IT-Sicherheitsstrategien: Eher Marathon als Sprint
IT-Sicherheitsstrategien sind längerfristige ausgerichtete, planvolle Vorgehen des Ziels, die vorhandenen Risiken eines Angriffs auf digitale Werte so klein wie möglich zu halten.
Denn durch die steigende Digitalisierung wird das Risiko eines Schadens immer größer (siehe Bild, rote Kurve), weil damit die Angriffsziele kontinuierlich lukrativer werden und die Angriffsfläche für die Angreifer immer größer wird. Um diese Situation im Sinn der Unternehmen zu verbessern, werden grundsätzliche IT-Sicherheitsstrategien benötigt, die die IT-Sicherheitsrisiken strategisch reduzieren (siehe Bild, grüne Kurve).
- IT-Sicherheitsstrategien zur Reduzierung der Risiken: Die IT-Sicherheitsstrategien “Vermeiden von Angriffen“ und “Entgegenwirken von Angriffen“ helfen, den Level an verbleibenden Risiken so klein wie möglich zu bekommen und zu halten. Die verbleibenden Risiken beschreiben die noch vorhandene Eintrittswahrscheinlichkeit eines Schadens in einem Unternehmen, trotz durchgeführter IT-Sicherheitsmaßnahmen zur Reduzierung der Risiken, weil es keine 100-prozentige IT-Sicherheit gibt.
- IT-Sicherheitsstrategien, um mit verbleibenden Risiken umzugehen: Da mit dem Einsatz der IT-Sicherheitsstrategien zur Reduzierung der Risiken keine 100-prozentige IT-Sicherheit erzielt werden kann, müssen weitere IT-Sicherheitsstrategien für die verbleibenden Risiken angewendet werden. Hier helfen die zwei IT-Sicherheitsstrategien “Erkennen von Angriffen“ und “Reagieren auf Angriffe“.
Abbildung: IT-Sicherheitsstrategien, um die Risiken der Digitalisierung zu managen
Im Folgenden werden die vier prinzipielle IT-Sicherheitsstrategien beschrieben, die helfen können, IT-Sicherheitsmechanismen in strategische Ziele einzuteilen, um die Risiken der Digitalisierung zu managen. So können deren Wirkung auf Angriffe und den Schutz der Werte besser verstanden und geeignete IT-Sicherheitsstrategien ausgesucht sowie umgesetzt werden.
1. Vermeiden von Angriffen
Mit Hilfe der Vermeidungsstrategie wird eine Reduzierung der Angriffsfläche und damit die Reduzierung der Risiken erreicht. Die Herausforderung besteht darin, die IT so einzurichten, dass das Unternehmen alles wirklich Notwendige für das Business umsetzen kann, aber alles andere aktiv vermieden wird.
Im Folgenden werden unterschiedliche Prinzipien der Vermeidung von erfolgreichen Angriffen aufgezeigt:
- Prinzip der Datensparsamkeit: Ein Aspekt der Vermeidungsstrategie ist das Prinzip der Datensparsamkeit, das heißt, so wenige wertvolle Daten generieren wie möglich und so viele wie nötig. Das Prinzip ist: Daten, die nicht auf IT-Systemen vorhanden sind, können auch nicht angegriffen werden. Daher sollten nur Daten gespeichert werden, die wirklich notwendig sind. Abgeleitete Daten, Zusammenfassungen und so weiter sollten nicht gespeichert werden, sondern bei Bedarf automatisiert neu berechnet werden.
- Nur sichere IT-Technologien, -Produkte und -Dienste verwenden: Ein weiteres Prinzip der IT-Sicherheitsstrategie Vermeiden von Angriffen ist: „Keine Technologien, Produkte und Dienste mit bekannten Schwachstellen verwenden“. Dazu müssen natürlich die entsprechenden Schwachstellen bekannt sein, damit ihnen begegnet werden kann. Beispiele von IT-Lösungen, bei denen dieses Prinzip umgesetzt werden kann, sind Browser, Betriebssysteme und Internet-Dienste. Hilfreich ist hier die Realisierung einer Zwei-Hersteller-Strategie: Beispielsweise bei Browsern. Diese ermöglicht, dass wenn bei einem Browser Schwachstellen bekannt werden, unmittelbar der zweite Browser, ohne bekannte Schwachstelle, mit allen Einstellungen weiterverwendet werden kann.
