Zehn gute Security-Gepflogenheiten, um Ihr Unternehmen sicher zu halten

Oftmals gibt es in Unternehmen gewisse gleiche Angewohnheiten für eine erfolgreiche Informationssicherheit. Wir zeigen die Best Practices.

Während meiner 18-jährigen Laufbahn als Anbieter von IT-Security-Services habe ich viele Firmen gesehen, bei denen die IT-Sicherheit gut gelebt wird. Die Unternehmen identifizieren und priorisieren Risiken angemessen, schützen wichtige Daten entsprechend und mindern Security-Lücken wo immer es geht. Es gibt aber auch viele, die das nicht tun.

Unternehmen mit guten Security-Gepflogenheiten („sichere Unternehmen“) weisen gewisse gemeinsame Eigenschaften auf. Bei „unsicheren Unternehmen“, die also IT-Sicherheit nicht sehr gut leben, kann man diese Charakterzüge nicht finden.

In diesem Tipp verrate ich die zehn besten Angewohnheiten, die sichere Unternehmen an den Tag legen.

Top Ten der guten Security-Angewohnheiten für sicherere Unternehmensdaten

1. Bei sicheren Unternehmen wird die Informationssicherheit von der Geschäftsleitung unterstützt. Zu dieser Unterstützung gehört auch, dass Ressourcen und Budget für die Informationssicherheit zur Verfügung gestellt werden. Ebenfalls sind klare Aussagen seitens der Geschäftsleitung vorhanden, dass Informationssicherheit für das Unternehmen eine Priorität ist. Da die leitenden Angestellten Prioritäten etablieren und den Ton einer Firma angeben, ist das Absichern eines Unternehmens ohne deren volle Unterstützung schwierig. Da es in der jüngeren Vergangenheit einige populäre Datensicherheitsverletzungen gab, verstehen die meisten leitenden Mitarbeiter die Wichtigkeit der IT-Sicherheit und werden entsprechende Anstrengungen auch unterstützen.

2. Sichere Unternehmen identifizieren und dokumentieren regelmäßig, wie sensibel eintreffende und ausgehende Daten sind. Das gilt sowohl für eigene Daten als auch für die der Kunden. Somit können Unternehmen Zeit, Aufwand und Geld gezielt einsetzen, um sensible Daten bestmöglich zu schützen. Eine Firma kann natürlich etwas schwer schützen, über das sie nicht im Bilde ist. Firmen scheitern sogar an der Absicherung der Daten, wenn sie diesen Punkt nicht beachten.

3. Sichere Unternehmen erstellen und warten ein formelles, dokumentiertes Inventar aller Systeme, die sensible Daten verarbeiten, übertragen und speichern. In Bezug auf das Betriebssystem hinterlegt man, ob es physisch oder virtualisiert ist und welche großen oder wichtigen Applikationen installiert sind. Ohne so ein Inventar kann ein Unternehmen nicht vollständig verstehen, welche Systeme man schützen muss. Ein Inventar dieser Art erlaubt es Unternehmen außerdem, schnell zu entscheiden, ob eine spezielle Sicherheitslücke relevant in Bezug auf die Systeme des Unternehmens ist.

4. Sichere Unternehmen trennen sensible Systeme von nicht-sensiblen mithilfe so genannter Jump-Server, Firewall-Richtlinien, Router-ACLs oder Switch-VLANs. Auf diese Weise minimieren Sie die Angriffsfläche in Bezug auf die sensiblen Systeme des Unternehmens. Zugriffe auf diese werden streng kontrolliert und geloggt.

5. Sichere Unternehmen folgen einem strengen Prozess hinsichtlich der Änderungskontrolle, der auch rigoros durchgesetzt wird. Änderungen, inklusive solcher mit Bezug auf Notfälle, werden jederzeit vollständig dokumentiert. Danach überprüft man diese in aller Form und gibt sie frei. Nicht genehmigte Änderungen können zu Security-Schwachstellen führen, über die sich keiner bewusst ist, bis es zu einer Datensicherheitsverletzung kommt.

6. Sichere Firmen setzen auf einen soliden Prozess bei der Konfiguration. Sensible Systeme werden gehärtet und lediglich mit der notwendigsten Funktionalität ausgestattet. Der Aufbauprozess ist automatisiert oder man verwendet eine gemanagte Konfigurationssoftware wie zum Beispiel Puppet oder Chef. Nach der anfänglichen Inbetriebnahme setzt man auf Software-Management-Tools. 

Diese überprüfen die Konfiguration der Systeme regelmäßig. Mithilfe der Tools stellen die System-Administratoren sicher, dass die Systeme gehärtet bleiben oder dass eine strenge Änderungskontrolle eingesetzt wird. So wartet man die Systemkonfiguration und vermeidet, dass sich langsam aber sich Fehler in die Server einschleichen.

7. Sichere Unternehmen speichern so wenig sensible Informationen wie möglich auf ihren Systemen. Das gilt insbesondere für sensible Informationen, die aus geschäftlichen oder rechtlichen Gründen vorgehalten werden müssen. Hier folgt man einer formellen und dokumentierten Richtlinie für die Datenspeicherung. Wenn die Informationen nicht mehr benötigt werden, sind diese sicher zu löschen. Alle gespeicherten sensiblen Informationen überprüft man regelmäßig und rechtfertigt ihr Vorhalten.

8. Sichere Unternehmen verschlüsseln gespeicherte und übertragene sensible Daten stark. Dafür kommen robuste Schlüssel-Management-Prozeduren und -Prozesse zum Einsatz. Ist alles korrekt implementiert und stimmt das Management, sind stark verschlüsselte Daten so gut wie nicht knackbar. Ein Angreifer kann damit also nichts anfangen.

9. Sichere Organisationen sammeln Daten in den Log-Dateien der sensiblen Systeme und überprüfen diese auch. Man setzt Skripte und automatisierte Prozesse ein, um die Log-Dateien nach gewissen vordefinierten Ereignissen zu durchsuchen. Dazu gehört zum Beispiel, wenn ein neues Konto hinzugefügt wird. Werden solche Ereignisse entdeckt, schickt das System an den entsprechend zuständigen Mitarbeiter eine Warnung. Dieser wirft dann einen genaueren Blick auf das jeweilige Ereignis.

10. Sichere Unternehmen testen Ihre sensiblen Systeme regelmäßig auf Schwachstellen. Dazu verwenden die System-Administratoren Schwachstellen-Scanner oder Penetrationstests. Führt man diese Aufgaben korrekt und regelmäßig durch, bekommt man somit eine Bestätigung, dass die Security-Kontrollen einer Firma in der Realität funktionieren. Testet ein Unternehmen seine Verteidigungsmechanismen dagegen nicht, werden das mit hoher Wahrscheinlichkeit böswillige Hacker übernehmen, die allerdings die Resultate nicht als Bericht zur Verfügung stellen.

Fazit

Die oben beschriebenen zehn guten Security-Gepflogenheiten können ein Unternehmen sicher machen und auch halten. Durch sorgfältige Planung und Design werden diese Eigenschaften möglicherweise zu einem Teil des Unternehmens. Somit muss man vielleicht keine extravagante und teure Technologie kaufen und implementieren.

Über den Autor:
Der unabhängige Security-Consultant Steven Weil trägt die Titel CISSP, CISA, CISM, CRISC und QSA. Er besitzt 18 Jahre Erfahrung im Bereich der IT-Security. Speziell geht es ihm um das Design, die Implementierung und die Bewertung. Er hat seine IT-Security-Services schon in einigen Unternehmen eingebracht. Dazu gehören Regierungsbehörden, Krankenhäuser, Universitäten sowie kleine und große Betriebe.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über IT-Sicherheits-Management

ComputerWeekly.de

Close