Aktuell meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine erhöhte Wahrscheinlichkeit für Cyber Bedrohungen. Inzwischen sprechen wir sogar schon vom Cyberwar. Grundsätzlich ist jedes Unternehmen verpflichtet, adäquaten Schutz vor Cyberangriffen umzusetzen, egal ob kriegerische Angriffe oder andere Gründe für Cyber Bedrohungen zugrunde liegen.
Wer allerdings jetzt noch unsicher ist, ob das wichtigste berücksichtigt wurde, sollte unbedingt die Basics zum Schutz vor Cyberangriffen umgesetzt haben. Die Hacking Angriffe nehmen stetig zu. Diese Entwicklung zeigen auch die regelmäßigen Berichte des BSI.
Inhaltsverzeichnis
Auf den Punkt gebracht: 5 Basics zum Schutz vor Cyberangriffen
- Zugriff auf Netze und Systeme steuern
- (Offsite) Backup
- Schutz vor schädlichem Code
- Sicherheitslücken im Blick haben
- Mitarbeiterbewusstsein stärken
Was genau versteht man unter Cyber Bedrohungen?
Vielleicht bin ich zu alt, aber der Begriff „Cyber“ hat für mich immer noch einen leicht futuristischen Touch. Eigentlich könnte man anstatt von Cyber Bedrohungen genauso von Bedrohungen der digitalen Infrastruktur sprechen. Das hört sich aber dann nicht so sexy an.
Bedrohung der digitalen Infrastruktur
Wenn man von Angriffen auf die digitale Infrastruktur spricht, kann man sich darunter vielleicht ein klein wenig mehr vorstellen. Egal, welchen Namen man dem Thema gibt – grundsätzlich geht es darum, Schwachstellen auszunutzen mit dem Ziel,
- die digitale Infrastruktur des Unternehmens oder der Institution / die kritische Infrastruktur lahmzulegen (Angriff auf die Verfügbarkeit).
- Informationen zu erhalten, die wertvoll für den Angreifer sind oder den Geschädigten sind, um Lösegeld zu erpressen (Angriff auf die Vertraulichkeit).
- Informationen oder Komponenten bewusst zu verändern und absichtlich falsche Informationen oder Parameter zu setzen, um damit den Betroffenen zu schädigen (Angriff auf die Integrität).
Angriffsszenarien von Hacking Angriffen
An dieser Stelle möchte ich gar nicht zu weit ausholen und nur ein paar klassische Beispiele anführen, wie Angriffe vonstatten gehen können.
In unserer Vorstellung ist der Angreifer irgendwo im Internet und versucht, über Lücken und Schwachstellen in interne Netze zu gelangen. Das gibt es natürlich. Allerdings versuchen die meisten Angreifer, einfachere Wege zu gehen.
Dazu gehört zum Beispiel das klassische Schadprogramm oder der Zugriff auf Konten / Logins über ausgespähte Zugangskennungen.
Ein weiterer Weg ist das Social Engineering – ein Thema, das viel zu wenig ernst genommen wird: Über soziale Interaktionen werden Personen (meist Mitarbeiter) dazu gebracht, etwas zu tun, was sie eigentlich nicht tun sollten (z.B. ihre Zugangskennung weiter geben).
Die 5 wichtigsten Maßnahmen zum Schutz vor Cyber Bedrohungen
Die 5 Basic Tipps zum Schutz vor Cyberangriffen sind ein Mix aus den Empfehlungen des BSI und unserer eigenen Erfahrung. Oft habe ich schon den Satz gehört „There is no security like physical security.“ Ja und nein. Oder es kommt darauf an, würde ich hier sagen. Auch wenn sich die Cyber Bedrohungen im virtuellen Raum abspielen, darf man nicht vergessen, dass ein Angreifer bei Hacking Angriffen den Weg des geringsten Widerstands geht. Sehr häufig führt dieser Weg (das Eintrittstor) über den Benutzer. Daher ist es aus unserer Sicht unerlässlich, auch hier einen der fünf Schwerpunkte zu setzen.
1. Zugriffe auf Netze und Systeme
Netzwerkübergänge
Klar ist für die meisten, dass für den Übergang vom Unternehmensnetzwerk ins Internet eine Firewall sitzen sollte. Dadurch wird sichergestellt, dass nur notwendige Kommunikation zwischen beiden Seiten übertragen werden darf. Eingeschränkt werden sollte (soweit möglich und sinnvoll), wer mit wem (wohin) kommunizieren darf, aber auch, was (welche Protokolle und welche Art von Daten) übertragen werden darf.
