Einer 2012 durchgeführten Umfrage unter 1.015 US-Kleinunternehmen zufolge haben nicht wenige von ihnen ein trügerisches Sicherheitsgefühl hinsichtlich ihrer IT-Infrastruktur. Mehr als drei Viertel (77 Prozent) glauben, dass ihr Unternehmen vor Cyber-Gefahren wie Hackern, Viren, Malware oder Sicherheitsverletzungen sicher ist. Das Problem dabei: 83 Prozent der Befragten verfügen über keine formale Sicherheitsstrategie. Diese Erkenntnisse stammen aus einer Umfrage, die 2012 von der nationalen Allianz für Cybersicherheit (NCSA) und Symantec veröffentlicht wurde. (Die gesamte Umfrage ist noch abrufbar unter: http://www.staysafeonline.org/stay-safe-online/resources/).

Auf der Grundlage weiterer Informationen, die 2015 von der Towergate-Versicherung gesammelt wurden (https://www.towergateinsurance.co.uk/liability-insurance/smes-and-cyber-attacks), lässt sich feststellen, dass 97 Prozent der kleinen und mittleren Unternehmen (KMU) nicht glauben, eine Verbesserung ihrer Online-Sicherheit sei für ihr zukünftiges Wachstum wichtig, 82 Prozent halten sich nicht für ein potenzielles Angriffsziel, 32 Prozent glauben, sie würden vermutlich keine Verluste erleiden, 31 Prozent haben keinen Plan wie auf Sicherheitsverletzungen zu reagieren ist, 24 Prozent glauben, dass Cybersicherheit zu teuer ist und 22 Prozent räumen immerhin ein, dass sie gar nicht wissen, wo sie anfangen sollen.

network security

In seinem jüngst gehaltenen Grundsatzreferat bei der Nolacon 2016 hat Dave Kennedy (Gründer von TrustedSec, LLC, Binary Defense, Mitautor von Metasploit und Entwickler des Social Engineering Toolkit) einige seiner Erfahrungen als Penetrationstester geschildert. Einer der wesentlichen Punkte seiner Rede stand im Gegensatz zu dem, was die meisten Leute über die Art denken, wie Hacker in Netzwerke eindringen und sie ausbeuten. Die meisten IT-Sicherheitsbeauftragten machen sich Gedanken darüber, Sicherheitskontrollen einzuführen, um die neuesten APTs (Advanced Persistent Threats), die aktuellste Malware und andere Exploits zu stoppen. In Wirklichkeit, so Kennedy, „sind die meisten Einbrüche geradezu simpler Natur … Sie hatten in den letzten zehn Jahren furchtbar schlechte Sicherheitspraktiken und wurden übertölpelt, weil Sie Adobe Reader seit ungefähr 10 Jahren nicht aktualisiert hatten! Weil Sie furchtbar schlechte Sicherheitspraktiken an den Tag gelegt haben, sind sie Ziel eines Angriffs geworden.“ (Dave Kennedys Rede zum Nachlesen: http://www.irongeek.com/i.php?page=videos/nolacon2016/105-keynote-david-kennedy).

Warum aber liegen die meisten Unternehmen derart daneben und setzen beim Thema IT-Sicherheit gerne mal auf das falsche Pferd?  Wie lässt sich das ändern? Was hat es mit der Diskrepanz zwischen den geäußerten Überzeugungen und der praktischen Umsetzung auf sich und warum spielt das eine Rolle?

Alles beginnt bei einer unternehmensweiten Sicherheitsstrategie. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen ist dasselbe, wie in anderen Unternehmensbereichen auf Richtlinien zu verzichten. Stellen Sie sich das Chaos vor, gäbe es keine Richtlinien, die Abläufe und Standards für Dienstleistungen, Produkte oder Marken festlegen. Jedes so agierende Unternehmen würde in kurzer Zeit scheitern. Ein Unternehmen ohne solide Sicherheitsstrategie zu führen ist nichts anderes. Ungeachtet aller Maßnahmen, die Sie hinsichtlich der IT-Sicherheit ergreifen, die Bemühungen werden nicht ausreichen und aller Wahrscheinlichkeit nach fehlschlagen.

