secida im April

secida im April

Drei Grundpfeiler des sicheren IT-Betriebs

Herzlich Willkommen zu unserem Newsletter!

Die secida AG wünscht Ihnen frohe Feiertage!

Hier geben wir hier einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.

Interessante Aktivitäten im April:

LinkedIn-Livestream am Dienstag, den 02.05.2023, 12:00h: „Secure Cloud Transformation: So gelingt die sichere Einbindung der Cloud“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.

Sichere Digitalisierung im April: Drei Grundpfeiler des sicheren IT-Betriebs

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.

Vielen Entscheidern im Mittelstand stellt sich die Frage: Wo fange ich an, wenn ich die eigene IT bestmöglich gegen Cyberattacken absichern möchte? Wie priorisiere ich so, dass die Cybersicherheit möglichst effektiv schrittweise gesteigert wird? Es muss nicht sofort Geld investiert werden, um signifikante Verbesserungen in der Cybersicherheit zu erreichen. Ein sicherer IT-Betrieb lässt sich gut in 3 Schritten entwickeln:

1. Sind alle Basisanforderungen (bestmöglich) erfüllt?

Im Kontext der Cybersicherheit gibt es einige grundsätzliche Anforderungen, die erfüllt werden müssen, bevor weitere Maßnahmen sinnvoll sind.

Backups

Die wichtigste Anforderung, die innerhalb eines Unternehmens erfüllt werden muss, ist die Einführung einer stabilen Backup-Strategie: Ohne einen einfach und zeitnah wiederzubeschaffenden aktuellen Datenbestand ist eine schnelle und erfolgreiche Weiterführung des Geschäfts nach einem erfolgreichen Angriff kaum möglich. Hierbei ist essenziell zu testen, ob das Backup reibungslos wieder eingespielt und verwendet werden kann. Auch die Backups müssen vor Hackerangriffen geschützt sein (sonst kann der Hacker das Backup direkt mit verschlüsseln). Zum Beispiel sind Offline-Backups (z.B. auf externen Festplatten) eine effektive Maßnahme.

Patching und Vulnerabilities

Eine weitere essenzielle Standardmaßnahme ist das regelmäßige Einspielen von Patches. Patches sind Korrekturauslieferungen für Software oder Daten um Fehler zu beheben. Zumeist werden Patches (bzw. Updates, die mehrere Patches enthalten) entwickelt um bekannt gewordene Sicherheitslücken zu schließen oder bislang nicht vorhandene Funktionen nachzurüsten. Sie sollten immer schnellstmöglich eingespielt werden. Vulnerabilities sind fehlerhafte Konfigurationen der eigenen oder eingekaufter Softwarelösungen und Systeme. Sämtliche Systeme und Sofwarelösungen sollten regelmäßig geupdatet, überprüft und ggf. Korrekturen vorgenommen werden. Wenn Dienstleister Vulnerabilities melden, sollten die im Kontext ausgelieferten Patches oder Handlungsvorschläge schnellstmöglich eingespielt bzw. umgesetzt werden. Wenn dies nicht passiert, ensteht eine potentielle Angriffsfläche für Hacker.

Sollte intern die Expertise oder Kapazität für das Handling der Basisvorgaben nicht vorhanden sein, ist es sinnvoll externe Unterstützung einzukaufen. Hier ist wichtig zu prüfen, dass der IT-Dienstleister die passende Leistungsqualität liefern kann. Dies kann z.B. über die Anforderung eines erstellten Backups und das Einspielen desselben oder durch gemeinsam durchgeführte Cybersicherheitsmaßnahmen erfolgen.

2. Ist unsere IT-Infrastruktur bestmöglich konfiguriert?

Nachdem die Basisanforderungen zur Zufriedenheit erfüllt sind, sollten im nächsten Schritt die Konfigurationen der eigenen Cybersicherheitssysteme überprüft und ggf. optimiert werden.

Firewalls

Es ist sinnvoll in regelmäßigen Abständen die aktuell verwendeten Firewalls zu prüfen. Firewalls schützen Systeme vor externen Angriffen, damit dieser Schutz gewährleistet werden kann, sind Firewalls lebende Systeme, die sich konstant an sich verändernde Angriffsparameter und die strategische Entwicklung des Unternehmens anpassen müssen. Hierbei können Fehler passieren, die die Firewall angreifbar machen. Eine regelmäßige Prüfung und ggf. Reparatur stellt sicher, dass keine Angriffsfläche über längere Zeit unentdeckt bleibt.

Active Directories

Wie schon in unserem letzten Newsletter erwähnt, ist in einer Microsoft-basierten IT-Infrastruktur der Schutz des Active Directories essenziell. Beim Active Directory handelt es sich um einen Verzeichnisdienst von Microsoft für Windows-Netzwerke. Es ist der Ort, an dem Nutzer-Credentials und die zugehörigen Zugriffsberechtigungen hinterlegt sind.

Es ist wichtig zu verhindern, dass Hacker durch das Erschleichen von User-Credentials (z.B. via Phishing) direkt Zugriff auf wichtige Firmensysteme erlangen. Wenn es einem Hacker gelingt, die Login-Informationen eines regulären Nutzers zu erhalten, kann er mit ihnen in der Regel nicht mehr viel Schaden anrichten, dafür ist ein Administratorkonto besser geeignet. Allerdings ist es dem Hacker auf dem infizierten Computer eines regulären Benutzers durchaus möglich, durch die Verursachung einer Störung den Nutzer dazu zu bringen, die Unterstützung eines Systemadministrators anzufordern. Die Lösung des verursachten Problems macht es notwendig, dass sich der Systemadministrator am infizierten Computer mit seinen eigenen Credentials anmelden muss. Sobald die Eingabe von Benutzername und Passwort des Administrators erfolgt, hat der Hacker Zugriff darauf und kann sie verwenden. Wenn nun die erbeuteten Administrator-Credentials weitgreifende Zugriffsrechte haben, die über die Administration einzelner Computer hinausgehen, kann der Hacker, wenn z.B. eine Serveranmeldung oder sogar die Verwaltung der Benutzerkonten mit der erbeuteten Administrationskennung möglich sind, weitreichende Schäden verursachen. So können z.B. die Benutzer-Credentials der Administratoren gelöscht und so der Zugriff auf sämtliche Unternehmenssysteme durch unternehmensseitig autorisierte Personen unterbunden werden. Deswegen ist es empfehlenswert Zugriffskomplexe für administrative Konten zu segmentieren. Je sauberer Administrationsreche pro Administrationskonto aufgeschlüsselt sind (z.B: ein spezifisches Administrationskonto für je x Benutzercomputer; separate Administrationskonten für bestimmte Server, etc.), desto geringer die Möglichkeiten für einen Hacker mit einer Accountübernahme größeren Schaden anzurichten. Für cloudbasierte IT-Infrastruktur gilt dies entsprechend.

Pentesting

Nachdem die genannten Basisanforderungen, die Prüfung der Firewalls und die Absicherung des Zugriffs auf das Active Directory bestmöglich durchgeführt sind, kann es sinnvoll sein einen Pentest durchzuführen. Bei einem Penetrationtest versucht ein „guter“ Hacker sich im Auftrag des Unternehmens in die Systeme einzuschleichen. Dabei wird dokumentiert, ob und wie es gelungen ist, in die IT-Systeme vorzudringen, bzw. bis in welche Tiefe der Hacker eindringen konnte. So können z.B. Konfigurationsfehler identifiziert und passende Maßnahmen zur weiteren Optimierung der Cybersicherheit getroffen werden.

3. Besteht Bedarf die Cybersicherheit durch Software-Investitionen weiter zu erhöhen?

Erst wenn ein Unternehmen die Basisanforderungen bestmöglich gelöst und im Kontext Cybersicherheit das Optimum aus der Konfiguration der IT-Systeme herausgeholt hat, kann es sinnvoll sein in weitere Software zu investieren.

Monitoring

Wenn alle oben genannten Hausaufgaben gemacht sind, hat ein Unternehmen es Angreifern möglichst schwer gemacht, in die IT-Infrastruktur einzudringen. Es ist aber noch immer nicht unmöglich, einen Angriff durchzuführen. Ab diesem Zeitpunkt macht die Investition in ein Monitoring Sinn: Die bestehenden Sicherungsmaßnahmen erschweren und verzögern die erfolgreiche Durchführung eines Angriffs. Ein effektives Monitoring kann helfen, den Angriff noch vor dem Auftreten gravierender Schäden zu entdecken und zu unterbinden. Doch allein die Investition in eine Softwarelösung und deren Implementierung ist nicht ausreichend: Man benötigt zusätzlich Personal, das die eingehenden Meldungen des Monitoring-Systems analysieren und die richtigen Maßnahmen im Kontext einleiten kann.

Privileged Access Management

Für administrative Konten und Konten mit weitreichenden Zugriffsrechten ist es sinnvoll, eine Privileged Access Management-Lösung einzuführen, die diese Konten zusätzlich absichert. Eine solche Lösung speichert z.B. sämtliche Administration-Credentials zentral in einem sicheren Vault. Außerdem kann der Zugriff auf sensitive Informationen und Systeme durch ein Vier-Augen-System abgesichert werden, in dem jede Zugriffsanfrage seitens administrativer Konten durch einen Dritten freigegeben werden muss. Die Aktivitäten der Mitarbeitenden während der Session werden systemseitig mitgeschnitten. So ist es möglich zu prüfen, ob die tatsächlich durchgeführten Handlungen denen der Freigabeanforderung entsprechen. Auf diese Weise können sowohl externe als auch interne Angriffe (z.B. der Download von vertraulichen Daten durch eigene Mitarbeitende) ggf. schnell und effektiv identifiziert und unterbunden werden.

Für fachfremde Entscheider, die die Optimierung der Cybersicherheit im Unternehmen in den Fokus nehmen wollen, gibt es somit ein klar strukturiertes Vorgehen: Erst die Erfüllung der Basisanforderungen, dann die Optimierung und regelmäßige Analyse der Systemkonfigurationen und erst danach potentiell die Investition in zusätzliche Cybersicherheitslösungen. Investieren Sie im ersten Schritt in die Ausbildung Ihres Teams und Überprüfung der aktuellen (Dienst-)Leistungsqualität. Gehen Sie sicher, dass Sie bestmöglich aufgestellt sind und kontinuierliche Optimierungsprozesse implementiert haben. Erst dann sind ggf. weitere Investitionen in Software notwendig und sinnvoll.

Kommentar verfassen