Wie man IT-Sicherheits-Projekte richtig priorisiert

Die aktuelle Lage in der IT-Sicherheit hat sich trotz erheblicher Anstrengungen von Behörden und Unternehmen in den letzten Jahren nicht beruhigt. Cyber-Attacken wurden im selben Maße professionalisiert wie die Abwehrsysteme der Angegriffenen, und oft werden bekannte Sicherheitslücken attackiert. Immer wieder werden aber auch Schwachstellen offenbar, die bisher übersehen wurden. Die Sicherheitsmaßnahmen zum Schutz der IT-Systeme halten den zunehmend hoch entwickelten Angriffstechniken nicht immer stand.
Auch Künstliche Intelligenz (KI) wird mittlerweile für Hacking-Angriffe auf Geräte, Anwendungen und Netzwerke genutzt und erhöht damit den Druck auf IT-Sicherheitsverantwortliche immer mehr. Anzunehmen ist daher, dass die Komplexität und Gefährlichkeit der Angriffe weiter massiv ansteigen wird. Der Schutzbedarf für IT-Systeme und damit der Aufwand von Unternehmen für eine tragfähige Sicherheitsstrategie wächst daher. Besonders Angriffe auf industrielle Produktionsanlagen nahmen in den letzten Jahren erheblich zu, wodurch betriebs- und auch volkswirtschaftliche Risiken wachsen.

Gefährdungslage ist kritischer denn je

Der Umstieg auf Multi-Cloud-Infrastrukturen und -Dienste, die Einführung von IoT-Netzwerken und eine hochmobile Belegschaft stellen zusätzliche Herausforderungen für Unternehmen dar. Diese Entwicklungen erschweren die ohnehin anspruchsvolle Aufgabe, vor der IT-Sicherheitsverantwortliche stehen. Während sie im Idealfall gegen alles gewappnet sein müssen, braucht ein Angreifer nur einmal die richtige Strategie, um Erfolg zu haben.

Die aktuelle Gefährdungslage in Deutschland, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig aus den Ergebnissen von Umfragen zur Cybersicherheit ermittelt, zeigt allerdings weiterhin zahlreiche schwerwiegende Sicherheitslücken. IT-Systeme in Deutschland sind damit immer noch großenteils leicht verwundbar. Dabei betrafen die schwerwiegendsten Angriffe der letzten Jahre sogar Schwachstellen, die seit langem bekannt und für die bereits Patches verfügbar waren. Dies bedeutet, dass das Verhindern von Sicherheitsvorfällen im Bewusstsein der Verantwortlichen eine weit höhere Signifikanz erhalten sollte. Eine gute Cyber-Hygiene ist der Schlüssel zur Gewährleistung der Sicherheit Ihres Unternehmensnetzwerks.

Leider ist es so, dass einige Software-Hersteller durch die hohe Anzahl von identifizierten Schwachstellen in den Produkten dazu übergehen, nur noch selektiv Sicherheitsupdates entwickeln. Für die nach ihrer Einschätzung weniger gravierenden Sicherheitslücken werden keine Updates mehr ausgeliefert. Dies ist der Tatsache geschuldet, dass für die Entwicklung teilweise einfach die Kapazitäten fehlen. Dadurch wird die Gesamtsituation allerdings noch schwieriger für die Verantwortlichen. Eine Priorisierung der IT-Sicherheitsprojekte ist angesichts der enormen Bedrohung dringend geboten.

Was kann man tun?

Die Landschaft der Informationstechnologie ist sehr komplex und verändert sich ständig. Oft werden Aspekte der IT-Sicherheit bei der Implementierung neuer Systeme nicht ausreichend berücksichtigt, und zwar auch dann nicht, wenn ein Ausfall der betreffenden Systeme zu weitreichenden wirtschaftlichen Folgen führen kann. Im schlimmsten Fall können ganze Rechenzentren tagelang lahmgelegt werden, sogar das Ende des Unternehmens verursachen. Doch statt im Nachhinein Schadensbegrenzung zu betreiben, sollte der Fokus besser auf den Ausbau des IT-Sicherheitsmanagements im Unternehmen gerichtet werden. Das Verhindern eines Angriffs ist im Bereich IT-Sicherheit in jedem Fall wichtiger als eine kurzfristige wirtschaftliche Ersparnis. Ein Hacking-Angriff beeinflusst die Verfügbarkeit und die Integrität des gesamten IT-Systems des Unternehmens und hat nicht selten Auswirkungen auf die Reputation.

Gerade wenn Zeit und Geld Ihre Kapazitäten begrenzen, ist es wichtig, diejenigen Maßnahmen festzulegen, die für einen wirkungsvollen Schutz Ihrer Systeme unabdingbar sind. Angesichts der außergewöhnlichen Anzahl von Variablen und der Dynamik der IT-Landschaft ist es allerdings für Sicherheitspersonal schwierig, optimale Entscheidungen zu treffen. Dieses Problem wird durch die Tatsache verschärft, dass Priorisierung im Unternehmen meist wirtschaftlichen und marketingspezifischen Aspekten und weniger sicherheitsorientierten Belangen folgt.

Typische Angriffsszenarien

Erfolgreiche Angriffe wiederholen sich mit hoher Wahrscheinlichkeit. Das bedeutet, dass Sie bei jedem erfolgten Angriff die Hackingmethode überprüfen und feststellen müssen, ob in der Umgebung dasselbe Risiko besteht. Wenn ja, sorgen Sie dafür, diese Schwachstelle zu beseitigen oder zumindest zu kontrollieren. Angriffe beginnen oft damit, Sicherheitslücken in schlechter geschützten Systemen zu finden oder Benutzer dazu zu verleiten, etwas zu tun, das eine Lücke öffnet. Der Angreifer versucht möglicherweise, in unkritische Systeme einzudringen, da diese normalerweise weniger geschützt sind. Möglicherweise gibt es dort keine wichtigen Daten zu stehlen, aber oft kann man so zu kritischeren Systemen gelangen und erhält schließlich Zugriff auf wertvolle Ressourcen.

Möglichkeiten der Priorisierung

Sicherheitsverantwortliche in Organisationen werden oft mit Marketingnachrichten bombardiert, die die Vorzüge eines bestimmten Produkts bewerben, erhalten jedoch wenig Unterstützung bei der für ihr Unternehmen sinnvollen Auswahl. Darüber hinaus sind die Priorisierungsschwerpunkte in der Branche nicht einheitlich, sodass manchmal widersprüchliche Informationen verbreitet werden. Um die eigenen Sicherheitslücken zu identifizieren, sollten Sie im Vorfeld der Entscheidung eine Risikobewertung vornehmen, um im Anschluss daran die Maßnahmen zu priorisieren.

Dabei geht man so vor, dass man ermittelt, welche Komponenten mit größter Wahrscheinlichkeit im Fokus der Bedrohungen sind. Wenn Sie wissen, welche Arten von Schwachstellen am häufigsten von Angreifern attackiert werden, können Sie feststellen, welche der Komponenten priorisiertes Patchmanagement erfordern. Es gibt allerdings mittlerweile Angriffsstrategien, die mit dieser Methode nicht erfasst werden. Daher benötigen Sie eine umfassende Risikoanalyse Ihrer unternehmensinternen Assets. Auf dieser Analyse aufbauend können Sie gezielt Maßnahmen festlegen, die die Sicherheit Ihrer Systeme und Ihrer IT-Infrastruktur insgesamt erhöhen.

Der einfachste Weg, um eine wirksame Priorisierungsstrategie umzusetzen, besteht darin, ein Grundgerüst zu entwickeln, das nach Bedarf befolgt und angepasst werden kann. Sie können keine Prioritäten setzen, wenn Sie nicht verstehen, was Sie anfällig macht. Kontrollrisiken, Systemrisiken, Integrationsrisiken – all diese Kategorien müssen berücksichtigt werden. Effektive IT-Teams erstellen regelmäßig IT-Sicherheitsreports und werten diese gezielt aus, um auf Probleme sofort reagieren zu können. Die Behebung der so identifizierten Schwachstellen sollte bei allen Maßnahmen zur IT-Sicherheit oberste Priorität haben.

Risikoeinschätzung durchführen

Zunächst sollten alle relevanten Informationen gesammelt werden. Beginnen Sie mit einer vollständigen Bestandsaufnahme Ihrer physischen Ressourcen, einschließlich Netzwerkinfrastruktur, Datenbanksysteme, Desktops/Laptops, IoT (Internet-of-Things)-Devices und andere angeschlossene Geräte. Dies muss auch bereitgestellte Sicherheitslösungen einschließen, z. B. Firewalls, Angriffserkennungssysteme (IDS) und Netzwerküberwachungstools. Danach erfassen Sie sämtliche Schnittstellen und Zugangsmöglichkeiten, Anwender, Dienstleister mit Zugriff auf die IT-Systeme usw., also alles, was einen Einfluss auf Ihr System hat.

Als nächstes katalogisieren Sie alle Anwendungen und Dienste, die in Ihrem Netzwerk ausgeführt werden. Dazu gehört auch die „Schatten-IT“, also Instanzen, die im IT-Service-Management Ihrer Organisation nicht direkt eingebunden sind. Hierzu gehören etwa Social Media-Anwendungen, private Mobilgeräte oder Geräte, die von Fachabteilungen direkt gekauft wurden. Sie sollten auch in Erfahrung bringen, welche Informationen über die Netzwerkkomponenten, Personen und deren Rollen, Anwendungen und Dienste öffentlich, etwa im Internet, zur Verfügung stehen. Die meisten dieser Informationen können mithilfe verschiedener Tools automatisch erfasst werden, z. B. mit einem Security Information und Event Management-System (SIEM), das Ihnen eine Echtzeitanalyse der Sicherheitsmeldungen in Ihrem Netzwerk bietet.

Vorbereitung der Risikobewertung

Vor der Erstellung der Impaktanalyse ist zuerst eine Reihe von Zwischenschritten notwendig. Erst dann können Sie mit der Aktualisierung Ihres vorhandenen Risikomanagements und der Entwicklung Ihrer Sicherheitsstrategie beginnen. Zunächst sollten die kurzfristigen und langfristigen Geschäftsziele identifiziert werden, die sich auf die IT und die Informationssicherheit auswirken können. Mit diesen Zielen setzen Sie Randbedingungen fest, an denen sich die weitere Ausrichtung der IT-Sicherheitsziele orientiert.

Im nächsten Schritt sollte der Stand der IT-Sicherheitsverfahren und -maßnahmen überprüft werden. Vorhandene IT-Sicherheitsleitlinien, Standards und Richtlinien sollten auf Aktualität kontrolliert und Reports geprüft werden. Danach folgt eine Analyse aller Assets (Server, IT-Systeme, Softwareanwendungen, Kundendaten etc.) auf mögliche Risiken, um Schwachstellen und Sicherheitslücken zu identifizieren. Sicherheitseinrichtungen, Fernzugriffssysteme, Triple-A-Systeme sollten untersucht werden, um sie mit den Netzwerk- und Geschäftsanforderungen zu vergleichen. Auch eine Bewertung des physischen Schutzes von Computer- und Netzwerkkomponenten ist notwendig.

Ein oft unterschätzter Faktor ist das Sicherheitsbewusstsein und Engagement der Mitarbeiter. Mit regelmäßigen Awareness-Schulungen lassen sich eine Vielzahl an möglichen Risiken durch Social Hacking, unsichere Passwörter oder Spam-Mails begrenzen. Daher sollte die Umsetzung des Sicherheitskonzepts überprüft und die Planung weiterer Schulungen vorgenommen werden. Auch die Überprüfung von Sicherheitsvereinbarungen mit Anbietern, Auftragnehmern sowie Dienstleistern und Cloud-Anbietern ist ein wichtiger Punkt.

Bedrohungen und Folgeschäden bewerten

Die Impaktanalyse enthält eine Zusammenfassung der Auswirkungen, die eine Kompromittierung kritischer Systeme oder ein Verlust der Datenbestände des Unternehmens verursachen würden. Um diese Informationen zusammenzustellen, benötigen Sie eine Risikoabschätzung, das heißt, eine systematische Erfassung und Bewertung der Bedrohungen und der möglichen Schäden durch Verlust, Veränderung oder Ausfall von Systemen und Geräten.

Haben Sie alle potenziellen Risiken identifiziert, dann werden die Wahrscheinlichkeit und die Auswirkungen dieser Risiken bewertet. Risiken, die in den Bereich mit der höchsten Wahrscheinlichkeit und der größtmöglichen Auswirkung fallen, sollten ganz oben auf der Prioritätenliste stehen. Diese Risiken können sowohl qualitativ als auch quantitativ definiert werden. Häufig entscheiden sich Unternehmen für die Erstellung einer Rangfolge-Matrix auf Grundlage eines numerischen Bewertungsmodells.

Umsetzung des Risikomanagements

Wenn alle Risiken identifiziert und bewertet wurden, haben Sie eine umfassende Priorisierung aller notwendigen Maßnahmen und Prozesse vorliegen. Nun besteht der nächste Schritt in der Umsetzung der priorisierten Projekte, um vorhandene Schwachstellen zu beheben und vor zukünftigen Risiken zu schützen. Dies kann häufigere Schulungen und verbesserte IT-Hygiene, Schwachstellenscans, Penetrationstests usw. umfassen. In jedem Fall ist Ihr Unternehmen nun besser für alle Sicherheitsvorfälle gerüstet, auch wenn der hundertprozentige Schutz tatsächlich nicht möglich ist.

Whitepaper zur ISO 9001:
Schritt für Schritt zur Zertifizierung

*“ zeigt erforderliche Felder an