Über unsMediaKontaktImpressum
Viktor Rechel 10. August 2021

Cybersicherheit: Wo anfangen und wo aufhören?

Nach aktuellen Studien führen "Cyberangriffe" zu immer größeren Schäden, mittlerweile auch im Bereich der kleinen und mittleren Unternehmen (KMU). Hierdurch rückt das Thema der Cybersicherheit – als logisches Gegenstück zu Cyberangriffen – immer mehr ins Rampenlicht. Nachfolgend soll eine kurze, aber verständliche und nachvollziehbare Einführung in den Themenbereich der "Cybersicherheit" vorgestellt werden. Hierbei wird vor allem dargestellt, welche "low hanging fruits" Unternehmen als Erstes angehen sollten und warum.

Eine weitere Definition der Cybersicherheit

Cybersicherheit kann durchaus als Hypethema bezeichnet werden. Themen, die früher mit IT-Sicherheit, Datensicherheit oder Informationssicherheit in Verbindung gebracht wurden, werden nun alle in den "Topf" Cybersicherheit geworfen. Hierbei ist zumeist nicht klar definiert, was die jeweilige Organisation genau unter Cybersicherheit versteht. Kaspersky sieht die Cybersicherheit gleichbedeutend mit der IT-Sicherheit [1], das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die Cybersicherheit als Erweiterung für Informationssicherheit [2] und der Duden beschreibt die Cybersicherheit schlichtweg als den Schutz vor Cyberangriffen [3]. Doch wie lässt sich die Cybersicherheit besser definieren?

Grundsätzlich müssen für die Definition der Cybersicherheit noch einige "Cyber-Begriffe" jongliert werden. So bildet die Cybersicherheit, wie erwähnt, das Gegenstück zu Cyberangriffen, gegen die man sich schützen möchte. Cyberangriffe werden hierbei aus dem Cyberraum – im Neudeutschen auch Cyberspace – ausgeführt. Doch wofür das ganze Cyber-Wirrwarr? Den Kern des Ganzen bildet der Cyberraum. Der Cyberraum gilt gemeinhin als Verbindung verschiedener IT-Systeme bzw. als globale Kommunikations-Infrastruktur (kurz: "das Internet") [4;5]. Wer sich also mit Cybersicherheit und damit dem Schutz vor Cyberangriffen beschäftigen will, muss seine Netzwerke und sich selbst gegen Gefährdungen und Angreifer aus "dem Internet" absichern.

Mögliche Einstiegspunkte in die Cybersicherheit

Um den Einstieg in diesen notwendigen Schutz – und damit in den Themenbereich der Cybersicherheit – zu erleichtern, werden im Folgenden praxisrelevante, gängige und notwendige Sicherheitsmaßnahmen aufgegriffen. Die Maßnahmen orientieren sich zum einen an dem Anforderungskatalog aus dem Prüfverfahren des Cyber-Sicherheits-Checks der ISACA [6], zum anderen aus der Projekterfahrung des Autors als Berater und Auditor für Informationssicherheit.

Überblick über die Systemlandschaft erlangen

Um passende, ausreichende, aber dennoch effiziente Maßnahmen finden und umsetzen zu können, muss erst einmal die vorliegende Systemlandschaft bekannt sein. Auch wenn diese Anforderung relativ banal erscheinen mag, so haben viele Unternehmen das Problem, nicht zu wissen, welche Systeme und Anwendungen sie überhaupt betreiben und verwenden. Ohne dieses Wissen können die Systeme und Anwendungen natürlich auch nicht geschützt werden.

So sollte sich ein Unternehmen zu allererst einen Überblick über die eigene Systemlandschaft verschaffen. Im besten Fall wird hierbei eine Art von Assetmanagement aufgebaut, welches die Systemlandschaft nachvollziehbar dokumentiert. Eine solche Analyse muss nicht zwingend toolgestützt ablaufen, dies kann unter Umständen aber Aufwand reduzieren – zum Beispiel bei der Dokumentation aktuell eingesetzter Software inkl. Versionsnummern. Allerdings muss auch beachtet werden, dass die Einführung eines Tools immer zuerst einen gewissen Aufwand erzeugt. Die Effizienz und Effektivität folgen durch den laufenden Betrieb.

