Sicherheit, die funktioniert: Drei Grundsätze für Enterprise Security

Inventarisierung der Betriebsmittel, Konfigurations-Management und Änderungs-Kontrolle sind die drei Security-Grundsätze für jedes Unternehmen.

Zu jeder Stunde an jedem Tag werden Unternehmen kompromittiert. Berichte über Datenlecks schaffen es immer wieder in die Schlagzeilen und hier werden die Fehler der Unternehmen bei der IT-Sicherheit dann ausgeschlachtet. Diese Beiträge fokussieren sich darauf, was Unternehmen falsch machen. Nachdem man einige der Artikel gelesen hat, könnte man leicht die Hoffnung verlieren. Egal, was Firmen auch unternehmen und wie viel Geld sie investieren, scheint es schwer zu sein, sensible Daten zu schützen.

Die gute Nachricht ist aber, dass man die Hoffnung nicht aufzugeben braucht. Es gibt einige Taktiken, die man zu Rate ziehen kann, um das Geschäft zu schützen und zu verteidigen. Tatsächlich implementieren viele Organisationen effiziente Security-Technologien und -Richtlinien, die funktionieren - darüber hören und lesen wir nur nie.

Das ist der Ausschlag für diesen Beitrag. Ich will die Aufmerksamkeit für funktionierende Security-Maßnahmen wecken. Ich stelle spezifische Techniken vor, mit denen man die Informations-Sicherheit in Unternehmen verbessern kann. Durch angemessene Implementierung reduzieren Sie das allgemeine Risiko, als Opfer zu enden. Nachfolgend finden Sie einige Security-Konzepte, die ich in künftigen Artikeln aufgreifen möchte:

  • Krypto-freie Zonen
  • Applikations-Isolation
  • Effiziente Security-Metriken
  • Whitelisting für Applikationen skalieren

Diese Konzepte haben vielleicht wenig gemeinsam. Dennoch sind sie sehr wertvoll und werden zu wenig von Unternehmen genutzt. Mit diesem Artikel will ich diesen Umstand ändern.

Die Grundlagen der Security benoten

Sehen wir uns in diesem Beitrag an, wie man erfolgreich skalierbare Security-Systeme implementiert. Sicherheits-Experten predigen schon lange, dass es kein Universalkonzept für Informations-Sicherheit gibt. Dennoch gehen Unternehmen in Bezug auf effiziente Security immer den Weg des geringsten Widerstandes. Als man zum Beispiel die Next-Generation Firewall vorstellte, sind Firmen schnell auf diesen Zug aufgesprungen. Sie dachten, dass dies ein Schutz gegen alle APTs (Advanced Persistent Threat) ist. Natürlich sind Next-Generation Firewalls eine gute zusätzliche Schutzschicht. Allerdings müssen sie auch angemessen designend und konfiguriert sein. Dem Branchen-Hype zuwider, können sie auch nicht alle Angriffe abwehren.

In der Realität gibt es keine schnelle Lösung beim Thema Security. IT-Sicherheit muss auf einer soliden Basis stehen. Viele Unternehmen kämpfen mit schädlichen Einbrüchen, weil sie den angemessenen Kern für effiziente Security nicht aufgebaut haben. Eine Firma kann Millionen an Euro für IT-Sicherheit ausgeben. Fehlen Schlüsseltechnologien am richtigen Platz, ist das allerdings Geldverschwendung. Bevor man immer mehr Geld für Security ausgibt, müssen Unternehmen zunächst ihre Sicehrheits-Haltung bewerten.

Nun kommt der Moment der Wahrheit. Nehmen Sie Stift und Zettel zur Hand und benoten Sie die Firma in folgenden drei Bereichen:

  • Inventarisierung der Betriebsmittel
  • Konfigurations-Management
  • Änderungskontrolle

Sind die Bereiche voll in Ihrem Unternehmen implementiert, geben Sie sich eine 1. Ist das nur teilweise der Fall, dann eine 2- oder eine 3+. Sollte das ganze ungenügend sein, eine 5. Wenn Sie in einem Bereich weniger als eine 2 vergeben können, halten Sie inne.

Diese Bereiche sollten auf der Prioritätenliste des Security-Plans ganz oben stehen. Warum sind diese drei Bereiche für IT-Sicherheit in Organisationen so entscheidend? Weiß ein Unternehmen nicht, was sich im eigenen Netzwerk befindet, wie dieses konfiguriert ist und wann und warum Änderungen passieren, wird es früher oder später das Nachsehen haben. Wenn Sie sich die großen Einbrüche ansehen, dann stellen Sie fest, dass es immer in einem dieser Bereiche grundlegend gehapert hat.

Gibt es keine solide Kontrolle oder umfassendes Management bei den Betriebsmitteln und der Umstand ist nicht auf dem Security-Plan aufgeführt, sollten Sie noch einmal nachdenken, ob die richtigen Bereiche im Fokus stehen. Drei Fragen werden Ihnen helfen herauszufinden, ob die Security auf Augenhöhe mit dem Business ist. Bevor Sie einen Euro von Ihrem Budget ausgeben oder eine Stunde Ihrer Zeit für Security investieren, sollten Sie immer nachfolgende Fragen zuerst beantworten:

Können Sie diese Fragen nicht beantworten, dann liegt kein angemessener Fokus auf der IT-Sicherheit in diesen Bereichen. Diese Fragen zeigen auch sehr schnell auf, ob der Security-Plan für das entsprechende Unternehmen angemessen ist.

Hier ist eine kleine Hausaufgabe: Nehmen Sie Ihren momentanen Security-Plan und die Projekte in die Hand, um die Sicherheit zu verbessern. Tragen Sie die Daten in eine Tabellenkalkulation mit Blick auf die oben gestellten Fragen ein. Können Sie die Fragen für jeden Punkt auf Ihrer Agenda beantworten? Ist das der Fall, Herzlichen Glückwunsch! Sie verwalten die Security-Belange wie die Unternehmen, die sich erfolgreich wehren. Können Sie die Fragen allerdings nicht beantworten, sollten die Alarmglocken schrillen. Ein Einbruch könnte bereits im Gange sein.

Über den Autor:

Eric Cole, Ph.D., ist ein anerkannter Security-Experte mit mehr als 20 Jahren praktischer Erfahrung. Dr. Cole ist Gründer und Geschäftsführer von Secure Anchor Consulting. Dort bietet er Beratungs-Services im Bereich Cybersecurity und Gutachten an. Außerdem ist er in der Erforschung und der Entwicklung von modernen Security-Systemen tätig. Dr. Cole war der einzige Neuzugang in der InfoSec European Hall of Fame im Jahre 2014. Er arbeitet aktiv mit dem SANS Technology Institute (STI) zusammen und ist ein SANS Senior Fellow.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de

Close