Eine Sicherheitsstrategie ist laut (ISC)2 definiert als ein „strategisches Werkzeug zur Festlegung, wie sensible Informationen und Ressourcen zu managen und zu schützen sind“ (siehe den offiziellen Leitfaden von (ISC)2 für CISSP CBK – 4. Auflage, S. 1248). Eine Sicherheitsstrategie im weitesten Sinne beschreibt die gesamte Haltung einer Organisation in Sachen Sicherheit und schließt Richtlinien zu Personal-, Informations- und Technologie-Ressourcen ein. Alle Richtlinien drehen sich um die drei Grundkomponenten von Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit.

Nicht selten herrscht im IT-Bereich fälschlicherweise die Annahme vor, dass IT-Sicherheit von den übrigen Sicherheitspraktiken eines Unternehmens abtrennbar ist. IT-Sicherheit als separaten Prozess zu betrachten ist aber ganz im Gegenteil einer der Gründe für die von der NCSA-Umfrage festgestellte Diskrepanz.

blog stock image

Praktisch betrachtet ist eine Sicherheitsstrategie eine Sammlung von Management-Erwartungen, die festlegen, welche Ressourcen zu schützen sind und, allgemein, wie hoch die anzusetzende Sicherheitsstufe sein soll. Die praktische Umsetzung einer Sicherheitsstrategie erfolgt durch die Anwendung von Verfahren, Standards, Leitfäden und Grundsätzen. Diese Umsetzungsschritte werden typischerweise von der IT-Abteilung ausgeführt. Sobald diese Umsetzungsschritte abgeschlossen sind, sollte ein Auditing stattfinden, um sicherzustellen, dass die Ziele der Sicherheitsstrategie erreicht werden, und um Empfehlungen zu entwickeln, verbleibende Lücken zu schließen.

Sicherheitsstrategien dienen auch dazu, die Verpflichtung der Management-Teams zur Anwendung der „gebotenen Sorgfalt“ beim Schutz sensibler Ressourcen zu dokumentieren. Die Anwendung der Sicherheitsstrategie durch die Implementierung von Verfahren, Standards, Leitfäden und Grundsätzen dient als Grundlage für die „erforderliche Sorgfalt“, die in einer Organisation oft obligatorisch ist. Um eine fundierte Sicherheitsstrategie zu entwickeln, muss eine Organisation alle Ressourcen berücksichtigen, die abgesichert werden müssen. Erst auf dieser Basis kann man eine Risikoanalyse durchführen, um das Verlustpotenzial und die damit verbundenen Kosten zu bestimmen. Diese Daten werden dann verwendet, um die ImJiappr https://de.appriver.complementierung der richtigen, kosteneffizienten Kontrollen zu empfehlen, die notwendig sind um das Risikopotenzial auf ein akzeptables Niveau zu senken.

Wie viel Sicherheit ist genug Sicherheit? Einfach genug. Einen Königsweg der Netzwerksicherheit gibt es zwar nicht, aber eine solide Sicherheitsstrategie berücksichtigt alle vorhersehbaren Risiken. Durch die Implementierung einer Sicherheitsstrategie kann man darauf vertrauen, dass die Risiken auf ein Niveau reduziert werden, das für die Geschäftsführung akzeptabel ist.

Ohne Sicherheitsstrategie wird jeder Sicherheitsaspekt innerhalb einer Organisation suspekt. Die Mitarbeiter haben dann keine Grundlage um Entscheidungen in Sicherheitsfragen zu treffen, und es gibt keine Möglichkeit, die Effizienz der vorhandenen Kontrollen zu messen. Bei Entscheidungen gibt es keine Kriterien nach denen jemand darüber Rechenschaft ablegen kann, und bei Veränderungen im  Management oder der IT-Abteilung ist die Kontinuität gefährdet. Dadurch, dass sich die vorhandenen Kontrollen nur schwer bewerten lassen, fehlt die kalkulatorische Basis für weitere Investitionen in die IT-Sicherheit.

Vom praktischen Standpunkt aus betrachtet beginnt die Lösung des Problems damit eine unternehmensweite Sicherheitsstrategie zu entwickeln und umzusetzen. Das erfordert neben Zeit und Entwicklungsaufwand vor allem, dass die IT-Abteilung und die Geschäftsführung miteinander kooperieren. Haben Sie einmal damit begonnen, Ihre unternehmensweite Sicherheitsstrategie zu entwickeln und zu verfeinern, dann werden die Sicherheitspraktiken in ihrem Unternehmen fast automatisch umfassender. Das werden auch Ihre Kunden bemerken.

 

 

Leave a Comment