Netzwerkbereiche auftrennen

Nachdem der Überblick geschaffen wurde, kommt der erste Schritt der eigentlichen Absicherung: Das Netzwerkmanagement. Grundsätzlich sollte eine Netztrennung umgesetzt werden. So sollten extern erreichbare Systeme, wie beispielsweise Webserver, E-Mail-Server oder ähnliches, nach Möglichkeit in eine demilitarisierte Zone (DMZ) integriert werden. Als DMZ gilt hierbei ein Netzabschnitt, welcher durch Firewalls und deren Regelwerke restriktiv eingeschränkt ist und von dem aus keine direkten Zugriffe auf andere interne Systeme möglich sind.

Neben der Abgrenzung der extern erreichbaren Systeme, welche das Risiko von erfolgreichen Angriffen bereits – je nach Umsetzung – deutlich einschränken kann, sollten auch die internen Systeme aufgeteilt werden. So kann beispielsweise eine Trennung zwischen Clients, Servern, Multifunktionsgeräten und den VoIP-Systemen immer umgesetzt werden. Damit eine effektive Abgrenzung vorliegt, sollte keine reine netzwerktechnische Trennung mit Subnetzen oder VLANs zwischen denen voll geroutet wird genutzt werden. Um als faktische Trennung zu gelten, müssen Firewalls mit entsprechenden Regelwerken zwischen den Netzwerksegmenten aufgebaut werden.

Sichere Kommunikationskanäle einsetzen

Ist eine Netzwerktrennung umgesetzt, so kann das Thema der sicheren Kommunikationskanäle angegangen werden. Werden unsichere bzw. unverschlüsselte Kanäle genutzt, könnte ein Angreifer Daten auslesen und Informationen gewinnen. Dies bedarf allerdings einiger Voraussetzungen, wie beispielsweise eines sogenannten Man-in-the-Middle-Szenarios, ist aber in der Praxis dennoch nicht unmöglich.

Um diesem Restrisiko zu begegnen, sollten Daten nach Möglichkeit immer nur über verschlüsselte Kanäle mit TLS-Verschlüsselung, z. B. HTTPS oder SFTP, transportiert werden. Auch Authentifizierungen sollten – gerade im Hinblick auf die Übertragung der Benutzerdaten – nur verschlüsselt und gesichert umgesetzt werden. Sollten externe Verbindungen aus dem Homeoffice – gerade in Coronazeiten üblich – möglich sein, so sollte dies nur über einen definierten und entsprechend gesicherten VPN-Zugang erlaubt sein. Generell gilt bei externen Zugängen, dass ein zweiter Faktor die Sicherheit deutlich erhöht.

Geordnetes und zuverlässiges Patchmanagement umsetzen

Aus dem Überblick der eingesetzten Systeme und Anwendungen ergeben sich nicht nur Möglichkeiten für die Sicherung der Netzwerke. Selbstverständlich sollten hierbei auch die Systeme und Anwendungen selbst geschützt werden. Dies beginnt meist beim grundlegendsten Problem – dem fehlenden Patchmanagement.

Jegliche Komponenten – unabhängig ob Hardware oder Software – sollte zumindest im Hinblick auf die Sicherheit aktuell gehalten werden. Werden Komponenten mit bekannten Schwachstellen eingesetzt, so könnten diese einem Angreifer als mögliches Einfallstor dienen. Um dies zu verhindern, sollten verschiedene Bezugsquellen für Sicherheitsmeldungen bezogen werden und die Komponenten – vor allem bei Sicherheitsmeldungen – aktualisiert werden. Patchzyklen, die länger als einen Monat andauern, sollten im Hinblick auf Schwachstellenbehebungen nicht hinnehmbar sein. Häufig ist der Zeitraum auch deutlich kürzer. Da auch immer wieder kritische Schwachstellen entdeckt werden, ist ein Prozess für Patches außerhalb regulärer Zyklen Pflicht.

Systeme härten

Neben der Aktualität von Hard- und Software sollten auch grundlegende Maßnahmen für die Systemhärtung umgesetzt werden. So sollte auf allen Systemen auch immer nur die Software vorhanden sein, welche tatsächlich benötigt wird. Nicht verwendete Anwendungen und Systemfunktionalitäten sollten deaktiviert und nach Möglichkeit deinstalliert werden. Ebenso sollten mögliche Standard-Accounts immer geändert oder gar deaktiviert werden.

Offlinebackups sind zwar aufwändig, für kritische Unternehmensdaten jedoch Gold wert.

Hilfestellungen, welche Maßnahmen noch bei der Systemhärtung angegangen werden können, finden sich beispielsweise in den jeweiligen Grundschutz-Bausteinen (z. B. SYS.1.3 Server unter Linux und Unix) oder auch in den CIS Benchmarks [7].

