So schützt IT vor Risiko

Nehmen wir das Beispiel eines Automobilzulieferers, um die typischen IT-Schwachstellen im Mittelstand zu beschreiben. Solche Betriebe sind heute weltweit tätig und vernetzt, um ihre Niederlassungen und Produktionsstätten intern und mit anderen Lieferanten sowie dem Autohersteller zu verbinden. Auch die Rechenzentren werden redundant auf verschiedenen Kontinenten betrieben. Üblicherweise verantworten Drittanbieter und Outsourcing-Provider Funktionen und Prozesse oder zumindest Teile der IT. So stützt sich das weltweite Kommunikationsnetzwerk des Zulieferers in der Regel auf ein Backbone eines Internet-Providers ab.

Verlust von Kundendaten
Gehen sensible Kundendaten verloren, gerät die Kundenloyalität in Gefahr. Sie ist stark abhängig von der Fähigkeit der Unternehmen, Kundeninformationen wirksam zu schützen. Firmen müssen noch mehr als bislang investieren, um die Risiken aus Datenverlusten zu minimieren.

Risiko durch neue IT-Trends
Neue Technologien und Services wie Cloud Computing, Virtualisierung und Software-as-a-Service (SaaS) erfordern erhöhte Sicherheit. Wollen Unternehmen die Vorteile dieser Verfahren nutzen, bedarf es adäquater Sicherheits- und Verschlüsselungs-Policies, um sensible Daten - wo auch immer sie sich befinden - optimal abzusichern.

Verschärftes Datenschutzgesetz
Das verschärfte Datenschutzgesetz erfordert von den Unternehmen eine noch bessere Verschlüsselung. Dieser müssen sie in ihrem Sicherheitskonzept auch unter dem Aspekt der Compliance Rechnung tragen.

Bessere Sicherheitspakete
Es kommen zunehmend Produkt-Bundles speziell für den Mittelstand auf den Markt, die eine kombinierte Lösung für Information Protection und Verschlüsselung sowie die Umsetzung einheitlicher Sicherheitsrichtlinien im Unternehmen bieten. Damit sind auch mittlere Unternehmen in der Lage, ihre sensiblen Firmendaten umfassend zu schützen.

Die Anforderungen an die Logistik steigen ständig. Bauteile für die Autobauer müssen nicht mehr nur Just-in-Time, sondern Just-in-Sequence ausgeliefert werden. Um die Abläufe reibungslos zu gewährleisten, unterhält der Zulieferer eine sehr enge Verknüpfung seiner IT mit der des Autoherstellers. Beispielsweise greift der Zulieferer auf Applikationen wie ERP- und Logistiksysteme des Autoherstellers zu und verwaltet Kennungen und Berechtigungen für seine eigenen Mitarbeiter in diesen Systemen.

Typische Risikopotenziale

Das skizzierte, fiktive mittelständische Unternehmen ist besonders gefährdet. Die weltweite Vernetzung und die starke Integration der Abläufe und damit der IT-Systeme in die Prozess- und IT-Landschaft der Autohersteller rufen spezielle Risiken hervor. Zudem bestehen die Gefahren für alle Teilnehmer, die in dem Verbund aus Zulieferern, Autobauern und Logistik arbeiten, weil die einzelnen Unternehmen über ein gemeinsames Netzwerk verknüpft sind. Damit setzen sie sich auf folgenden Ebenen verschiedenen Risiken aus.

• Organisation und Prozesse bieten Angriffsflächen für Social-Engineering-Angriffe wie Täuschungs- und Phishing-Versuche.

• Die Applikationen sind der Gefahr von klassischen Attacken wie Code-Injection oder Denial-of-Service ausgesetzt.

• Eingeschleuste Schadprogramme (Malware) wie Viren, Würmern und Trojaner können die Plattformen beeinflussen.

• Netze lassen sich aufgrund ungesicherter Kommunikationskanäle abhören.

• Wo keine physikalische Sicherheit gewährleistet ist, drohen Diebstahl von Geräten und Informationen wie Patentschriften sowie Lauschangriffe (Abhören von Räumen).

Auch die Schnittstellen zwischen Internet-Provider und Partnerverbund bergen Risiken, zum Beispiel das mögliche Abhören ungesicherter Kommunikationsstrecken. Die Gefahren, die es auf den Ebenen Organisation und Prozesse sowie Anwendungen gibt, wurden in der Vergangenheit oft unterschätzt oder haben sich nicht angemessen in einer IT-Security-Strategie niedergeschlagen.