- Fokussierung: Aus Studien ist bekannt, dass im Schnitt ca. fünf Prozent aller vorhandenen Daten in Unternehmen besonders schützenswert sind. Welche Daten in einem Unternehmen die 5 % der besonders schützenswerten Daten sind, wissen die Verantwortlichen in der Regel nicht genau. Dies sind unter anderem Daten, die dem Unternehmen einen hohen Schaden verursachen, wenn sie in die Hände des Wettbewerbs fallen würden, also beispielsweise das geistige Eigentum des Unternehmens, Kalkulationsdaten, Kundendaten usw. Aus diesem Grund ist eine Schutzbedarfsanalyse notwendig, um diese unternehmenskritischen Daten auf den vorhandenen IT-Systemen zu identifizieren und deren IT-Schutzbedürfnisse genau zu kennen. Mit dem Wissen, welche Daten für das Unternehmen besonders schutzbedürftig sind, sind die Verantwortlichen in der Lage, sich auf möglichst wenige IT-Systeme zu konzentrieren und diese besonders zu schützen.
- Reduzierung von IT-Möglichkeiten: Die Reduzierung der IT-Möglichkeiten ist ein weiteres Prinzip zur Vermeidung von Angriffen. Nicht notwendige Software vom IT-System entfernen, nicht verwendete Funktionen einer Anwendung deaktivieren oder Kommunikationsmöglichkeiten zum Beispiel mithilfe von Routern und Firewall-Systemen reduzieren, helfen, die potenziellen Angriffsflächen zu verringern.
- Sicherheitsbewusste Mitarbeiter: Security Awareness, also ein Sicherheitsbewusstsein, ist ein weiterer und wichtiger Punkt der Vermeidungsstrategie. Sicherheitsbewusstsein setzt sich aus dem Wissen und der Einstellung der Mitarbeiter eines Unternehmens zusammen, um die IT mit all ihren Werten zu schützen. Das relevante Wissen erstreckt sich hierbei über die Werte eines Unternehmens, die zu schützen sind, den Schutzbedarf dieser Werte sowie die Bedrohungen, die auf diese Werte wirken. Aber auch unter anderem darüber, welche organisatorischen Regelungen einzuhalten sind oder die richtige Nutzung von IT-Sicherheitsmaßnahmen zum Schutz der Werte. Mit der Einstellung ist gemeint, dieses Wissen zu verinnerlichen und zum Schutz des Unternehmens aktiv umzusetzen.
Das Vermeiden von Angriffen ist die beste IT-Sicherheitsstrategie, um Schäden zu reduzieren. Leider ist die Vermeidungsstrategie jedoch praktisch nur eingeschränkt umsetzbar, da immer IT-Systeme und Daten benötigt werden, um die gewünschten digitalen Aktivitäten umzusetzen. Daher reduziert das Vermeiden von Angriffen zwar die Angriffsfläche, aber für die gewollten IT-Anwendungen und -Dienste sowie die gewünschten Kommunikationspartner muss eine weitere IT-Sicherheitsstrategie, wie das Entgegenwirken von Angriffen eingesetzt werden, um die vorhandenen Risiken weiter zu reduzieren.
2. Entgegenwirken von Angriffen
Das Entgegenwirken von Angriffen ist die meistverwendete IT-Sicherheitsstrategie, um das vorhandene Risiko zu minimieren und damit Schäden zu vermeiden. Dazu werden IT-Sicherheitsmechanismen verwendet, die eine hohe Wirkung gegen bekannte Angriffe zur Verfügung stellen und damit die Werte angemessen schützen.
