Automatisierung ist nicht alles

Warum IT Security mehr als Chefsache ist

26.09.2017 von Sergej Schlotthauer

Das Bewusstsein für IT-Sicherheit steigt - in der Tat ist das Thema in den Chefetagen deutscher Unternehmen angekommen. Diese Entwicklung ist allerdings nicht nur positiv.

Führungskräfte stehen unter Zeitdruck: die EU-Datenschutzgrundverordnung (DSGVO) nähert sich mit großen Schritten - die Zeit zum Handeln wird für Unternehmen langsam aber sicher knapp. Zusätzlich verschärft sich die Bedrohungslage durch Ransomware und organisierte Cyberkriminalität weiter. Die volle Härte dieser Entwicklung trifft allerdings nicht das C-Level, sondern die IT-Fachkräfte, die für die praktische Umsetzung verantwortlich sind. Natürlich ist es wichtig, dass Prinzipien wie Security-by-Design bei grundlegenden, unternehmerischen Entscheidungen eine Rolle spielen, allerdings wird dabei leider allzu häufig die angespannte Lage in den IT-Abteilungen übersehen.

IT-Sicherheit ist mehr als Chefsache.
Foto: Gorodenkoff - shutterstock.com

KI ersetzt keine Security-Fachkräfte

In den meisten Organisationen arbeiten Administratoren und andere IT-Angestellte am Limit. Neueinstellungen sind schwierig, denn die Situation auf dem Arbeitsmarkt ist angespannt - speziell im Bereich IT-Sicherheit: Im Rahmen der Global Security Workforce Study aus dem Jahr 2015 wurden über 19.000 Experten weltweit nach ihrer Situation befragt. Die Ergebnisse belegen, dass 70 Prozent der Unternehmen in der DACH-Region nicht über genügend Personal verfügen, um ihren eigenen Sicherheitsansprüchen gerecht zu werden. Diese Situation hat sich bis heute weiter zugespitzt.

Es ist schwierig auf dem Arbeitsmarkt weitere Sicherheitsexperten zu rekrutieren, deshalb brauchen IT-Abteilungen die richtigen Werkzeuge, um bei gleichem Personaleinsatz mehr leisten zu können. Um die Effizienz von Arbeitsprozessen zu erhöhen, ist eine Automatisierung von Sicherheitsprozessen unausweichlich. Weil aber diese Thematik so kritisch ist, sollte das Vorgehen immer auf Angestellte und Nutzer zugeschnitten sein - die Akteure unterhalb der Führungsebene müssen miteinbezogen werden.

Das Thema Automatisierung ist nicht unproblematisch: In der Vergangenheit haben Administratoren wahrscheinlich schlechte Erfahrungen bei der Implementierung von neuen Tools und Software-Systemen gemacht, die eigentlich vieles einfacher machen sollten. Gerade, wenn Entwicklung und Support eines Vendors nicht richtig auf den deutschen Markt zugeschnitten sind, kommt es schnell zu Komplikationen. Die Folge sind Nutzerbeschwerden, Verzögerungen bei Implementierungen, hohe Schulungskosten und Ähnliches. Allerdings gibt es heutzutage Ansätze, die genau diesen Problemen Rechnung tragen und zudem für Entlastung sorgen.

Ein erster wichtiger Schritt ist die automatische Aufarbeitung von bestehenden Sicherheitsinformationen. Dadurch haben IT-Abteilungen zu jederzeit ein Bild der Lage und ersparen sich lange Recherchearbeit. Weitere Erleichterung schafft dann die intelligente Analyse der Fakten. Dabei betrifft Automatisierung das Erkennen von Anomalien und den Abgleich mit den Normwerten. Dadurch haben die Administratoren den Blick für das Wesentliche und werden nicht mehr mit einem Berg von falschen Alarmen überhäuft.

Bei allen automatisierten Vorgängen darf der Mensch aber nie die Kontrolle verlieren und der Künstlichen Intelligenz (KI) blind vertrauen. KI kann niemals die Erfahrung und Kompetenz einer IT-Fachkraft ersetzen. Automatisierungstools liefern bessere Einsicht in Vorgänge, müssen aber gleichzeitig transparent arbeiten und dürfen keine relevanten Informationen außen vor lassen.

Security Automation 2017

Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG:
"Unternehmen dürfen die Komplexität von Security Automation nicht unterschätzen. Zudem setzen viele Unternehmen zu komplizierte Automatisierungslösungen ein – mit der Folge, dass Nutzer bei der praktischen Anwendung Probleme haben."

Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG:
Alexander Haugk, Senior Consultant / Trainer bei der baramundi Software AG: "Es ist geradezu erschreckend, welch geringen Stellenwert IT-Fachleute dem Thema Patch-Management einräumen. Dadurch erhöht sich die Gefahr erheblich, dass Hacker bekannte Sicherheitslücken für ihre Zwecke ausnutzen können."

Mike Hart, Vice President Central and Eastern Europe bei FireEye:
"Nach unseren Erfahrungswerten für den Raum Europa, Mittlerer Osten und Afrika können sich Angreifer im Durchschnitt 106 Tage lang unbemerkt in einem Netzwerk bewegen."

Mike Hart, Vice President Central and Eastern Europe bei FireEye:
"Ein betroffenes Unternehmen weiß normalerweise nicht, wie lange ein Angreifer bereits Zugang zu seinen IT-Systemen hat. Daher ist Threat Intelligence unverzichtbar, um Attacken möglichst frühzeitig zu erkennen."

Matthias Straub, Director Consulting für Deutschland und Österreich, NTT Security (Germany):
"Das Automatisieren von IT-Sicherheitsprozessen und der Einsatz entsprechender Lösungen kann maßgeblich dazu beitragen, die Reaktion auf Angriffe erheblich zu reduzieren."

Matthias Straub, Director Consulting für Deutschland und Österreich, NTT Security (Germany):
"IoT wird die Angriffsfläche in Unternehmen und öffentlichen Einrichtungen deutlich erhöhen. Wichtig ist es daher, dass die Nutzer von den Anbietern von IoT-Lösungen fordern, dass diese IT-Sicherheit in ihre Lösungen integrieren."

Unternehmen setzen auf Security Automation:
An die 83 Prozent der Unternehmen und Organisationen in Deutschland setzen laut der Studie von IDG Research Security-Automation-Lösungen ein oder wollen dies tun.

Vorteile von IT Security Automation:
Zwei Drittel der Unternehmen erhoffen sich von automatisierten Prozessen im Bereich IT-Sicherheit eine kürzere Reaktionszeit bei Angriffen.

Problem Reaktionszeiten:
Die Automatisierung von IT-Sicherheitsfunktionen kann nach Einschätzung von IT-Fachleuten nachhaltig dazu beitragen, Bedrohungen schneller zu erkennen und auszuschalten.

Noch Luft nach oben:
IT-Abteilungen betrachten Security Automation als wichtiges Hilfsmittel im Kampf gegen Cyber-Bedrohungen. Dennoch bevorzugen viele Unternehmen derzeit noch konventionelle Maßnahmen, etwa eine bessere Schulung der Mitarbeiter.

C-Level & IT-Fachkräfte: Das Beispiel DSGVO

Die DSGVO ist ein gutes Beispiel, um die unterschiedlichen Rahmenbedingungen von Strategie und Ausführung darzustellen. Im Artikel 32 der DSGVO spricht die EU sich für den Einsatz von Verschlüsselungsverfahren aus. IT-Entscheider würden zügig eine Prüfung von Assets veranlassen und ihre Sicherheitsverantwortlichen damit beauftragen, kritische Informationen und persönliche Daten zu verschlüsseln.

In der Praxis betrifft das Thema Kryptografie aber gleich mehrere Arbeitsbereiche: Cloud, mobile Endgeräte, einzelne Daten und Ordner, Festplatten und andere Speicherträger, E-Mails und Netzwerkverkehr stellen alle unterschiedliche Anforderungen an die Verschlüsselung. IT-Administratoren müssen unter Zeitdruck die einzelnen Teile absichern und entsprechende Policies durchsetzen - ohne dabei die Nutzerfreundlichkeit zu beeinträchtigen.

Ohne Unterstützung durch Automatisierungs-Lösungen ist die Aufgabe nicht zu bewältigen. Eine strategische Aufgabe wie die Compliance mit der DSGVO führt ohne passende Tools zu überlasteten Mitarbeitern und frustrierten Nutzern. Gleiches gilt bei der Auditierung: Dort ändern sich die Voraussetzungen ebenfalls. Der Artikel 34 der EU-DSGVO erläutert hier die Rahmenbedingungen. Ein Monitoring in Eigenregie ist allerdings aufwendig und bedeutet ohne technische Unterstützung zusätzlichen Aufwand.

Es ist noch zu früh von Best Practices beim Thema Automatisierung und DSGVO zu sprechen. Allerdings bewähren sich zentrale Verwaltungsansätze, mit der sich Sicherheits-Ereignisse genau analysieren lassen. Im Idealfall kommen die einzelnen Sicherheits-Tools aus einer Hand und folgen einem ineinandergreifenden Prinzip, um mögliche Bedrohungen gleich von mehreren Seiten entgegenzuwirken.

Fazit: Kritisch prüfen, IT-Abteilung einbeziehen

Fast alle Unternehmen erweitern ihre Sicherheitsmaßnahmen und haben gleich mehrere Schutzmechanismen integriert. Die Datenschutzgrundverordnung ist eine von vielen Herausforderungen und IT-Abteilungen haben im Laufe der Zeit immer mehr Werkzeuge in ihr Sicherheitsportfolio aufgenommen. Dieser Schritt ist grundsätzlich zu begrüßen, denn durch den technischen Fortschritt gibt es keine Universalwaffe für IT-Sicherheit.

Trotzdem birgt diese Entwicklung auch Risiken: Durch den Wettbewerb werden Produkte auf den Markt geworfen, die nicht ausgereift sind oder nicht auf die Marktanforderungen passen. Gerade Sicherheits-Tools, die ursprünglich für Vorgaben und Datenschutzrichtlinien im Ausland entwickelt wurden, entsprechen oft nicht den Erwartungen. Konkret sollten Unternehmen bei Sicherheitslösungen immer nach Referenzen des Herstellers fragen: Nur weil ein Produkt Compliance und Sicherheit verspricht, muss das nicht heißen, dass es auch für Ihren Use Case geeignet ist. Nicht zuletzt sollten die Belange der IT-Abteilung - beziehungsweise der Belegschaft - ebenfalls in die Security-Strategiefindung einfließen. (fm)

Das Einmaleins der IT-Security

Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter

Dokumentation
Vollständige und regelmäßige Dokumentation der IT

Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.

Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.

E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.

Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.

Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.

Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.

Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.

Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.

Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.

Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.

Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.

Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien

Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten

Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates

Logfiles
Kontrolle der Logfiles

Datensicherung
Auslagerung der Datensicherung

Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen

Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe

WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste

Firewalls
Absicherung der Internetverbindung durch Firewalls

Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie

Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation

Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme

Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe

Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten

Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme

Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme

Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten