Nehmen wir das Beispiel eines Automobilzulieferers, um die typischen IT-Schwachstellen im Mittelstand zu beschreiben. Solche Betriebe sind heute weltweit tätig und vernetzt, um ihre Niederlassungen und Produktionsstätten intern und mit anderen Lieferanten sowie dem Autohersteller zu verbinden. Auch die Rechenzentren werden redundant auf verschiedenen Kontinenten betrieben. Üblicherweise verantworten Drittanbieter und Outsourcing-Provider Funktionen und Prozesse oder zumindest Teile der IT. So stützt sich das weltweite Kommunikationsnetzwerk des Zulieferers in der Regel auf ein Backbone eines Internet-Providers ab.
Die Anforderungen an die Logistik steigen ständig. Bauteile für die Autobauer müssen nicht mehr nur Just-in-Time, sondern Just-in-Sequence ausgeliefert werden. Um die Abläufe reibungslos zu gewährleisten, unterhält der Zulieferer eine sehr enge Verknüpfung seiner IT mit der des Autoherstellers. Beispielsweise greift der Zulieferer auf Applikationen wie ERP- und Logistiksysteme des Autoherstellers zu und verwaltet Kennungen und Berechtigungen für seine eigenen Mitarbeiter in diesen Systemen.
Typische Risiken
Das skizzierte, fiktive mittelständische Unternehmen ist besonders gefährdet. Die weltweite Vernetzung und die starke Integration der Abläufe und damit der IT-Systeme in die Prozess- und IT-Landschaft der Autohersteller rufen spezielle Risiken hervor. Zudem bestehen die Gefahren für alle Teilnehmer, die in dem Verbund aus Zulieferern, Autobauern und Logistik arbeiten, weil die einzelnen Unternehmen über ein gemeinsames Netzwerk verknüpft sind. Damit setzen sie sich auf folgenden Ebenen verschiedenen Risiken aus.
Organisation und Prozesse bieten Angriffsflächen für Social-Engineering-Angriffe wie Täuschungs- und Phishing-Versuche.
Die Applikationen sind der Gefahr von klassischen Attacken wie Code-Injection oder Denial-of-Service ausgesetzt.
Eingeschleuste Schadprogramme (Malware) wie Viren, Würmern und Trojaner können die Plattformen beeinflussen.
Netze lassen sich aufgrund ungesicherter Kommunikationskanäle abhören.
Wo keine physikalische Sicherheit gewährleistet ist, drohen Diebstahl von Geräten und Informationen wie Patentschriften sowie Lauschangriffe (Abhören von Räumen).
Auch die Schnittstellen zwischen Internet-Provider und Partnerverbund bergen Risiken, zum Beispiel das mögliche Abhören ungesicherter Kommunikationsstrecken. Die Gefahren, die es auf den Ebenen Organisation und Prozesse sowie Anwendungen gibt, wurden in der Vergangenheit oft unterschätzt oder haben sich nicht angemessen in einer IT-Security-Strategie niedergeschlagen.
Viele Applikationen weisen eine geradezu erschreckend schlechte Qualität hinsichtlich Sicherheit auf, gleichgültig ob die Applikationen selbst entwickelt oder von Herstellern als Standardsoftware eingekauft wurden. Das haben viele Penetrationstests, in denen sowohl interne als auch externe Applikationen im Internet geprüft wurden, gezeigt. Typische Sicherheitslücken sind:
Ein- und Ausgaben werden ungenügend oder gar nicht validiert;
unauthentisierte und unautorisierte Zugriffe sind möglich;
Anwender übertragen Passwörter unverschlüsselt über unsichere Kommunikationskanäle;
Sicherheitsfunktionen wie Verschlüsselung werden nicht korrekt mit weltweit anerkannten Algorithmen implementiert.
Hinzu kommt, dass Standardprozeduren wie das Patch-Management häufig nicht stattfinden. Oft fehlt es auch an einem definierten System-Einführungsprozess, der von Anfang an Sicherheitsfragen berücksichtigt. Das aber ist Voraussetzung dafür, dass neue Systeme und Applikationen von Beginn an angemessenen Sicherheitsanforderungen entsprechen.
Immer noch wird das Sicherheitsrisiko durch interne und externe Mitarbeiter vernachlässigt, und das gilt insbesondere für mittelständische Unternehmen. Nur wenige Social-Engineering-Angriffe, bei denen sich Betrüger auf verschiedene Weise das Vertrauen der Nutzer erschleichen, lassen sich durch Technik verhindern. Effektiver sind geschulte Mitarbeiter, die sich des Themas Sicherheit bewusst sind. Dies ist insbesondere vor dem Hintergrund wichtig, dass laut Verfassungsschutz und Bundeskriminalamt die Wirtschaftsspionage deutlich zunimmt.