IT-Sicherheitsmechanismen, die gegen spezielle Angriffe wirken, sind zum Beispiel:
- Verschlüsselung (Datei-, Festplatten-, E-Mail-Verschlüsselung, VPN-Systeme, SSL/TLS, …)
Die Verschlüsselung sorgt dafür, dass keine unerlaubten Informationen im Klartext gelesen werden können. - Multifaktor-Authentifikationsverfahren
Mithilfe einer Multifaktor-Authentifikation wird verhindert, dass unerlaubte Nutzer Zugriff auf das IT-System oder den IT-Dienst erhalten. - Anti-Malware-Lösungen
Anti-Malware-Lösungen sorgen dafür, dass illegales Aufspielen und kriminelles Nutzen von Malware auf unseren IT-Systemen nicht umgesetzt werden kann. - Anti-DDoS-Verfahren
Mithilfe von Anti-DDoS-Verfahren wird die erfolgreiche Umsetzung von DDoS-Angriffen verhindert. - Zero Trust-Prizipien
Auf Basis von verschiedenen aber ineinander wirkenden Vertrauenswürdigkeitstechnologien soll durch Zero Trust die Angriffsfläche der eigenen IT-Landschaft so klein wie nur möglich gemacht werden. - Confidential Computing
Auf der Basis von Sicherheitsfunktionen in der CPU sorgt Confidential Computing dafür, dass Anwendungen mit Code und Daten in isolierter und verschlüsselter Form in sogenannte sichere Enklaven auf Cloud-Infrastrukturen verarbeitet werden. - Signaturverfahren
Die Nutzung von Signaturverfahren schaffen die Möglichkeit das Leugnen von digitalen Handlungen zu verhindern. - Hardware-Sicherheitsmodule
Mithilfe von Hardware-Sicherheitsmodulen (Smartcards, TPMs, High-Level Security Modules) wird der unerlaubte Zugriff und die unerlaubte Nutzung von Sicherheitsinformationen unterbunden.
Bewertung des Entgegenwirkens
Die IT-Sicherheitsstrategien „Entgegenwirken von Angriffen“ ist eine naheliegende Vorgehensweise, digitale Werte angemessen zu schützen. IT-Sicherheitsmechanismen sollten dem Stand der Technik genügen, um eine hohe Wirkung zu haben und dadurch einen angemessenen IT-Sicherheitslevel zu erzielen. Leider stehen nicht genug oder nicht schnell genug wirkungsvolle IT-Sicherheitstechnologien, -lösungen und -produkte gegen immer intelligentere Angriffe zur Verfügung oder werden nicht angemessen und umfänglich genug eingesetzt. Da es keine 100-prozentige IT-Sicherheit gibt und somit immer ein Restrisiko bleibt, muss mit weiteren IT-Sicherheitsstrategien gegen die verbleibenden Risiken vorgegangen werden.
3. Erkennen von Angriffen
Wenn Angriffen mithilfe von IT-Sicherheitsmechanismen nicht angemessen oder vollständig entgegengewirkt werden oder eine Vermeidung nicht ausreichend die Angriffsfläche reduzieren kann, dann bleibt noch die Strategie, Angriffe zu erkennen und zu versuchen, den Schaden so schnell wie möglich zu minimieren.
Hier ist die Idee, dass in einem definierten Bereich (IT- und Kommunikationsinfrastruktur, Endgeräte …) nach Angriffssignaturen oder Anomalien gesucht wird. Wird ein Angriff erkannt, werden die Hintergründe analysiert und passende Gegenmaßnahmen eingeleitet. Dadurch ist es möglich entsprechend zu reagieren, damit weitere Schaden noch verhindert oder zumindest reduziert werden kann.
Die IT-Sicherheitsstrategie „Erkennen von Angriffen“ ist sehr hilfreich, hat aber definierte Grenzen, da es keine 100-prozentige Erkennungsrate gibt. Aus diesem Grund wird es in der Zukunft wichtig, auf diesem Gebiet durch mehr und bessere Sensoren und den unternehmensübergreifenden Austausch viele sicherheitsrelevante Informationen verfügbar zu machen und mit modernen KI-Systemen die Erkennungsraten so hoch wie nur möglich zu bekommen. Außerdem ist es wichtig, schnell und angemessen zu reagieren. Daher müssen die IT-Sicherheitsstrategien „Erkennen von Angriffen“ und „Reaktion auf Angriffe” zusammen betrachtet werden.
4. Reaktion auf Angriffe
Wenn Angriffe erkannt werden, sollte so schnell wie möglich mit passenden Aktionen reagiert werden, die den Schaden im optimalen Fall noch verhindern oder zumindest die Höhe reduzieren.