Datensicherungen durchführen

Sollte ein Angreifer Zugriff auf die Systeme des Unternehmens erhalten, sollten die Daten als kompromittiert und damit nutzlos angesehen werden. Damit sind sie genauso verwendbar wie Daten die beispielsweise über Ransomware verschlüsselt werden. In beiden Fällen ist es wichtig, Daten aus einer Datensicherung wieder einspielen zu können. Auch wenn Dateien aus Versehen verändert oder gelöscht wurden, ist die Möglichkeit der Wiederherstellung unabdingbar.

Hierfür sollten entsprechende Datensicherungen durchgeführt werden. Welche Technologien und Verfahren hierfür genutzt werden, hängt von dem jeweiligen Unternehmen und dessen Gegebenheiten ab. Grundsätzlich gilt aber, dass die Sicherungen auf einem zusätzlichen System ausgelagert werden sollen, sodass es im Fall einer notwendigen Wiederherstellung nicht selbst betroffen ist. Offlinebackups sind zwar organisatorisch aufwändig, für kritische Unternehmensdaten jedoch Gold wert.

Nachvollziehbare Rechteverwaltung definieren

Hat ein Angreifer beispielsweise Zugriff auf den Client eines Benutzers erlangt, kann er Aktionen im Namen des Benutzers ausführen. Dessen Benutzerrechte und damit dessen Rechtekontext beeinflussen, wie viel Bewegungsspielraum dem Angreifer ermöglicht wird. Somit sollten die Rechte der Benutzer (und auch Administratoren) soweit begrenzt werden, wie möglich. Als Stichworte gelten hierbei das Need-to-Know- und das Least-Priviledge-Prinzip.

Das Need-to-Know-Prinzip beschreibt, dass jeder nur Zugriff auf die notwendigen Daten haben sollte. Eine Buchhaltung braucht also z. B. nicht zwingend Zugriff auf Projekt- oder Kundendaten. Das Least-Priviledge-Prinzip beschreibt, dass wenn Zugriffe erlaubt sind, diese nur im minimalen Rahmen erlaubt sein sollen. So brauchen zum Beispiel nicht alle Kollegen immer Schreibzugriff, sondern nur lesenden Zugriff.

Ein einfacher aber effizienter Schutz vor einer Vielzahl an Bedrohungen, die im Kontext des Nutzers gestartet werden, ist das technisch umgesetzte Verbot von nicht freigegebener Software. In einem Active-Directory-Umfeld ist dies mit wenig Aufwand umsetzbar.

Neben der Einschränkung der Rechte sollte auch darauf geachtet werden, dass nicht (mehr) benötigte Accounts auch deaktiviert werden. Grundsätzlich sollte bei Administratoren auch eine Trennung zwischen Benutzer- und Administrator-Account umgesetzt werden, sodass diese nicht durchgehend mit Administratorrechten arbeiten. Ansonsten hätte ein möglicher Angreifer entsprechend auch die Rechte.

Schutz vor Schadsoftware nutzen

Einer der häufigsten Fälle, wie Angreifer Unternehmen attackieren, ist auf Schadsoftware (bzw. Malware) zurückzuführen. Hierbei werden verschiedenste Arten eingesetzt und teilweise kombiniert, um ein gewisses Ziel zu erreichen. Für ein Unternehmen gilt es hierbei, möglichst alle Arten abwehren zu können. Für einen solchen Zweck wird zumeist ein Schutz vor Schadsoftware (oder auch Anti-Virus-Schutz oder Malware-Schutz) eingesetzt. Hierbei gilt grundsätzlich, dass – egal was die Hersteller versprechen – niemals ein hundertprozentiger Schutz gewährleistet werden kann. Da die Systeme zumeist nur auf bekannte Signaturen oder Verhaltensmuster prüfen, kann es unbekannter Schadsoftware zunächst möglich sein, unentdeckt zu bleiben. Die Software zum Schutz vor Schadsoftware wird tief ins Betriebssystem des Clients oder Servers eingebunden und hat dementsprechend Rechte. Da auch solche Softwarelösungen oftmals Schwachstellen aufweisen, sollte hier dringend auf Aktualität und bekannte Schwachstellen geprüft werden.

Sichere Wahl von Passwörter vorschreiben

Unsichere Passwörter stellen ein häufiges und leider oft auch ein sehr einfaches Einfallstor für Angreifer dar. Dieser Gefahr kann durch entsprechende Vorgaben zu sicheren Passwörtern deutlich vorgebeugt werden. Es sollten organisatorische Vorgaben zur sicheren Gestaltung von Passwörtern festgelegt werden, welche im besten Fall auch technisch in den Systemen restriktiv umgesetzt werden können.

