WannaCry und NotPetya waren nur der Anfang

Vier Best-Practices für mehr Cyber-Sicherheit

| Autor / Redakteur: Jens Freitag / Peter Schmitz

Der erste Schritt zu mehr Cyber-Sicherheit ist die Umsetzung bewährter Best-Practice-Regeln.
Der erste Schritt zu mehr Cyber-Sicherheit ist die Umsetzung bewährter Best-Practice-Regeln. (Bild: Pixabay / CC0)

WannaCry und NotPetya haben erneut deutlich gemacht, dass Cybersecurity essenziell ist. Zugleich wandelt sie sich: Milliarden neuer IoT-Geräte, dazu Laptops und Server bilden eine Angriffsoberfläche, die neue Ansätze für die Sicherheit erfordert. Der erste Schritt zum richtigen Schutz vor kommenden Angriffen sind bewährte Best Practices und der Wille sie umzusetzen.

Sokrates wird der Ausspruch zugeschrieben: „Das Geheimnis der Veränderung ist, dass man all seine Energie darauf konzentriert, das Neue zu errichten, nicht darauf, das Alte zu bekämpfen.“ Dieser Ausspruch trifft besonders auf die Cybersecurity zu, weil der Wandel die einzige Konstante ist. Man muss jedoch kein großer Denker sein, um zu erkennen, dass auch nach verheerenden Attacken wie NotPetya oder WannaCry zu viele Unternehmen noch immer das Alte bekämpfen, anstatt das Neue aufzubauen.

Dabei ist es wichtig, sich dem Neuen zuzuwenden: Laut der neuesten Studie von Business Insider Intelligence werden bis 2019 neun Milliarden IoT-Geräte in die Wireless Netzwerke von Unternehmen eingegliedert – dies sind mehr Geräte als auf den globalen Smartphone- und Tabletmärkten angeboten werden.

Die moderne Angriffsoberfläche für Cyberattacken beschränkt sich damit nicht mehr länger nur auf Laptops oder Server, sondern stellt inzwischen einen komplexen Mix aus vernetzten Geräten, Services und Computing-Plattformen dar. Unternehmen müssen deshalb traditionelles Schwachstellenmanagement ersetzen: Bugs und Fehlkonfigurationen nur zu identifizieren, genügt nicht mehr. Sie brauchen Einblicke in die gesamte Angriffsoberfläche, was nur mit Cyber Exposure möglich ist – einem neuen Ansatz dafür, wie Cyber-Risiken verwaltet, gemessen und reduziert werden können.

Die gute Nachricht: Noch ist es nicht zu spät, etwas zu unternehmen. Es gibt ein paar bewährte Verfahren, mit denen sich Unternehmen bestmöglichen Abläufen und zeitgemäßer Cybersecurity annähern können. Dann verstehen sie Schwachstellen und Risiken besser, können sie reduzieren, kontinuierliche Einblicke nehmen, Vorgänge priorisieren und eine zuverlässige, langfristige Cyber-Exposure-Strategie implementieren.

Regel 1: Risiken aktiv managen


„Das eigene Netzwerk zu kennen, ist die Grundlage guter Cybersicherheit.“

WannaCry schlug im Mai weltweit zu. Schnell stellte sich heraus, dass der Exploit auf einer Lücke beruhte, für die es bereits seit März einen Patch gab. Das Problem war also fehlendes oder nicht ausreichendes Patch-Management und unzureichende Kenntnis der eigenen Netzwerke.

Ohne ihr eigenes Netzwerk zu kennen, ist eine gute Cybersecurity kaum zu erreichen. Ein vollständiger Einblick in alle Assets auf jeder Plattform ist der beste Schutz vor ausgetüftelten Angriffen. Das gilt für das Netzwerk, Nodes, Assets, Tools und Schwachstellen. Eine widerstandsfähige und umfassende Cybersecurity aufzubauen, beginnt somit mit ausreichendem Einblick ins eigene Netzwerk.

Unternehmen sollten auch die Bedrohung durch Angestellte nicht unterschätzen. Viele verfügen über Berechtigungen, bewegen sich aber unter dem Radar. Sicherheitslücken werden dann erst entdeckt, wenn es bereits zu spät ist. In jedem Netzwerk gibt es blinde Flecken, die Unternehmen verwundbar machen. Dazu gehören auch Mitarbeiterdaten, die für Angreifer sehr wertvoll sind.

Aus diesem Grund sollten alle Daten so sorgsam behandelt werden als ob es sich um besonders sensible oder geschäftskritische Daten handelte. Nötig ist ein effektives Management von Credentials, Zugängen und Passwörtern – ein solches Management kontrolliert erweiterte Privilegien und schützt vor unautorisierten Zugriffen sowie Bedrohungen aus dem Unternehmen heraus. Die nächste Bedrohung kann aus vielen Richtungen kommen, weswegen die Verantwortlichen sich sorgfältig vorbereiten sollten.

