Allumfassende IT-Sicherheit ist unmöglich – es ist aber trotzdem sinnvoll, immer auf dem Stand der Technik zu bleiben!

Viele leitende Mitarbeiter von Unternehmen, mit denen ich spreche, erwarten sich tatsächlich auch heute noch mit dem Kauf eines einzigen Produktes, dass sie eine “Kugelsichere Lösung“ erhalten, welche all ihre Netzwerksicherheitsprobleme behebt. Es gibt (neben einigen schwarzen Schafen) viele gute Hersteller, die für passables Geld anständige Sicherheitslösungen anbieten, aber es ist unmöglich, dieser obigen Erwartungshaltung auch nur annähernd gerecht zu werden. Das Geheimnis der wirklich gut geschützten Netzwerke ist immer die Orchestrierung diverser Werkzeuge, welche sich teilweise sogar gegenseitig überwachen und auch gegenseitig kontrollieren.

Natürlich geht es in der Debatte auch um den ROI, der aber ist in der Regel schwierig darzustellen - betriebswirtschaftlich gesehen ist eine Sicherheitslösung auf den ersten Blick möglicherweise sogar pure Geldverschwendung (und das wird leider in vielen Unternehmen nach wie vor so gesehen!), bereits der zweite Blick offenbart dann doch häufig die dringende Notwendigkeit, proaktiv tätig zu werden, bevor etwas passiert. Betriebswirtschaftlich gesehen ist es auch common sense, bereits beim Bau eines Hauses bzw. Fabrik sowohl in passiven als auch aktiven Einbruchsschutz zu investieren bzw. zusätzlich einen internen oder auch externen Werksschutz zu installieren.

Vereinfacht ausgedrückt verhält es sich bei dem IT-Netzwerk eines Unternehmens recht ähnlich – der Schutz kostet einfach Geld! Je mehr Sicherheit ein Unternehmen hier benötigt oder auch haben möchte, desto mehr Geld muss investiert werden. Es gilt dabei, die Systemlast bzw. Latenz niedrig zu halten, um den Benutzern die eigentliche Tätigkeit nicht zu erschweren.

IT-Sicherheit ist nicht eine einmalige Investition, sondern eine kontinuierliche Aufgabe und damit auch eine kontinuierliche Ausgabe, da sich die Technologie immer weiterentwickelt, Unternehmen müssen also permanent in Updates, Mitarbeiter und Schulungen investieren – und manchmal auch auf komplett neue Sicherheitstechnologie wechseln.

Im ersten Schritt können und sollten Unternehmen sich darüber im Klaren sein, welche Bereiche wie zu schützen sind (der Einfachheit geschuldet nur Oberpunkte dargestellt!):

  • Perimeter: Klassische Abwehr gegen externe Eindringlinge
  • Interner Schutz: Neben der Malware- und Spam-Abwehr kommen hier weitere Themen vor – von der Nutzung externer Datenträger über das Kennwort-Management bis hin zum Patch-Management.
  • Verschlüsselung und Schlüsselschutz: Aufgrund der Durchlässigkeit aller anderen Lösungen sollte diesem Punkt besondere Aufmerksamkeit geschuldet sein. Die Anforderungen und Umsetzungsoptionen erfordern spezielles Know-how!
  • Cloud-Nutzung: Für viele die Lösung (fast) aller Probleme, für andere das Übel schlechthin. Spezielles Thema hier ist die Schatten-IT.
  • Mobilität: Aufgrund der Corona-Aktualität das drängendste Thema überhaupt. BYOD, VPN, öffentliche WLANs, etc. werden nicht mehr aus der Agenda verschwinden.
  • Mensch: Der größte Schwachpunkt in allen IT-Netzen – und aus unerfindlichen Gründen immer noch der am wenigsten beachtete.
  • Rechtliche Anforderungen & Hintergründe: Nicht alles, was technisch machbar ist, lässt der Gesetzgeber auch zu, vom Betriebsrat ganz zu schweigen.

Und dennoch werden Unternehmen immer verwundbar sein, weil ein Schutz zu 100% komplett unmöglich ist. Warum ist das so?

Es gibt immer wieder die Erwartung, ein absolutes Allheilmittel für alle IT-Sicherheitsverletzungen kaufen zu können. Unternehmen können dazu die beste Sicherheitssuite kaufen, die auf dem Markt erhältlich ist und die besten SOC-Spezialisten einstellen, die für Geld zu haben sind, etc. – ALLE Sicherheitsprobleme lassen sich damit niemals beheben.

Viele Unternehmen lassen beispielsweise den Faktor Mensch vollkommen außen vor.

Ein potenzieller Angreifer hat immer noch die Möglichkeit, das menschliche Element zu nutzen. Beispielsweise kann er ganz trivial einen Mitarbeiter bestechen, was oftmals viel kostengünstiger für den Angreifer sein kann als ein “richtiger“ Angriff über die IT. Oder der Angreifer erpresst einfach die richtige Person (Manager, Administrator, Buchhalter etc.). So erhält der Angreifer Zugriff auf die von ihm gewünschten Informationen bzw. er kann gezielt alle Manipulationen vornehmen oder die Schäden anrichten, auf die er aus ist. Die Alternative wäre eben, die entsprechenden Firewalls, SIEM oder andere vorhandenen Sicherheitsebenen zu überwinden – sofern diese überhaupt vorhanden sind.

