Fehler beim Aufbau von IT-Sicherheits-Frameworks vermeiden

1. Die einseitige Wahrnehmung der Bedrohung

Die Diskussionen im Bereich der IT-Sicherheit drehen sich derzeit eher um neue Technologien und um Risiken durch die Aktivitäten von Profi-Hackern. Durch mobile Endnutzergeräte, Cloud Computing und Virtualisierung verwischen die Grenzen zwischen IT-Anwendungen und Unternehmensnetzwerken. Berichte über spektakuläre Cyberangriffe auf bedeutende Institutionen wie Banken, Finanzdienstleister, Gesundheitsunternehmen und Einzelhändler sowie die Meldungen aus großen Medienhäusern haben die Diskussion vor allem auf externe Bedrohungen gelenkt.

Der Schutz der IT vor externen Bedrohungen ist inzwischen für alle Branchen und Unternehmen unverzichtbar. Dennoch lässt sich mit dieser einseitigen, nach außen gerichteten Sichtweise kein vollständiges Bild der Bedrohungen zeichnen, denen Unternehmen ausgesetzt sind. Dahinter steckt ein simpler Mechanismus: Der Mensch neigt dazu, Sicherheitsprobleme außerhalb der eigenen Sphäre zu verorten.

Infolgedessen werden immer höhere Mauern errichtet, die das Unternehmensnetzwerk von außen schützen sollen, während der Zugang innerhalb des Netzwerks häufig übersehen wird. Bedrohungen von Insidern, die sich innerhalb eines Netzwerks oftmals frei bewegen, werden vollständig ignoriert, und viele Benutzer haben Zugang zu umfangreichen Wissens- und Datenbeständen. Benutzer mit umfassenden Zugangsberechtigungen könnten sich Zugriff auf Datenbanken und Fileserver verschaffen, die Informationen absichtlich oder unbeabsichtigt missbrauchen, offenlegen, vernichten oder modifizieren.

Zusätzlich zum Schutz vor externen Bedrohungen ist es daher wichtig, dass zu den IT-Sicherheitskonzepten auch die Überwachung und kontrollierte Zuweisung von Zugriffsrechten nach dem Prinzip der geringstmöglichen Rechte gehören. Damit wird sichergestellt, dass nur die wirklich notwendigen Berechtigungen erteilt werden. Mit der Einschränkung von Benutzerrechten auf das unbedingt Notwendige lassen sich Informationen, Anwendungen und Systeme im Unternehmen effektiv vor Insider-Angriffen und Compliance-Verstößen schützen.

2. Sicherheitsmaßnahmen, die Arbeitsprozesse verlangsamen

Sicherheitsinitiativen sind zumeist gut gemeint, scheitern aber nach wie vor an einer entscheidenden Hürde: Sie sind ausschließlich auf die Optimierung der Sicherheit ausgerichtet. Sicherheit ist jedoch bereits als Begriff zu abstrakt, als dass sie dem Endnutzer einen erkennbaren Mehrwert bieten könnte. Zwischenfälle in Verbindung mit der IT-Sicherheit, insbesondere innerhalb des Netzwerks, werden selten erkannt und bleiben daher für die meisten Mitarbeiter nicht fassbar.

Hinzu kommt, dass Eingriffe, die nur zur Optimierung der Sicherheit dienen, die Arbeitsprozesse der Benutzer im Unternehmen beeinträchtigen können. Dies führt zu Abweichungen von neuen Richtlinien und somit letztlich zum genauen Gegenteil der gewünschten Ergebnisse. Das grundlegende Problem ist, dass Sicherheit und Effizienz normalerweise miteinander in Konflikt stehen, wobei Multifaktor-Authentifizierung (MFA) als Paradebeispiel gilt.

Es bleibt die ernüchternde Erkenntnis, dass IT-Sicherheitsmaßnahmen auch für die Benutzer konkrete Vorteile bieten müssen. Ist dies nicht der Fall, stößt der Eingriff wahrscheinlich nicht auf die Akzeptanz der Benutzer. Daher ist es ratsam, das Augenmerk zu verlagern. Es geht nicht mehr in erster Linie darum, wie die Sicherheit erhöht wird, sondern wie bestehende Sicherheitsprozesse vereinfacht werden können.

3. Die zentralisierte Ausrichtung der Sicherheitskompetenz

Durch die steigende Nachfrage nach IT-Sicherheitslösungen sind eine Reihe neuer Funktionen in Unternehmen entstanden: Datenschutzspezialisten, Auditoren, IT-Sicherheitsmanager und Informationssicherheitsmanager, die Initiativen entwickeln und Überwachungs-Tools implementieren, um eine Grundlage für mehr IT-Sicherheit und Datenschutz zu schaffen. Dies ist aus Unternehmenssicht ein bedeutender Schritt. Doch viele geben sich immer noch der Illusion hin, dass damit ihre Sicherheitsprobleme vollständig gelöst sind. Schlimmer noch: Die Sicherheitskompetenz innerhalb des Unternehmens ist oft komplett in bestimmten Funktionen gebündelt und auf diese beschränkt. Das Problem daran ist, dass die Kompetenz nicht expandieren kann. Einzelne Aspekte davon sollten dezentral innerhalb des Unternehmens, zumindest auf der oberen Managementebene, abgedeckt werden. Es muss bestimmt werden, wann Informationen, Wissen und Daten als sensibel einzustufen sind und welchen Personen der Zugriff darauf gewährt werden sollte. Diese Feststellung kann nur von den Dateneigentümern in den verschiedenen Abteilungen eines Unternehmens getroffen werden.

Ein ordentliches IT-Sicherheits-Framework ist Pflicht

Beim Aufbau eines Sicherheits-Frameworks ist es von entscheidender Bedeutung, dass die IT-Sicherheit von innen nach außen angewendet wird. Das Vorhandensein von geschützten Bereichen innerhalb eines Netzwerks muss ebenfalls sichergestellt werden. Diese können nur mithilfe unterschiedlicher Vertraulichkeitsstufen geschaffen werden. Daten, Informationen und Wissen werden in verschiedenen Bereichen des Netzwerks gespeichert. Am Anfang der IT-Sicherheit stehen demnach die Strukturierung und der Schutz von Inhalten vor unbefugtem Benutzerzugriff.

Die Einrichtung von geschützten Bereichen innerhalb eines Netzwerks, wie eine demilitarisierte Zone (DMZ) oder gar eine PCI-Zone (ein Bereich, der den Anforderungen nach PCI DSS genügt), kann sich als ausgesprochen komplex im Rahmen der allgemeinen IT-Sicherheit erweisen. Selbst für spezialisierte Administratoren ist es schwierig, das Netzwerk von innen zu schützen. Das Analysieren, Dokumentieren, Überwachen und Ändern von Benutzerberechtigungen ist zeitaufwändig und kann beträchtliche IT-Sicherheitsprobleme nach sich ziehen.

Bei der Verwaltung von Active-Directory-Umgebungen sollten Administratoren Gruppenstrukturen im Auge behalten und Ressourcen-Zugriffsrechte gemäß den Benutzerrollen zuweisen. Da diese Zugriffsrechte in verschiedenen Bereichen verwaltet werden, kann der aktuelle Berechtigungsstatus nicht effizient und zentral ermittelt werden. Geschachtelte Gruppenstrukturen können nur durch die Konsolidierung mehrerer Quellen aufgedeckt werden.

„Beim Aufbau eines Sicherheits-Frameworks ist es von entscheidender Bedeutung, dass die IT-Sicherheit von innen nach außen angewendet wird.“

Sascha Giese, SolarWinds

Wenn Technikexperten diese Aspekte des IT-Sicherheits-Frameworks berücksichtigen, indem sie sicherheitsrelevante Prozesse mit zentralisierten und automatisierten Management-Tools für Zugriffsrechte vereinfachen und automatisieren, können sie Fallstricke vermeiden, das Risiko verringern, dass wertvolle Vermögenswerte Insider-Bedrohungen ausgesetzt werden, und letztendlich zu reibungslosen Betriebsabläufen beitragen. Darüber hinaus geben sie ihren (ranghöheren) Kollegen die Möglichkeit, eine integrierte Denkweise in Bezug auf Cybersicherheit und IT-unterstützten Erfolg zu entwickeln, sowie das Bewusstsein der Nutzer beim Umgang mit vertraulichen Daten zu erhöhen.

Über den Autor:
Sascha Giese ist Head Geek bei SolarWinds. Er hat über 10 Jahre technische Erfahrung im IT-Bereich und war davon vier Jahre als Senior Pre-Sales Engineer bei SolarWinds tätig. Als Senior Pre-Sales Engineer war er für Produktschulungen mit SolarWinds-Vertriebspartnern und ‑Kunden verantwortlich, nahm regelmäßig am jährlichen SolarWinds Partner Summit EMEA teil und war für das professionelle Zertifizierungsprogramm des Unternehmens, SolarWinds Certified Professional, aktiv. Er verfügt über zahlreiche technische Qualifikationen als Cisco Certified Network Associate (CCNA), Cisco Certified Design Associate (CCDA), Microsoft Certified Solutions Associate (MCSA), VMware Technical Sales Professional (VTSP), AWS Certified Cloud Practitioner sowie Network Performance Monitor und Server & Application Monitor SolarWinds Certified Professional (SCP).