Diese Schutzmöglichkeiten gibt es
Rundumschutz lässt sich nur dann erreichen, wenn Prozesse wie Patch- und Change-Management sowie das Security-Incident-Handling implementiert und gelebt werden. Dazu müssen entsprechende Abläufe geschaffen sein. Im Folgenden werden die wichtigsten Technologien beschrieben. Sie stellen aber nur einen kleinen Ausschnitt der erhältlichen Angebote dar.
Identity-Management:
Die Grundlage der IT-Sicherheit ist ein zuverlässiges Management der Benutzerberechtigungen. Das leisten Identity-Management-Systeme, die den Prozess für Rechtevergabe unterstützen. Zudem bieten sie Kontrollmöglichkeiten, indem sie automatisch die Berechtigungen eines Mitarbeiters mit der definierten Policy vergleichen.
Authentisierungsmechanismen:
Um einen Beschäftigten zu identifizieren, werden üblicherweise verschiedene Authentisierungs-Techniken eingesetzt. Das am weitesten verbreitete Verfahren stützt sich auf eine Kennung und ein Passwort ab. Natürlich werden auch stärkere Authentisierungsmechanismen angeboten wie zum Beispiel biometrische Erkennung sowie Smartcards zur Authentisierung mit Zertifikaten.
Verschlüsselung und Signatur:
Kryptografische Methoden wie Verschlüsselung und Signaturen sind in vielen Bereichen unverzichtbare Security-Verfahren. Kommunikationskanäle werden zum Beispiel mittels SSL/TLS-Techniken (Secure Sockets Layer beziehungsweise Transport Layer Security) verschlüsselt.
Firewalls auf Netz- und Applikationsebene:
Hierzu zählen die klassischen Systeme, die eine Regelung der Kommunikation auf Netzebene erlauben. Weiter sind mittlerweile Web Application Firewalls (WAF) ausgereift, die eine Absicherung gegen Angriffe auch auf Applikationsebene gewährleisten.
Data Leakage Prevention (DLP):
Tools zur Data Leakage Prevention sollen dem unerlaubten Informationsabfluss einen Riegel vorschieben. Diese Lösungen werden in den Datenstrom eingeklinkt, um ihn auf sensitive Daten zu analysieren.
Virtual Private Networks (VPNs):
Alle Übertragungsstrecken wie Remote-Access- und Fernwartungszugänge lassen sich mit Hilfe von VPNs gegen Ausspähen und Manipulation absichern. Hier kommen wieder SSL/TLS sowie IPsec zum Einsatz.
Network Access Control (NAC):
Mit Hilfe der NAC lässt sich kontrollieren, welche Laptops sich an das interne Netzwerk anmelden. Diese Technologie basiert auf dem 802.1x-Protokoll.
Security Information and Event Management (SIEM):
Hiermit wird ein Security-Event und Incident-Monitoring bezeichnet, das für den sicheren Betrieb der IT-Landschaft unerlässlich ist. Das Monitoring kann aufgrund der schieren Datenmenge nur noch mit Hilfe von SIEM-Tools bewerkstelligt werden. Zudem bieten die Tools Filterfunktionen und Korrelationsmöglichkeiten verschiedener Events oder Incidents an, die eine automatisierte und priorisierte Generierung von Fehler- und Sicherheitsmeldungen erlauben. Derartige Lösungen sind für den sicheren IT-Betrieb unerlässlich. Sie sorgen vor allem dafür, die große Datenmenge zu filtern. Zudem bieten die Tools Korrelationsmöglichkeiten verschiedener Events oder Incidents. Sie priorisieren Fehler- und Sicherheitsmeldungen.
Fazit
Mittelständische Unternehmen haben häufig Nachholbedarf bezüglich ihrer IT-Sicherheit, insbesondere in den Bereichen Prozesse, Organisation und Applikation. Hier werden die Bedrohungen und Schwachstellen unterschätzt. Der Security-Markt bietet ausgereifte Technologien, die mittelständische Unternehmen mit angemessenem Aufwand einsetzen können. Die Wirksamkeit ist gewährleistet, wenn die zugehörigen Prozesse wie zum Beispiel der System-Einführungsprozess definiert sind und im Unternehmen gelebt werden. Nur dies stellt sicher, dass richtig konfigurierte Sicherheitslösungen ohne zu große Belastung die relevanten Assets von mittelständischen Unternehmen schützen. (jha)