- Automatisierte Reaktion: Wenn ein Angriff erkannt wird, können zum Beispiel sofort und (halb-)automatisiert Firewall-Regeln oder E-Mail-Server-Regel so reduziert werden, dass nur noch die wichtigen Prozesse für das Unternehmen aufrechterhalten bleiben, aber die Angriffsfläche und damit die potenziellen Schäden so gut wie möglich verringert werden.
- Definition von Befugnissen, Informationsflüsse, Entscheidungsprozess und Kommunikationsstrategien: Für das gesamte Abschalten der Internetverbindung oder die Notwendigkeit des Herunterfahrens vieler IT-Systeme, etwa bei großen Ransomware-Angriffen, müssen in der Regel die Verantwortlichkeiten sowie die damit verbundenen Rechte definiert sein. Um schneller handeln zu können, ist es notwendig die nötigen Informationsflüsse und Reaktionsmöglichkeiten klar ausgearbeitet und vereinbart zu haben. Wichtig für ein angegriffenes Unternehmen sind somit ein sehr kurzer Entscheidungsprozess, effiziente Pfade für die Informationsverteilung sowie klar definierte Befugnisse der Akteure, um im Notfall schnell und verantwortungsvoll reagieren zu können. Zudem muss die Kommunikationsstrategie bezüglich Mitarbeitern, Kunden, Regulierungsbehörden und Medien sorgfältig geplant werden, um einen hohen Imageschaden zu vermeiden.
- Digitalen Forensik: Eine weitere wichtige Reaktion ist die Analyse eines Angriffs im Sinne der digitalen Forensik. Dadurch lässt sich gewährleisten, dass eventuell vorhandene Lücken geschlossen, vorhandene IT-Sicherheitsmaßnahmen optimiert oder weitere integriert werden, damit das Unternehmen zukünftig besser geschützt ist.
- Notfallplanung: Wichtig ist auch, dass es bereits getestete Reaktionskonzepte (Notfallplanungen) gibt, in denen definiert ist, was im Krisenfall die richtige Vorgehensweise ist und welche Personen die Rechte haben, die entsprechenden Reaktionen im Angriffsfall auszulösen. Besonders relevant ist dabei, alle definierten Reaktionen sehr gut gemeinsam zu trainieren, damit in einem Ernstfall die adäquaten Reaktionen schnell und erfolgreich umgesetzt werden können.
Bewertung der Reaktion
Die IT-Sicherheitsstrategie „Reagieren auf Angriffe“ hilft Schäden zu vermeiden oder zu minimieren. Es kann jedoch nur reagiert werden, wenn Angriffe erkannt werden. Notwendig ist auch, die Reaktionskonzepte vorher definiert und getestet zu haben, um in einem Ernstfall auch schnell und wirkungsvoll reagieren zu können.
5. Zusammenfassung
Die IT-Sicherheitsrisiken steigen mit dem Grad der Digitalisierung. IT-Systeme müssen in der Zukunft mit einer möglichst umfassenden Angriffs-Resilienz ausgestattet werden. Es muss möglich werden, dass die notwenige IT, die sich im Rahmen der Digitalisierung sowieso ändert, mit IT-Sicherheitsarchitekturen und -mechanismen ausgestattet wird, die eine deutliche höhere Wirkung gegen Angriffe zeigen, am besten automatisch funktionieren und eine hohe Qualität besitzen. Die Verantwortlichen für die IT-Sicherheit in Unternehmen sollten verschiedene IT-Sicherheitsstrategien umsetzen, um das Risiko von Schäden zu reduzieren. Die IT-Sicherheitsstrategie „Vermeiden von Angriffen“ hilft Schäden zu reduzieren, hat aber ihre Grenzen in der Umsetzung. Die IT-Sicherheitsstrategie „Entgegenwirken von Angriffen“ ist sehr naheliegend und erfolgversprechend. Wichtig ist nur, dass der Stand der Technik verwendet wird, um einen hohen Level an Wirkung gegen intelligente Angriffe zu erreichen. Die verbleibenden Risiken sollten mit der IT-Sicherheitsstrategie „Erkennen von Angriffen“ beherrschbar gemacht werden, durch das Identifizieren von gerade stattfindenden Angriffen. Mit der IT-Sicherheitsstrategie „Reaktion auf Angriffe“ kann dann der Schaden noch verhindert oder zu mindestens reduziert werden.
Zum Profil der Firma
