Wie kann sich ein Unternehmen gegen Cyberattacken wehren?

Sicherheitslücken, die Angriffspunkte, identifizieren und patchen - insbesondere die bisher nicht erkannten Zero-Day-Vulnerabilities (ZDV) in Eigen-Produkten.

ZDV lasen sich mit einem 5-stufigen Security Testing Process nach ISO 27034 identifizieren.

Diese Frage ist leider nicht so einfach zu beantworten!

Leider gibt es keine 100%tige Sicherheit, aber die meisten Unternehmen sind zurzeit nicht angemessen gesichert, wie wir jeden Tag den Medien entnehmen können.

Daher sollten die Unternehmen sich als ersten darüber bewusst werden, welche Werte sie als Bit und Bytes haben und auf welchen IT-Geräten diese angemessen geschützt werden können.

Im Bereich der Personen-orientierten-Daten muss der Datenschutz berücksichtigt werden. Weitere gesetzliche Rahmenbedingungen müssen berücksichtigt werden.

Auf jeden Fall sollten alle IT-Geräte im Unternehmen mit der Basis-Sicherheit ausgestattet sein.

Die Angriffsvektoren sind vielfältig, die Risiken sind sehr groß, die möglichen Schadenkategorien sehr unterschiedlichen, es gibt verschiedene IT-Sicherheitsstrategien und IT-Sicherheitsmechanismen stehen zur Verfügung, müssen nur gekauft und richtig eingesetzt werden. Uns so weiter ...

Viel Erfog ...

Norbert Pohlmann

Jedes Unternehmen kann sich Heute gegen Cyberangriffe wehren, jeweils auf Unterschiedlichen Niveau.
Wichtig ist zuerst die Gefahren zu erkennen, die IT und Sicherheit Transparent darzustellen.
Deshalb rate ich immer zur Dokumentation und Erfassung der Risiken.
Erfasste Risiken werden bewertet und Maßnahmen entwickelt um sich zu verteidigen.
Dieses ist ein stetiger Prozess, welcher Leben muss. Wer meint mit der Einführung eines Produktes 100 % Sicherheit zu haben, der ist hier falsch beraten worden.

Die Mitarbeiter stellen ein nicht zu unterschätzendes Risiko dar, es ist extrem wichtig die Damen und Herren "einzufangen" und mit auf die IT Sicherheitsreise mitzunehmen.
Bildung in IT und Mitarbeiter schütz meist effektiver als so manche AV Software.

Penetrationtest, Dokumentation, Backup und Recovery-Konzepte gehören ebenfalls zum Sicherheitskonzept.

Einen 100%igen Schutz gibt es nicht, aber man kann den Angreifern das Leben erheblich erschweren. Das Restrisiko würde ich heute immer mit einer Cyberversicherung abdecken.

Das ist wirklich eine Frage des Budgets. Jede Vernetzung birgt Risiken von außen und eine Gefahr eines erleichterten Know-how-Abflusses insbesondere auch von innen!

Gängige Vorgehensweise ist das Zwiebelschalen-Prinzip:
Schutzmaßnahmen am Perimeter (also an der Grenze nach außen) sind unabdingbar. Z.B. dort eine Next Generation Firewall einsetzen. Sie bietet eine Analysemöglichkeit des Datenstromes auf höherem Niveau (Anwendungsprotokoll-Ebene) inklusive der Möglichkeit einer automatisierten Detektion von Eindringversuchen bis hin zur automatisierten Abwehr der Attacke (IDS/ IPS).

Dahinter sollte eine spezielle Schutzzone (demilitarisierte Zone/ DMZ) eingerichtet sein, in der sich alle IT-Systeme (gehärtet und nur auf die notwendigsten Dienste und Konten beschränkt!) mit ihren Anwendungen (auf das Essentielle beschränkt!) befinden, die einen "direkten Draht" nach außen übers Internet bereitstellen müssen (z.B. Web-Server, Internet-Dienste-Server).

Diese Zone wird über eine weitere Firewall wiederum kontrolliert abgeschottet gegen die IT-Innereien Ihres Unternehmens (z.B. Ihre Datenbanken oder sensitiven Datenhaltungsserver Ihres Unternehmens). Sie können sich auch je nach Frage des Budgets noch weitere gestaffelte Zwiebelschalen inklusive Netzsegmentierungen leisten. Denken Sie daran, je mehr Staffelung Ihre Verteidigungsmaßnahmen in der Tiefe aufweisen umso schwerer hat es ein Eindringling (Attacker/ Penetrator) bis zu Ihrem heiligstem Inneren ("Ihre Kronjuwelen" / Critical Assets) vorzudringen und/ oder einen Abfluss von Informationen aus dem Inneren heraus unentdeckt werden zu lassen. Haben Sie dann Ihre Kronjuwelen auch noch verschlüsselt gehalten, haben Sie wieder eine weitere Schicht, die Zugriffe kontrollierbarer macht und damit noch besser schützt!

Aber, wie gesagt, das ist alles eine Frage des Budgets und vor allem einer vorgeschalteten sorgfältigen Risikoanalyse mit Identifikation und Einschätzung vorhandener Risiken und Ableitung adäquater Schutzmaßnahmen. Denn Informationen, die z.B. im Internet stehen, brauchen nun mal nicht mit dem Schutzbedarf abgesichert werden wie Ihre Kronjuwelen. Mit einer sauber  hergestellten Wertabstufung Ihrer Informationen  (Asset Classification) und darauf basierendem abgestimmtem Absicherungsaufwand können Sie richtig Geld sparen! 

Unerlässlich sind weiterhin regelmäßige Schulungen Ihrer Mitarbeiter, die über die Risiken aus dem Cyberraum aufklären insbesondere auch ereignisgesteuert bei aktuell auftretenden,  schwerwiegenden Bedrohungen (deshalb ist die Beobachtung der aktuellen Bedrohungslage von sehr entscheidender Bedeutung). Dadurch wird ein Risikobewusstsein aller Mitarbeiter herausgebildet und geschärft (sozusagen "die menschliche innere Firewall" Ihres Unternehmens!).

Weiterhin gilt es anhand von regelmäßigen Penetrationstests Ihre Absicherung auszutesten. Die dadurch ermittelten Sicherheitslücken bzw. Defizite gilt es sodann zu schließen und somit Ihr Abwehrvermögen gegenüber den jeweilig aktuellen Bedrohungen anzupassen und systemisch nach und nach zu steigern (Steigerung der Resilienz).    

Es gibt auch Perimeter-lose Sicherheitskonzepte, bei denen ein Innen und Außen keine Rolle mehr spielt. Hier kommen verstärkt kryptographische Verfahren bis hin zu einer ganzen kryptographischen Infrastruktur (PKI) zum Zuge. Dabei werden die Kommunikationsbeziehungen zwischen den Kommunikationspartnern genau je nach definierter Schutzbedürftigkeit angemessen absichert und die Verwahrung der Informationen in den End-Points wiederum je nach Schutzbedürftigkeit mehr oder weniger sicher ausgestaltet. Google hat so was schon durchdekliniert, schauen Sie mal unter dem Link: www.beyondcorp.com nach. Die zeigen, wie man sowas hinbekommt.

Wie gesagt alles eine Frage des Geldes und Ihrer Bereitschaft Risiken bei fehlenden Sicherheitsmaßnahmen zu übernehmen (Risikoappetit).