Autor: Michael Kleist*
Viele Unternehmen halten ihre Daten in Silos, und genauso fragmentiert betreiben sie auch ihre IT-Sicherheit: räumlich oder nach Applikationen getrennt. Vor allem die IT-Sicherheit braucht aber ein integriertes Konzept, das Technologien, Prozesse, Mitarbeiter und sogar die Schatten-IT berücksichtigt. signing out team. dont stay on too late chr
Zuverlässige IT-Sicherheit beginnt bei der Architektur. Erste Sicherheitsmaßnahmen umfassen etwa den Perimeter-Schutz mit Antiviren-Lösungen und Firewalls, aber auch Privileged Access Management sollte State-of-the-Art sein, um Angriffsvektoren abzuwehren. Entscheidend ist, dass solche Lösungen nicht isoliert betrieben, sondern miteinander verzahnt werden: Beim Privileged Access Management etwa sollte auch eine Integration mit SIEM (Security Information and Event Management)-Systemen und SOC (Security Operations Center)-Services vorhanden sein.
Diese Integration ist wichtig, denn eine einzelne, als Silo implementierte Lösung kann durchaus zusätzliche Sicherheitsgefahren mit sich bringen, wie das Schwachstellen-Scanning zeigt, das unter anderem auch Marktforscher Gartner empfiehlt. Das Problem dabei ist, dass Cyberkriminelle auf Systeme mit hochprivilegierten Accounts zugreifen, um etwa den aktuellen Patch-Stand oder die Konfiguration zu überprüfen. Eliminiert werden kann ein solches Risiko nur mit einer ergänzenden Lösung, die ein Passwort für den Schwachstellen-Scanner nur für kurze Zeit bereitstellt – mit einer anschließenden Passwort-Rotation; damit wird ein Angriffsvektor geschlossen.
Ein weiteres Risiko, das in Unternehmen lauert, ist die Schatten-IT. Will ein Unternehmen bei der Sicherheit integriert vorgehen, ist es wichtig, alle Aspekte, Applikationen und Systeme der Schatten-IT zu ermitteln, schließlich gilt: Was ich nicht kenne, kann ich auch nicht sichern. Dabei müssen sowohl vergessene Systeme als auch Anwendungen, die bewusst unter dem Radar der IT betrieben werden, Berücksichtigung finden.
Gleiches gilt für die OT (Operational Technology)-Sicherheit. Oft behaupten Unternehmen, eine strikte Trennung zwischen IT und OT sei vorhanden, in etlichen Projekten hat sich aber gezeigt: Es gibt oft Schnittstellen und Hintertürchen, die keiner kennt. Eine hohe OT-Sicherheit kann aber nur gewährleistet werden, wenn solche Nahtstellen ermittelt und für alle relevanten Geräte, Ports oder Verbindungen adäquate Sicherheitsmaßnahmen ergriffen werden – etwa mit der Überwachung vor allem privilegierter Zugriffe von IT-Clients auf kritische OT-Ressourcen und einer Unterbindung des Zugangs bei verdächtigen Aktivitäten.
Technologie ist aber nur ein Aspekt der IT-Sicherheit: sie umfasst auch organisatorischer Belange, also unternehmerische Prozesse, die ebenfalls geschützt werden müssen – selbstredend. Und in diesem Fall gilt ebenso die Maßgabe für Unternehmen, einen integrierten Ansatz zu wählen. Wiederum bezogen auf das Privileged Access Management sollte auch eine Vernetzung mit Lösungen von Identity-Management-Anbietern gegeben sein. Für Unternehmen ergeben sich dadurch mehrere Vorteile: von einer harmonisierten Definition von Workflows oder Prozesslogiken, etwa für Rollenfreigaben, bis hin zur optimierten Umsetzung von Governance- und Compliance-Vorgaben in Prozessen. Außerdem ist die Integration aus zwei weiteren Aspekten von Nutzen: Die Eliminierung von Doppeltätigkeiten reduziert sowohl Fehleranfälligkeit als auch Betriebskosten.
Gefördert wird das Silodenken in der IT-Sicherheit oft durch Compliance-Themen: Das ist aber nicht der richtige Weg. Eine Compliance-Vorgabe kann etwa lauten, dass PCs mit Antiviren-Software ausgestattet sind. Ebenso wichtige Maßnahmen wie die Auswertung der Daten oder ihre Weiterleitung an ein SOC sind aber in den seltensten Fällen Anforderungsbestandteile. Man könnte sagen: Gute Compliance führt nicht zwingend zu mehr Sicherheit, gute Sicherheit hingegen führt zwangsläufig zur Compliance.
Nicht zuletzt muss auch der Faktor Mensch ins Kalkül gezogen werden. Regelmäßige Sicherheitsschulungen sind Pflicht: Es muss deutlich gemacht, dass Sicherheitsmaßnahmen keine Gängelung darstellen, sondern der Risikominimierung dienen, auch wenn sie vereinzelt den Benutzerkomfort einschränken mögen. Voraussetzung für eine breite Akzeptanz ist, dass klar gemacht wird, warum welche Maßnahmen konkret ergriffen werden.
Insgesamt kann eine hohe Sicherheit nur durch einen ganzheitlichen, durchgängigen Security-Ansatz erreicht werden. Das heißt, ein Unternehmen muss unter Nutzung verschiedenster Technologien eine sicherheitstechnische und organisatorisch-prozessuale Integration vornehmen – und darf dabei den Faktor Mensch nicht vergessen.
* Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf