Präventivschläge?
Foto: Uli Ries
"Wir müssen in unserem Denken davon wegkommen, defensiv zu spielen und bedeutungslosen Einzelereignissen nachzugehen", forderte Art Coviello, Executive Chairman von RSA, auf der hauseigenen Security Conference Ende Februar. Weiter führte er aus: "Wir brauchen die Fähigkeit, riesige Datenbestände blitzschnell zu sichten und vorausschauende, präventive Gegenmaßnahmen zu ergreifen, um die allenfalls schwachen Signale zu erkennen, die von hochentwickelten, verborgenen Attacken ausgehen." Coviellos Unternehmen hatte vor gut zwei Jahren selbst mit einer groß angelegten Attacke zu kämpfen, bei der Informationen über das Zweifaktoren-Authentifizierungssystem SecurID abhanden gekommen waren. Um solche Vorfälle künftig zu vermeiden, empfehlen die SBIC-Experten einen informationsbasierten Sicherheitsansatz, die sogenannte "Intelligence-driven Security"-Strategie:
- Wissen weitergeben
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern. - Prozesse beschreiben, Abläufe automatisieren
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird – ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden. - Topleute finden, Vorgesetzte überzeugen
Wichtig sind zudem die Analyse bekannter Angriffsvektoren und das Know-How innerhalb der Sicherheitsteams in Bezug auf die Auswertung der Datein. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen - wichtig vor allem für die Kommunikation mit den Vorgesetzten. - Quellen aufbauen
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente sollten gründlich ausgewertet werden. - Strategische Vermögenswerte erfassen, Risikobewertung vornehmen
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? - IT-Systeme überwachen
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzer- und Netzverhalten voneinander unterscheiden zu können.
-
Zunächst sollten Unternehmen ihre strategischen Vermögenswerte erfassen und eine Risikoabschätzung vornehmen. Welche Daten und Informationen sind besonders schützenswert? Welche Schäden drohen, wenn diese Daten in die falschen Hände geraten oder anderweitig verloren gehen? Soweit einigermaßen in Zahlen auszudrücken, sollten sie aufgeschrieben werden;
-
Als nächstes sind interne und externe Quellen auszumachen, aus denen Daten über Cyber-Risiken bezogen und ausgewertet werden könnten. Hier stehen beispielsweise Regierungsbehörden oder öffentlich zugängliche Datenbanken aus Industrie und Handel zur Verfügung. Aber auch interne Dokumente wie Signaturdatenbanken sollten gründlich ausgewertet werden;
-
Wichtig sind zudem die gründliche Analyse bekannter Angriffsvektoren und das Know-How innerhalb der eigenen Sicherheitsteams in Bezug auf die Auswertung der Informationen. Allein technisches Wissen reicht dabei nicht aus, auch die strategisch-analytische Einordnung darf nicht zu kurz kommen. Das erleichtert vor allem die Kommunikation der Sicherheitsansätze in Richtung der Vorgesetzten, die die finanziellen und organisatorischen Mittel zur Verfügung stellen müssen;
-
Das Zusammenführen, Analysieren und Verwalten der gesammelten Informationen sollte weitestgehend automatisiert erfolgen. Hierzu sind Verfahren und Richtlinien unabdingbar, wie beispielsweise im Falle eines Angriffs vorgegangen wird - ein Katalog mit "Erste-Hilfe-Maßnahmen" kann niemals früh genug erstellt werden;
-
Die konsequente Überwachung der eigenen IT-Umgebung ist ein Muss, um normales und anormales Nutzerverhalten voneinander unterscheiden zu können;
-
Standardisierte Verfahren, um Informationen über akute Bedrohungen sowie die Merkmale bekannter Angriffe auch anderen Unternehmen und Organisationen zur Verfügung zu stellen, helfen bei der Bekämpfung von Cybergangstern.