Der Grundsatz "Länge schlägt Komplexität" sollte dabei immer berücksichtigt werden. Komplexere Passwörter sind schwer zu merken und werden daher häufig im Klartext gespeichert, um darauf zurückgreifen zu können. Längere Passwörter können dagegen leicht durch zufällige Wort- und Satzbildungen erstellt werden und somit besser im Gedächtnis behalten werden. Von zu kurzen regelmäßigen Änderungszyklen sollte ebenfalls abgesehen werden, da hierbei häufig nur eine minimale Abänderung anstelle eines neuen Passworts vorgenommen wird. Studien beweisen diese Verschlechterung der Passwortqualität bei häufigem Wechseln.

Regelmäßig Mitarbeitende sensibilisieren

Technische Maßnahmen können zwar einer Vielzahl von Vorfällen entgegenwirken, jedoch stellt der Faktor Mensch auch im Cyberbereich einen wesentlichen Sicherheitsaspekt dar. Technische Komponenten allein nützen also wenig, wenn keine Maßnahmen zur Vorbeugung von menschlichem Fehlverhalten angestrebt werden. Demnach sollten regelmäßige, zielgerichtete Sensibilisierungen aller Mitarbeitenden durchgeführt werden. Dabei sollten Dauerbrenner-Themen (wie z. B. "Umgang mit verdächtigen Mails") grundlegend angebracht werden und diese durch spezifische Themenerweiterungen ergänzt werden, um so im Verlauf ein breites Gefahrenspektrum abdecken zu können. Die Relevanz der Sicherheitsthematik sollte dabei unbedingt auch von der obersten Führungsebene kommuniziert und verdeutlicht werden. So kann der Einstellung des hinderlichen Ärgernisses in Bezug auf die Sicherheitsmaßnahmen entgegengewirkt werden. Nur wenn jeder seinen Beitrag leistet, kann eine umfassende Sicherheit entstehen.

Einsatz von Cloud-Anwendungen sicher gestalten

Bei vielen Unternehmen gilt – gerade in Zeiten der Digitalisierung – das Cloud-Umfeld als Allheilmittel für verschiedenste Probleme des IT-Betriebs. So können einzelne Anwendungen, ganze Systeme oder gar das vollständige Rechenzentrum auf einen oder mehrere Cloud-Dienstleister ausgelagert werden. Als Vorteile gelten hierbei zumeist die – teils vermeintlich – höheren Verfügbarkeiten, nicht zu leistende Betriebsaufwände und einfache Administration. Nachteile, wie Abhängigkeiten, grundsätzliche Gefährdung der Vertraulichkeit, die fehlende direkte Einflussnahme oder auch die Abhängigkeit vom allgemeinen Internetzugang, werden oftmals außer Acht gelassen.

Sollte – unabhängig von Vor- und Nachteilen – eine Cloud-Strategie, wenn auch nur für einzelne Anwendungen, genutzt werden, muss diese sicher gestaltet werden. Hierbei sollte man sich die Risiken bewusst machen und entsprechende Gegenmaßnahmen treffen. Auch sollte die möglicherweise fehlende Verfügbarkeit oder Erreichbarkeit betrachtet und ein Umgang damit festgelegt werden.

Einstieg geschafft – und nun?

Nachdem grundlegenden Maßnahmen zur Absicherung der IT-Systeme und der Cybersicherheit umgesetzt wurden, sollte perspektivisch der nachhaltige Weg gewählt werden – es sollte ein Prozess zum Sicherheitsmanagement etabliert werden. Bei dem Begriff des Sicherheitsmanagement kommen sehr schnell Standards wie der IT-Grundschutz des BSI oder die ISO 27001 auf, welche gerade auf kleinere Unternehmen abschreckend wirken könnte. Allerdings muss ein Sicherheitsmanagement nicht zwangsläufig viel Aufwand erzeugen. Mit dem entsprechenden Vorgehen kann ein Sicherheitsmanagement auch für KMU praktikabel und zielführend sein.

Im Folgenden werden drei zentrale Punkte vorgestellt, welche sowohl zentrale Bestandteile der Normen und Standards sind, aber auch losgelöst von jenen in jedem Unternehmen Anwendung und Umsetzung finden können. So können diese Aspekte als vereinfachter Einstieg in die Thematik und zur perspektivischen Ausrichtung zu Standards und Normen unterstützen.

