmen ein Security Operations Center (SOC) etabliert, das sich aus Cyber-Security-Analysten, Penetration-Testern, digitalen Forensikern und Hacking-Experten zusammensetzt.
Kein Incident ohne geplante Response
Penetration-Tests und Frühwarnsystemen zum Trotz wird es immer wieder Angriffe geben. Dann kommt es vor allem auf eins an: Je schneller das Unternehmen reagiert, desto weniger gravierend sind die Folgen. Deshalb empfiehlt es sich, schon im Vorfeld technische und organisatorische Gegenmaßnahmen zu definieren. Ein „Incident-Response-Plan“ kann den Unterschied ausmachen zwischen einem unangenehmen Zwischenfall und einer Katastrophe.
Typischerweise durchläuft der Prozess zur Bekämpfung eines Cyber-Security-Vorfalls („Incident“) sechs Phasen:
- Vorbereitung,
- Erkennen des Vorfalls,
- Eindämmen,
- Vollständige Beseitigung,
- Wiederherstellen,
- Lernen aus den gewonnenen Erkenntnissen.
Es sind immer dieselben Phasen, aber das heißt nicht, dass sich alle Vorfälle und Systeme über einen Kamm scheren ließen. Vielmehr muss der Incident-Response-Plan sie jeweils individuell behandeln.
Zero Trust: Misstrauen als Grundeinstellung
Viele Unternehmen beschäftigen sich darüber hinaus mit „fortgeschrittenen“ Cyber-Security-Themen wie der „Zero-Trust-Architektur“ (ZTA). Eine ZTA bedeutet quasi einen Wechsel der Sichtweise. In etwa so: Gehen Sie davon aus, dass Ihre Systeme bereits kompromittiert wurden! Damit ist Ihr gesamtes Netzwerk nicht mehr vertrauenswürdig. Folglich muss die Kommunikation auf die jeweils sichererste Art und Weise beschränkt sein. Alle Verbindungen benötigen eine Authentifizierung, jeglicher Datenverkehr wird verschlüsselt.
Die Grundlagen des Zero-Trust-Ansatzes lassen sich in sechs Merksätzen zusammenfassen:
- Standort verdient keinen Vertrauensvorschuss; interne und externe Zugriffe müssen denselben Sicherheitsanforderungen genügen.
- Zugriffsberechtigungen gelten für genau eine Sitzung, und Privilegien werden nur gewährt, wenn eine bestimmte Aufgabe sie erfordert.
- Die Richtlinien für Zugriffe sind dynamisch und abhängig vom Standort des anfordernden Netzwerks, der Zeit, den Begleitumständen etc.
- Integrität und Sicherheitszustand aller Assets werden ständig überwacht.
- Authentifizierung und Autorisierung sind während des Zugriffs fortwährend neu zu bewerten und sofort zu entziehen, wenn es die Situation erfordert.
- Das Unternehmen muss so viele Informationen wie möglich über den Zustand von Assets, Netzinfrastruktur sowie Kommunikation sammeln und kontinuierlich in die Security-Bewertung einfließen lassen.
Eine ZTA ist nichts, was man eben mal so aufbaut. Zudem verlangt sie den Mitarbeiter:innen Einiges ab. Auch deshalb ist die Unterstützung durch das Topmanagement für eine Cyber-Security-Strategie heute unverzichtbar.