Je größer das Netzwerk, umso sinnvoller ist es, auch im Unternehmen verschiedene Netzwerksegmente und Übergänge zu definieren. Das kann beispielsweise die Trennung und Abschirmung vom Produktionsnetzwerk sein. Oder auch ein eigenes Netzwerk für die IT-Administratoren, die vollen Zugriff auf die Server haben. Gerade für dieses Netzwerk der IT-Administratoren sollte man sich gut überlegen, von wo aus ein Zugriff überhaupt möglich sein darf. Damit würde man z.B. schon sicher stellen, dass ein Zugriff vom Produktionsnetzwerk auf das Admin-Netzwerk technisch gar nicht möglich ist und somit das Risiko minimieren.
Zugriffe auf Systeme und Applikationen
Aber nicht nur Netzwerksegmente und deren Zugriff sind eine gute Sache. Je größer das Unternehmen, umso vielfältiger sind die Anwendungen. Egal ob on premise oder in der Cloud. Über den Netzwerktraffic kann man regeln, welche Quellen überhaupt auf welche Applikation zugreifen dürfen.
Über ein Berechtigungskonzept kann man detailliert steuern, welche Rechte die User am System haben dürfen und welche Daten sie einsehen und bearbeiten können. Man spricht gerne vom „Need to know-Prinzip“. Die User dürfen nur die für sie notwendigen Informationen kennen. Ein gutes Berechtigungskonzept basiert auf dieser Vorgabe.
Dass so ein Konzept immer einfach umzusetzen ist, hat niemand behauptet. Trotzdem sollte es für Dateizugriffe und Anwendungen Pflicht sein.
2. (Offsite) Backup
Klar ist, dass ein Backup nicht davor schützt, angegriffen zu werden. Kein Backup zu haben wäre allerdings grob fahrlässig. Es muss ja nicht gleich ein Hacking Angriff sein, es kann auch ein interner Sicherheitsvorfall sein, bei dem die Festplatte einfach das Zeitliche segnet.
Egal warum etwas passiert ist und wieso die Daten weg sind – es muss eine Lösung vorhanden sein, um sie wiederherzustellen.
Wie Ihre Backup-Struktur aussieht, müssen Sie entsprechend Ihrer Anforderungen definieren. Reicht es aus, wenn abends die Daten gesichert werden oder betreiben Sie kritische IT-Systeme, die vielleicht sogar mehrmals täglich ein Backup der Datenbank notwendig machen?
Backup von Cloud Systemen
Klären Sie bei Cloud Systemen, wer für das Backup verantwortlich ist. Ist dies im Cloud Service eingeschlossen oder müssen Sie sich selbst darum kümmern?
Beispiel Cloud-Produkt Microsoft 365: Microsoft 365 wird zwar an manchen Stellen als kritisch eingestuft, dennoch ist es in den Unternehmen weit verbreitet. Allerdings ist dieses Produkt ein Beispiel dafür, dass Cloud-Produkte dem Kunden auch ohne Backup Funktion zur Verfügung gestellt werden.
Microsoft 365 Backup
Viele unserer Kunden verwenden die Cloud-Produkte von Microsoft und fragen sich natürlich, wie ein passendes Backup aussehen könnte. Um hier bestmöglich zu unterstützen, bieten wir einen professionellen Backup-Service für Microsoft 365 von Avepoint an. Bei Interesse an diesem Angebot kontaktieren Sie uns gerne.
Offsite Backup
Backup ist wichtig. Ein zusätzliches oder ausschließliches Offsite Backup gehört genauso dazu. Das heißt, das Backup muss räumlich getrennt liegen. Bei großen Unternehmen kann das auch ein anderer Brandabschnitt sein.
Ein ganz wichtiger Faktor ist die physikalische Trennung. Um Verschlüsselungstrojanern den Zugriff auf das Backup erst gar nicht zu ermöglichen, ist es notwendig, die Verbindung zwischen Backup Medium und den Originalmedien zu trennen.
3. Ausführen von schädlichem Code unterbinden
Klassisch würde man hier vom Virenscanner sprechen, aber der allein ist ja nicht unbedingt die Lösung. Schädlicher Code kann über viele Wege ins Unternehmensnetzwerk gelangen.
Einmal auf den falschen Link geklickt, einmal den falschen Anhang geöffnet oder eine Datei heruntergeladen, die nicht erwünschten Code ausführt – und schon ist es passiert.