Haarsträubende Sicherheitslücken

Viele Applikationen weisen eine geradezu erschreckend schlechte Qualität hinsichtlich Sicherheit auf, gleichgültig ob die Applikationen selbst entwickelt oder von Herstellern als Standardsoftware eingekauft wurden. Das haben viele Penetrationstests, in denen sowohl interne als auch externe Applikationen im Internet geprüft wurden, gezeigt. Typische Sicherheitslücken sind:

• Ein- und Ausgaben werden ungenügend oder gar nicht validiert;

• Nicht authentisierte und unautorisierte Zugriffe sind möglich;

• Anwender übertragen Passwörter unverschlüsselt über unsichere Kommunikationskanäle;

• Sicherheitsfunktionen wie Verschlüsselung werden nicht korrekt mit weltweit anerkannten Algorithmen implementiert.

Hinzu kommt, dass Standardprozeduren wie das Patch-Management häufig nicht stattfinden. Oft fehlt es auch an einem definierten System-Einführungsprozess, der von Anfang an Sicherheitsfragen berücksichtigt. Das aber ist Voraussetzung dafür, dass neue Systeme und Applikationen von Beginn an angemessenen Sicherheitsanforderungen entsprechen.

Immer noch wird das Sicherheitsrisiko durch interne und externe Mitarbeiter vernachlässigt, und das gilt insbesondere für mittelständische Unternehmen. Nur wenige Social-Engineering-Angriffe, bei denen sich Betrüger auf verschiedene Weise das Vertrauen der Nutzer erschleichen, lassen sich durch Technik verhindern. Effektiver sind geschulte Mitarbeiter, die sich des Themas Sicherheit bewusst sind. Dies ist insbesondere vor dem Hintergrund wichtig, dass laut Verfassungsschutz und Bundeskriminalamt die Wirtschaftsspionage deutlich zunimmt.

Werthaltiges Wissen sichern
Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese Informationen sollten deshalb besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen.

Sicherheitskonzept erstellen
Jede Firme sollte ein Sicherheitskonzept haben und die Problemfelder Wirtschafts- und Industriespionage von Beginn an in die Policy mit aufnehmen.

Berater konsultieren
Planen Sie Ihr Sicherheitskonzept inklusive Spionageschutz gegebenfalls mit Hilfe eines Beraters.

Datentypen klassifizieren
Alle Typen von Unternehmensdaten sollten in Sicherheitsklassen eingeteilt werden, zum Beispiel die drei Kategorien öffentlich, intern und vertraulich. An dieser Klassifizierung muss sich dann die Sicherheitsstrategie organisatorisch und technisch ausrichten.

Informationen verschlüsseln
Geschäftskritische Informationen sollten immer verschlüsselt werden. Dies muss abhängig von der Struktur des Unternehmens und seiner Datenhaltung auf verschiedenen Ebenen geschehen: E-Mail, https, VPN, SSL-VPN sowie File- und Disk-Encryption sind mögliche Verschlüsselungsfelder.

Datenlecks abdichten
Data Leakage Protection ist ein neuer Sicherheitstrend. Mit solchen Systemen lassen sich Informationen jeglicher Art analysieren und schützen, was sich indes auch auf personenbezogene Daten erstreckt. <br/><br/> Damit kann das Interesse der Unternehmen an einer umfassenden Kontrolle mit dem Anspruch der betroffenen Personen auf informationelle Selbstbestimmung kollidieren.

IT-Profi beschäftigen
Der Verzicht auf einen IT- bzw. Sicherheitsexperten im Betrieb kann unter dem Strich teuer kommen.

Datenträger schützen
Das Wegsperren von Datenträgern kann zwar Schutz bieten, reicht allein aber nicht aus. Die Verschlüsselung geschäftskritischer Informationen ist unverzichtbar.

Personal sensibilisieren
Mitarbeiter sollten in Sicherheitsschulungen auch auf die Gefahren durch Wirtschafts- und Industriespionage aufmerksam gemacht werden.

Internes Risiko beachten
Leider ist nicht auszuschließen, dass eigene Mitarbeiter aus unterschiedlichen Motiven wichtige Daten für Dritte ausspähen.

Dienstleister überprüfen
Dienstleister, die täglich Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher für Spione. Zum Beispiel IT-Experten getarnt als Reinigungskräfte.

Spione antizipieren
Es ist natürlich nahezu unmöglich, aber machen Sie sich Gedanken darüber, wer besonderes Interesse am geistigen Eigentum Ihres Unternehmens haben könnte.

So kann man sich schützen

Rundumschutz lässt sich nur dann erreichen, wenn Prozesse wie Patch- und Change-Management sowie das Security Incident Handling implementiert und gelebt werden. Dazu müssen entsprechende Abläufe geschaffen sein. Im Folgenden werden die wichtigsten Technologien beschrieben. Sie stellen aber nur einen kleinen Ausschnitt der erhältlichen Angebote dar.

Identity-Management:

Die Grundlage der IT-Sicherheit ist ein zuverlässiges Management der Benutzerberechtigungen. Das leisten Identity-Management-Systeme, die den Prozess für Rechtevergabe unterstützen. Zudem bieten sie Kontrollmöglichkeiten, indem sie automatisch die Berechtigungen eines Mitarbeiters mit der definierten Policy vergleichen.

Authentisierungsmechanismen:

Um einen Beschäftigten zu identifizieren, werden üblicherweise verschiedene Authentisierungs-Techniken eingesetzt. Das am weitesten verbreitete Verfahren stützt sich auf eine Kennung und ein Passwort ab. Natürlich werden auch stärkere Authentisierungsmechanismen angeboten wie zum Beispiel biometrische Erkennung sowie Smartcards zur Authentisierung mit Zertifikaten.

Verschlüsselung und Signatur:

Kryptografische Methoden wie Verschlüsselung und Signaturen sind in vielen Bereichen unverzichtbare Security-Verfahren. Kommunikationskanäle werden zum Beispiel mittels SSL/TLS-Techniken (Secure Sockets Layer beziehungsweise Transport Layer Security) verschlüsselt.

Firewalls auf Netz- und Applikationsebene:

Hierzu zählen die klassischen Systeme, die eine Regelung der Kommunikation auf Netzebene erlauben. Weiter sind mittlerweile Web Application Firewalls (WAF) ausgereift, die eine Absicherung gegen Angriffe auch auf Applikationsebene gewährleisten.

Data Leakage Prevention (DLP):

Tools zur Data Leakage Prevention sollen dem unerlaubten Informationsabfluss einen Riegel vorschieben. Diese Lösungen werden in den Datenstrom eingeklinkt, um ihn auf sensitive Daten zu analysieren.

Virtual Private Networks (VPNs):

Alle Übertragungsstrecken wie Remote-Access- und Fernwartungszugänge lassen sich mit Hilfe von VPNs gegen Ausspähen und Manipulation absichern. Hier kommen wieder SSL/TLS sowie IPsec zum Einsatz.

Network Access Control (NAC):

Mit Hilfe der NAC lässt sich kontrollieren, welche Laptops sich an das interne Netzwerk anmelden. Diese Technologie basiert auf dem 802.1x-Protokoll.

Security Information and Event Management:

Hiermit wird ein Security-Event- und Incident Monitoring (SIEM) bezeichnet, das für den sicheren Betrieb der IT-Landschaft unerlässlich ist. Das Monitoring kann aufgrund der schieren Datenmenge nur noch mit Hilfe von SIEM-Tools bewerkstelligt werden. Zudem bieten die Tools Filterfunktionen und Korrelationsmöglichkeiten verschiedener Events oder Incidents an, die eine automatisierte und priorisierte Generierung von Fehler- und Sicherheitsmeldungen erlauben. Derartige Lösungen sind für den sicheren IT-Betrieb unerlässlich. Sie sorgen vor allem dafür, die große Datenmenge zu filtern. Zudem bieten die Tools Korrelationsmöglichkeiten verschiedener Events oder Incidents. Sie priorisieren Fehler- und Sicherheitsmeldungen.

Fazit

Mittelständische Unternehmen haben häufig Nachholbedarf bezüglich ihrer IT-Sicherheit, insbesondere in den Bereichen Prozesse, Organisation und Applikation. Hier werden die Bedrohungen und Schwachstellen unterschätzt. Der Security-Markt bietet ausgereifte Technologien, die mittelständische Unternehmen mit angemessenem Aufwand einsetzen können. Die Wirksamkeit ist gewährleistet, wenn die zugehörigen Prozesse wie zum Beispiel der System-Einführungsprozess definiert sind und im Unternehmen gelebt werden. Nur dies stellt sicher, dass richtig konfigurierte Sicherheitslösungen ohne zu große Belastung die relevanten Assets von mittelständischen Unternehmen schützen. (jha)