Regel 2: Modernisierung vorantreiben


„Sicherheits-Updates müssen Hand-in-Hand mit der Modernisierung der IT gehen.”

Unternehmen können große Veränderungen nicht erreichen, wenn sie diese von vornherein ausschließen. Das gilt insbesondere für die IT-Sicherheit. Wenn Unternehmen ihre IT aktualisieren, bietet sich die perfekte Gelegenheit, die Angriffsoberfläche zu reduzieren und auf die schnellen Veränderungen in der Bedrohungslandschaft zu reagieren.

So können sie ihre eigene Sicherheit durch verbesserte Einblicke ins Netzwerk, kontinuierliches und umfassendes Monitoring sowie durch das Patching von Schwachstellen erhöhen. Legacy-Systeme, für die es keine Updates mehr gibt, können isoliert und vom internetverbundenen Netzwerk abgeschnitten werden, bis sie ersetzt sind.

Möglicherweise kommt das Unternehmen aber an einen Punkt, an dem die Ressourcen nicht mehr ausreichen, um diese veralteten Systeme zu warten. Dann müssen die Veränderungen priorisiert werden. Eine Möglichkeit hohe Sicherheitsstandards zu forcieren ist es, grundlegend festzulegen, welche Systeme noch unterstützt werden. Natürlich müssen Unternehmen dann auch die Mittel aufwenden, um die Netzwerke zu verbessern.

Regel 3: Cybersecurity Framework nutzen

Zu häufig versuchen Unternehmen das Rad der Cybersecurity neu zu erfinden, vor allem, wenn es um Abläufe und Prozesse geht. Dies ist jedoch unnötig, denn es gibt sehr viele Regelwerke, Untersuchungen und Erhebungen zum Thema Cybersicherheit, die viele bewährte Methoden aufzeigen.

Hilfreich sind vor allem bestehende Regelwerke, wie NIST oder die ISO/IEC-27000-Reihe. Sie unterstützen Unternehmen dabei, technische Kontrollen zu automatisieren und die Sicherheitseffektivität zu erhöhen. Geeignete Maßnahmen zu treffen, hilft nicht nur in Hinblick auf mögliche Angriffe, sondern auch in Hinblick auf die kommende EU Datenschutz-Grundverordnung: Diese sieht technische und organisatorische Maßnahmen für die Informationssicherheit vor. Beruht die Unternehmensstrategie auf den bewährten Standards anerkannter Regelwerke, sind die Vorgaben leichter zu erfüllen und die Anwender schlagen zwei Fliegen mit einer Klappe.

Regel 4: In eine starke Belegschaft investieren

Zu guter Letzt sind gut ausgebildete, gut informierte Mitarbeiterinnen und Mitarbeiter in der IT ein wesentlicher Teil des Schutzes – ganz unabhängig von einer konkreten Bedrohungslage. Jedoch gibt es viele Branchen, vom öffentlichen Dienst, über Öl und Gas bis zu Versorgungsunternehmen, in denen die gut ausgebildeten und erfahrenen Angestellten bald in Rente gehen. Dieser Verlust von Know-how erschwert den Kampf gegen Bedrohungen.

Gute IT-Fachleute und besonders Spezialisten für IT-Sicherheit sind jedoch nicht leicht zu finden. Unternehmen kämpfen mit vielen Wettbewerbern um diese Fachkräfte. Sie müssen deshalb attraktive Konditionen bieten, um sie anzuwerben und zu halten. Dabei muss es nicht immer nur um mehr Geld gehen: Flexible Arbeitsmöglichkeiten, professionelle Weiterbildungen, ein strukturierter Karriereplan und Aufstiegschancen sind häufig große Anreize.

An diesem Punkt dürfen Unternehmen aber nicht nachlassen. Mitarbeiterinnen und Mitarbeiter aller Bereiche sollten fortlaufend geschult werden. Das gilt für eine Sensibilität gegenüber Phishing-Versuchen oder Social Engineering, aber auch dafür, wie die Angestellten mit dem Thema BYOD umgehen, wie sie Software von Drittanbietern und externe Services einsetzen.

Fazit

WannaCry und NotPetya waren Warnschüsse für Unternehmen – allen sollte klargeworden sein, dass sie IT-Security nicht auf die leichte Schulter nehmen dürfen. Doch auch wenn eine effiziente Cybersecurity viele herausfordert: Mit bewährten Best Practices und dem Willen, diese umzusetzen, lässt sich schon ein gutes Maß an Sicherheit erreichen. Unternehmen sollten jedoch besser heute als morgen loslegen. Denn neben dem beständigen Wandel gibt es in der Cybersecurity noch eine zweite Konstante: Der nächste Angriff kommt bestimmt.

Über den Autor: Jens Freitag ist Security Specialist bei Tenable Network Security.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44968559 / Compliance)