Anforderungen an Schadcode-Erkennung sollten natürlich ausführbaren Code berücksichtigen, egal über welchen Weg er ins Netzwerk gelangt. Die Maßnahmen zum Schutz vor Cyberangriffen können aber auch anderweitig unterstützt werden. Je nach Tätigkeit Ihres Unternehmens kann es auch eine gute Lösung sein, bestimmte Dateitypen beim E-Mail Empfang zu blockieren oder grundsätzlich sogar die Ausführung bestimmter Dateitypen zu unterbinden.
4. Sicherheitslücken im Blick
Besser gesagt: Patchmanagement.
Wer kennt ihn nicht, den Spruch „Never change a running system“. Leider lässt sich diese Einstellung so gar nicht mit Patchmanagement vereinbaren. Beim Aktualisieren von Systemen ist der Blick auf den Schutz vor Cyberangriffen wichtig. Nicht jeder Patch des Herstellers schließt gleich eine Sicherheitslücke, über die Angreifer das System kompromittieren können.
Daher macht es Sinn, Sicherheitsupdates und funktionale Patches getrennt zu betrachten. Gut ist es, wenn es bei Ihnen feste Zeitfenster für den „Patchday“ gibt. Dies kann der letzte Samstag im Monat sein oder alle drei Monate am Freitag nach Arbeitsende. Ganz egal. Definieren Sie, welcher Patch-Rhythmus für Ihr Unternehmen am besten passt und setzen Sie ihn um.
Unabhängig davon müssen Sie bei Sicherheitsupdates und noch dazu bei kritischen Sicherheitsupdates in der Lage sein, schnell zu reagieren.
5. Sensibilisieren der Mitarbeiter
Wir sprechen über Cyber Bedrohungen. Welche Rolle spielt denn hier der Mitarbeiter? Die wichtigste! Das schwächste Glied in der Kette kann das ganze System zu Fall bringen. Warum sollte ein Angreifer den Weg über den Angriff der Firewall wählen, wenn er doch durch geschickte Fragetechniken am Telefon die Zugriffskennung eines berechtigten Mitarbeiters erhält? Ein Angriff wird früher oder später (wahrscheinlich) entdeckt. Die Einwahl von extern mit bekannten Kennungen von Mitarbeitern wird hingegen keine Aufmerksamkeit erwecken.
Daher ist es aus unserer Sicht unerlässlich, den Mitarbeitern zu erklären, warum
- sie ein sicheres Passwort verwenden müssen.
- sie am Telefon bestimmte Informationen nicht herausgeben dürfen oder über telefonische Anweisungen definierte Handlungen nicht ausführen dürfen.
- Phishing Mails nach wie vor eine extrem große Cyber Bedrohung darstellen (Oldies but goodies).
- das Verständnis für Datensicherheit extrem wichtig für den Geschäftserfolg ist.
War das alles zum Schutz vor Cyberangriffen?
Diese 5 Maßnahmen machen noch kein sicheres Unternehmen aus Ihrer Institution. Wir geben hier wirklich nur eine Übersicht über die minimalsten Anforderungen, die es aus unserer Sicht umzusetzen gilt. Keine Sicherheit erreicht 100%. Trotzdem ist es wichtig, zu beginnen und sukzessive die Sicherheit im Unternehmen weiter auszubauen. Dabei geht es nicht nur darum, Hacking Angriffe zu vermeiden, sondern auch Sicherheit zu erreichen, falls aus Versehen oder fehlerhaft Vorfälle produziert werden.
Wie kann man noch weitere Sicherheitsmaßnahmen umsetzen?
Das BSI hat in seiner Übersicht noch weitere Maßnahmen zum Schutz vor Cyberangriffen definiert. Das geht aber schon ziemlich weit.
Wenn man vorhat, diesen Weg zu gehen, empfiehlt es sich aus unserer Sicht, in Richtung gesteuerte Informationssicherheit zu denken und diese Richtung einzuschlagen. Schnell ist man dann beim sogenannten Managementsystem für Informationssicherheit und denkt sofort an Zertifizierung etc. Aber das muss alles gar nicht sein. Wichtig bei der gesteuerten Informationssicherheit ist der gesamtheitliche Blick auf das Thema und der risikobasierte Ansatz.
Mehr dazu finden Sie in einem separaten Beitrag hier auf dem Blog.
Wie immer interessiert uns Ihre Meinung
Falls sich unsere fünf Basics nicht mit Ihrer Must-Haves decken: Was würden Sie an dieser Stelle als wichtigste Elemente empfehlen? Schreiben Sie uns doch einen Kommentar.
Ich bin schon seit langem auf der Suche nach mehr Informationen zu Cyber-Bedrohungen. Mit euren Ideen in Bezug darauf habt ihr mir echt weitergeholfen. Dafür möchte ich mich herzlich bedanken.