Es gibt für Unternehmen viele Lösungen, den möglichen Bedrohungen entgegenzutreten, es gibt sogar Lösungen, welche in Teilen den Faktor Mensch an sich berücksichtigen - aber es gibt keine Möglichkeit, eine Lösung für alle denkbaren Bedrohungen zur Verfügung zu stellen.

Die Sicherheit der Unternehmens-Informationen ist vor allem immer ein kommerzielles Thema. Was ist der Wert dessen, was Unternehmen absichern wollen (für das Unternehmen selbst, aber auch für einen potenziellen Angreifer!) und wie viel sind Unternehmen bereit oder auch in der Lage zu investieren, um beispielsweise zu verhindern, dass deren Daten zerstört werden oder auch veröffentlicht werden, dass deren Webseite nicht mehr verfügbar ist oder das gar physische Schäden im Rechenzentrum verursacht werden?

Manchmal reicht bereits ein gutes Business Continuity Konzept sowie ein gutes Backup Konzept vollkommen aus (bitte beachten: Ein gutes und wirklich brauchbares Konzept dazu erstellt sich nicht von selbst, copy & paste funktioniert auch hier nicht!). Unternehmen sollten berücksichtigen, wie hoch der Wert bzw. Nutzen für einen Angreifer wirklich sein könnte. Eine Analyse des eigenen Bedrohungsmodells ist hier sehr hilfreich und ermöglicht die Berechnung, wer ein potenzieller Angreifer sein kann und wie viel Budget er zur Verfügung hat bzw. zur Verfügung stellt, um sein Ziel zu erreichen. Wenn ein potenzieller Angreifer ein defacto unbegrenztes Budget hat wie beispielsweise ein staatlicher Akteur, sollten Sie nach einer anderen Lösung suchen, um sich gegen diese Art von Angriffen zu schützen.

Dies kann dann möglicherweise sogar zum Aufbau von komplett getrennten Netzen führen – eines ausschließlich für die Außen-Kommunikation, ein anderes komplett abgeschottet nur für alle internen Vorgänge. In einigen sensiblen Bereichen ist dies heute schon wieder der Normalzustand!

Dabei akzeptieren Unternehmen das Unumgängliche, zumindest in Teilbereichen mit der Vermutung zu arbeiten, dass potenzielle Eindringlinge Bereiche der Firma komplett aushorchen können – verbunden aber damit, die Kronjuwelen des Unternehmens wie beispielsweise Forschung und Entwicklung und andere wichtige Bereiche abzuschotten bzw. komplett abzukoppeln vom Rest der Firma und die Daten dieser Bereiche mit starker Verschlüsselung nur autorisiertem Personal zugänglich zu machen.

Zudem kommt ja auch noch die Digitalisierung und damit einhergehend die ganze OT-Technologie dazu. Die bestehende OT-Technologie (teilweise richtig alt!) war bislang immer eine Insel-Technologie und hat deswegen Sicherheit überwiegend nachrangig behandeln können, Funktionalität und Signalverarbeitung in Echtzeit standen und stehen hier als oberste Maxime im Vordergrund. Die Schreckens-Szenarien aus der IT dürfen niemals auf OT durchschlagen - Stuxnet hat uns bereits eines Besseren belehrt und gezeigt, dass es bereits machbar ist!

Am Ende ist die allumfassende IT-Sicherheit also immer nur eine Illusion. Dennoch ist es sinnvoll, für ein gewisses Maß an Sicherheit zu allen IT-Systemen zu sorgen, da Unternehmen sich damit gegen die meisten bekannten Standardangriffe absichern können.

Managed Security Services können vielfach die Lösung aller Probleme sein, wenn beispielweise das gegebene Budget eine OnPrem-Lösung verhindert. Outtasking ist eine der Optionen, die bestmöglichen Vorkehrungen zur Abwehr von IT-Gefahren zu implementieren, ohne das IT-Budget zu sprengen. Die Kehrseite der Medaille hingegen sind jährliche bzw. monatliche Zahlungen an den oder die Dienstleister, welche finanziell gesehen in Summe nach überschaubarer Zeit die Kosten einer OnPrem-Lösung übersteigen. So oder so: Zu viel Sparen ist immer kontraproduktiv und stellt die Sicherheit, den guten Ruf und sogar den Fortbestand des ganzen Unternehmens in Frage.

Gleichzeitig ist ein entsprechender externer Dienstleister selbst oftmals Opfer einer Attacke und über den Umweg dieses Dienstleisters kommt das Unheil dann in das eigene Unternehmen.

Die Verantwortlichen eines Unternehmens tun also gut daran, immer zu beachten, dass (fast) alle Maßnahmen und Schutzwälle nichts gegen jemanden ausrichten können, der es wirklich ernst meint.

Bleiben Sie trotzdem optimistisch, was realistisch und möglich ist – der überwiegende Anteil der Angriffe ist mit den bereits zur Verfügung stehenden Mitteln abwehrbar!

Partner | Referenzen
  • ASKLEPIOS.png
  • netcologne.gif
  • vodafone.gif
  • VOESTALPINE.png
  • Exponet Infrakon 4c.png
  • DEUTSCHE_BANK.png
  • hvb.jpg
  • sbb.gif
  • idRoboTica.png
  • 1_LOGO_SSH.png
  • 1_LOGO_FARSITE.png
  • CLAAS.png
  • gieseckedevrient.gif
  • Postbank.jpg
  • VENTURETEC.png
  • TDT-AG.JPG
  • LMK.png
  • 1_LOGO_Avalara.jpg
  • deutschepost.gif
  • tuev-nord.jpg