Sicherheitsprozess definieren

Als erster Schritt zur nachhaltigen Behandlung der Cybersicherheit sollte ein Sicherheitsprozess definiert und etabliert werden. So nichtssagend diese Aussage klingt, so viel bringt alleine schon das "Miteinander reden". In einem solchen Sicherheitsprozess sollte nämlich definiert werden, wer für die Cyber- oder auch Informationssicherheit im Unternehmen zuständig ist und ob es regelmäßige Abstimmungen geben soll. Hierbei sollten gerade aktuelle IT- & und Sicherheitsthemen, notwendige Änderungen und umzusetzende Maßnahmen besprochen werden. Im besten Fall werden im Rahmen eines Sicherheitsprozesses auch die bestehenden Prozesse geprüft und gegebenenfalls optimiert. Werden Themen angegangen, sollte darauf geachtet werden, dass eine entsprechende Dokumentation (bspw. von einem Prozess) erstellt wird.

Risikoanalyse durchführen

Die vorab benannten Themen sind allgemeingültig und sollten bei jedem Unternehmen anwendbar sein. Da aber gerade in der Tiefe und in der Umsetzung schnell hohe Aufwände und Kosten auftreten können, muss immer auch eine Kosten-Nutzen-Analyse vorliegen. Um vorab schon bestimmen zu können, ob bestimmte Maßnahmen notwendig sind, sollte eine Risikoanalyse durchgeführt werden.

Mit Hilfe einer Risikoanalyse können im Unternehmen gezielt Risiken identifiziert und entlang der Ergebnisse zielgerichtet Schutzmaßnahmen ergriffen werden. Hierbei sollte beachtet werden, dass gerade in der Einstiegsphase kein komplexes Risikomanagement notwendig ist. Es müssen relevante Schadenskategorien und -szenarien definiert werden. Diese müssen aber gerade zu Beginn nicht übermäßig ausführlich sein. So können diese auch rein qualitativ in Form wörtlicher Beschreibungen sein.  In Verbindung mit zu definierenden Häufigkeitswerten ergeben sich für die einzelnen Risiken damit Risikostufen, welche als Unterstützung oder Ersatz für die Kosten-Nutzen-Analyse genutzt werden können.

Managementsystem aufbauen

Ein Managementsystem bietet eine umfassende und zielgerichtete Methodik, um die Themen der Cybersicherheit übergreifend zu verfolgen. Da die Cybersicherheit an sich nur ein Teilgebiet der Informationssicherheit darstellt, sollte für die Cybersicherheit kein dediziertes Managementsystem aufgebaut werden. Stattdessen eignet sich ein Informationssicherheitsmanagementsystem (ISMS) sehr gut, um die Themen der Cybersicherheit aufzugreifen aber auch "das große Ganze" der Informationssicherheit im Blick zu behalten. Hierbei lässt sich dieses meist gut an verschiedenen Standards ausrichten. Relevante Beispiele aus der Praxis wären hierbei die ISO 27001, der IT-Grundschutz bzw. die BSI-Standards oder ISIS 12. Alle Standards haben verschiedene Vor- und Nachteile, aber immer einen gewissen Overhead, welcher geleistet werden muss. Daher sollte ein Managementsystem in einem geordneten und geplanten Projekt etabliert werden.

Fazit

Cybersicherheit ist nicht einheitlich definiert und der Begriff nicht immer gern gesehen. Durch eine kurze Einführung und Definition konnte im Rahmen des Artikels hoffentlich etwas Licht ins Dunkel gebracht werden. Da viele KMU vor dem Problem stehen, den richtigen Einstieg in die Cybersicherheit zu finden, wurden elf Maßnahmen aufgeführt, die jedes Unternehmen umsetzen kann, sollte und eigentlich auch muss. Diese Schritte stellen allerdings keine vollständige Absicherung dar, sind aber in der Praxis die häufigsten und kritischsten Problemstellen. Zum Abschluss wurden drei Schritte dargestellt, welche zur nachhaltigen Begegnung mit der Cybersicherheit umgesetzt werden können. Hierbei bildet ein Managementsystem zwar in der Auflistung den Höhepunkt, sollte aber im jeweiligen Unternehmen nur die Basis und die Möglichkeit für neue Maßnahmen bilden. Hierüber wäre ein sehr nachhaltiger Ansatz gewährleistet. Wer den Zustand seiner Cyber-Sicherheit – gerade in Bezug auf die genannten Maßnahmen – prüfen möchte, kann auf die Methodik des Cyber-Sicherheits-Checks zurückgreifen.

Autor

Viktor Rechel

Viktor Rechel ist IT-Sicherheitsberater bei der secuvera GmbH und in den Bereichen Penetrationstest und Sicherheitsberatung tägig.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben