IT-Sicherheit in drei Schritten: Prävention. Detektion. Reaktion.

Ob Phishing, Erpressung mit Ransomware, Attacken auf Webseiten, Darknet oder Crime-as-a-Service – die Formen von Cyberkriminalität werden immer vielfältiger, ihr Aktionsradius größer. Eine wichtige Erkenntnis: Kein Bereich der Gesellschaft bleibt unberührt. Auch weil Cyberkriminelle immer häufiger kritische Infrastrukturen ins Visier nehmen. Darunter werden Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen gefasst, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Bei 1700 registrierten KRITIS-Anlagen gab es 2020 exakt 419 KRITIS-Meldungen. Konkret: Ein Viertel dieser Anlagen wurde von Cyberkriminellen attackiert.

Mit Prävention die IT-Sicherheit im Unternehmen erhöhen.

Was wird also konkret benötigt, um der Gefahrenlage Herr zu werden? Security startet mit der Sensibilisierung von Mitarbeitenden im Unternehmen. Wenn diese unbedarft auf unbekannte Mails klicken, Anhänge ausführen oder den berühmten USB-Stick, den sie auf dem Parkplatz finden, in den Rechner stecken – und der Rechner hat keine Schnittstellen-Kontrolle beziehungsweise das Unternehmen hat keine Schutzmaßnahmen hierfür etabliert –, dann nützt auch ein ausgereiftes Security Operations Center wenig. Deshalb ist Prävention so wichtig. Sie zahlt auf die Erhöhung des Schutzbedarfs der IT-Infrastruktur ein. Unabhängig davon, ob es sich um eine On-Premise-Infrastruktur oder eine Cloud-Architektur handelt.

In Multi-Cloud-Architekturen kommen oftmals cloud-native Security-Hersteller-Lösungen zum Einsatz. Diese wurden „auf der grünen Wiese“ für die neuen Anwendungsumgebungen entwickelt und sind deshalb frei von „Altlasten“. Hierbei geht es in erster Linie um flexible, agile Lösungsansätze, die es ermöglichen, skalierbare Lösungen nach Bedarf einzusetzen. Dabei stehen Themen wie Sicherheitsverwaltung in der Cloud (CSPM), Workload Protection (CWPP) und SecDevOps-Lösungen im Vordergrund.

Detektion – Schwachstellen in der IT-Sicherheit schließen

Im Bereich Detektion entwickelt Bechtle eigene Services und baut das Portfolio gezielt mit Lösungsanbietern aus, die besonders gut zu den Anforderungen des Mittelstands passen. „Dafür braucht es Sicherheitskonzepte, die es dem Mittelstand erlauben, das Sicherheitsniveau aus dem Netz heraus zu erhöhen. Das bedeutet, primär Produkte einzusetzen, die miteinander ‚sprechen‘, Schwachstellen im Netzwerk automatisiert zu schließen oder Angriffe aus der Infrastruktur heraus zu blockieren sowie mit Schadcode behaftete Dateien und infizierte Clients in Quarantäne zu schicken. Hierzu können offene Schnittstellen wie REST-APIs oder ganze proprietäre Security Fabrics genutzt werden. Der Vorteil für die IT-Abteilung: weniger komplexe manuelle Eingriffe, mehr Zeit für businessorientierte Aufgaben“, sagt Golo Königshoff, Leiter Netzwerk & Security im Bechtle IT-Systemhaus Hannover. Nur so machen sich Unternehmen mit Bezug auf ihre IT-Sicherheit auf den Weg zu mehr Resilienz.

Die Entwicklung der Gefährdungslage in den vergangenen Jahren hat eines ganz deutlich gezeigt: Einen hundertprozentigen Schutz vor Cyberattacken gibt es nicht. Mit einer ganzheitlichen Sicht auf die Abwehr von Gefahren können Unternehmen ihre Werte jedoch bestmöglich absichern. Das primäre Ziel: verdächtiges Verhalten identifizieren, nachverfolgen und angemessen darauf reagieren. Mit dem Cyber Defence Center bietet Bechtle Unternehmen die Möglichkeit, bei geringem eigenem Personalaufwand ein schlagkräftiges Security Operation Center (SOC) aufzubauen. Wir stehen unseren Kunden dabei mit zwei möglichen Ansätzen zur Seite. Beim konventionellen Ansatz kommt ein klassisches Security Information and Event Management, kurz SIEM, zum Einsatz. Dieses sammelt Events aus dem Kundennetzwerk und gleicht die Aktivitäten mit einem vorher definierten Regelwerk ab. So können potenzielle Bedrohungen erkannt und durch geschulte Mitarbeitende bei Bedarf unterbunden werden. Wesentlich weiter geht der moderne Ansatz, der neben der Erkennung potenziell gefährlicher Aktivitäten auch Maßnahmen zur Schadensbegrenzung automatisiert einleiten kann. Dieser Ansatz wird mit der Next Generation Cyber-Defence-Center-Lösung von Bechtle umgesetzt. Dazu werden sowohl Netzwerkkomponenten als auch Server und Endgeräte konstant auf Anomalien überprüft und über eine übergeordnete Instanz orchestriert. Das Ergebnis ist eine dauerhafte, ganzheitliche Absicherung Ihrer IT-Infrastruktur.

Ziel des Bechtle Next Generation Cyber-Defence-Ansatzes ist die Gewährleistung einer ganzheitlichen, infrastrukturweiten Informationssicherheit. Es verbindet hochautomatisierte Technologien und forensische Tools zur Netzwerk- und Betriebssystem-Überwachung, um Bedrohungen in Echtzeit zu erkennen. Durch den Einsatz von künstlicher Intelligenz lernt die Plattform ständig mit und kann zwischen normalem und abweichendem Verhalten unterscheiden. 

Ein weiterer wichtiger Punkt: die Verfügbarkeit von Security-Experten. Selbst wenn sich ein Unternehmen dafür entscheidet, in den Aufbau von Personal zu investieren, sind Spezialisten in diesem Feld eine knappe Ressource, um die Behörden, Wirtschaft und Wissenschaft miteinander konkurrieren. „Die Zahl der Universitäten und Fachhochschulen, die Experten für IT- und Cybersicherheit ausbilden, ist zwar gestiegen, dennoch verfügt Deutschland nicht über genügend Kapazitäten, den Bedarf heute und auf absehbare Zeit zu decken“, weiß Christian Grusemann, Business  Manager Security bei Bechtle. „Durch die Übernahme der Betriebsverantwortung für die Sicherheitsinfrastruktur leisten wir mit unseren hochqualifizierten Experten einen wichtigen Beitrag zur zukunftssicheren Aufstellung zahlreicher Kunden.“

Es kommt auf eine ganzheitliche Ende-zu-Ende-Security-Lösung an – ganz gleich, ob es um Industrie 4.0, eine klassische IT-Infrastruktur, eine Cloud-Lösung oder um vernetztes mobiles Arbeiten geht.

Christian Grusemann,

Business Manager Security.

Kommen wir zu Schritt drei – der Reaktion. Dabei umfasst das Krisenmanagement die komplette Bewältigung eines Vorfalls. Da es keinen hundertprozentigen Schutz gibt, kann es Angreifenden gelingen, Ihre Sicherheitsvorkehrungen zu überwinden. In diesem Fall ist Bechtle mit dem Cyber Security Incident Response Team (CSIRT) in der Lage, den Schaden zu begrenzen, beziehungsweise eine weitere Ausbreitung des Angriffs zu verhindern. Bechtle setzt sein vielfältiges Wissen und langjährige Erfahrung ein, um für die Behebung eines Vorfalls eine schnelle und adäquate Antwort mittels moderner Methoden zu erarbeiten. Dazu gehören Maßnahmen wie

• Krisenmanagement, Planung und Koordination der Maßnahmen
• Gegebenenfalls Aufbau, Installation und Konfiguration der Analyseplattform
• Sammeln und Sichern von wichtigen Informationen von Windows Systemen (Logs, Events, Images) von z. B. Firewalls, NDR- und EDR-Systemen
• Analyse der gesicherten Daten, forensische Analyse und Verhaltensanalyse des Netz­werkverkehrs sowie der Aktivitäten auf den Endgeräten
• Entwicklung einer Kommunikations- und Response-Matrix
• Einsatz von geprüften Security-Tools
• Entwicklung kurzfristiger und langfristiger Lösungsansätze
• Entfernen von Schadsoftware, Aufzeigen von Sicherheitslücken, Unterstützung bei der Behebung entstandener Schäden bis hin zur Beratung bei Neuanschaffung von Hard- und Softwarelösungen
• Dokumentation der durchgeführten Maßnahmen
• Präsentation und Übermittlung der Ergebnisse

„Der Mittelstand steht angesichts der zunehmenden Zahl von Bedrohungen vor großen Herausforderungen“, sagt Christian Grusemann. Ein stabiler Geschäftsbetrieb, der Schutz von Know-how und Reputation sowie die Nutzung neuester Technologien ist unabdingbar, um im Wettbewerb zu bestehen. „Während Großunternehmen die Ressourcen haben, um Security-Lösungen nach dem Best-of-Breed-Gedanken aufzubauen und qualifizierte Mitarbeitende zu rekrutieren, steht der Mittelstand vor der kniffligen Aufgabe, das richtige Maß an Investitionen in entsprechende Infrastrukturen und Security-Mitarbeiter:innen zu tätigen.“

Ein entscheidende Rolle spielen dabei auch gesetzliche Auflagen und Meldepflichten sowie die daraus resultierende Vorgabe, technische und organisatorische Sicherheit miteinander in Einklang zu bringen. Vor diesem Hintergrund hat Cybersicherheit zum Beispiel für die Betreiber kritischer Infrastrukturen eine hohe Brisanz. Wenn Schwellenwerte der deutschen BSI-Kritisverordnung erreicht oder überschritten werden, unterliegen Unternehmen der Nachweispflicht, dass ihre IT-Infrastrukturen den gesetzlichen Vorgaben gemäß geschützt sind.

Die BSI-Kritisverordnung setzt das seit 2015 geltende Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz (IT-SiG), um. Es soll die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz von kritischen Infrastrukturen in Deutschland beitragen (auf europäischer Ebene die NIS-Richtlinie). Das IT-Sicherheitsgesetz verpflichtet die betroffenen Organisationen mit Bezug auf die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zur Einhaltung eines definierten Mindestmaßes an Informationssicherheit. Mit dem IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 kommen weitere Anforderungen – wie zum Beispiel im Sektor Energie die Einführung von Systemen zur Angriffserkennung hinzu.

Neben IT-SiG 1.0 und 2.0 und DSGVO definieren weitere Regelungen wie das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und Normen, Standards und Rahmenwerke für Informationssicherheits-Managementsysteme (ISMS) wie zum Beispiel die ISO 27001, die BSI-Grundschutz-Standards oder die Branchenspezifischen Sicherheitsstandards (B3S für KRITIS-Organisationen) die Anforderungen.

Seit 2018 ist die Europäische Datenschutz-Grundverordnung (DSGVO) gültig. Die DSGVO regelt EU-weit den Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Dadurch soll einerseits der Schutz dieser Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarkts gewährleistet werden.

Dabei gibt es wichtige Überschneidungen zur Informationssicherheit, wie zum Beispiel die technischen und organisatorischen Maßnahmen zur Absicherung der Prozesse oder die Sensibilisierung der Mitarbeitenden für einen sicheren Umgang mit Daten. „Außerdem bedeutet ein Sicherheitsvorfall meistens auch einen Datenschutzvorfall und umgekehrt“, erläutert Frank Peter, Leiter des Competence Centers Datenschutz und Datensicherheit im Bechtle IT-Systemhaus Solingen. Für Unternehmen wird es somit immer wichtiger, dass Informationssicherheit und Datenschutz wie Zahnräder ineinandergreifen. Dies kann nur gelingen, wenn beide Bereiche als Managementsystem gut organisiert sind. So lassen sich auch Synergieeffekte für das Unternehmen heben.

„Wir helfen, Lücken in der Cybersecurity zu identifizieren und zu schließen“, sagt Philipp Schütz, Senior Consultant für Informationssicherheit. „Hier kommt zum Beispiel unsere 360-Grad-High-Level-Security-Analyse zum Tragen. Durch eine Standortbestimmung in den Bereichen Informationssicherheits-Management (ISMS), Datenschutz (z. B. DSGVO-Readiness), Privileged Access Management (PAM), Security Operation Center, Krisenmanagement und Betriebskontinuität (BCM), Netzwerk-Security und Client-Security sowie Pentesting erhalten unsere Kunden ein ganzheitliches Lagebild und konkrete Maßnahmenempfehlungen für eine resiliente Cybersicherheitsorganisation. Oftmals beraten wir anschließend unsere Kunden bei der Umsetzung der daraus entstehenden Projekte, beziehungsweise übernehmen Verantwortung als externer Informationssicherheitsmanager, Datenschutzbeauftragter oder Cyber Security Manager.“

Ansprechpartner.

Christian Grusemann

Business Manager Security
christian.grusemann@bechtle.com

Zum Thema.

• Hacker greifen öffentliche Einrichtungen immer gezielter an
• eurofunk vereint Sicherheit und Usability dank VMware NSX mit Zero Trust
• E-Mail-Security an Schulen und Universitäten

Newsletter. 

Erhalten Sie die besten Artikel aus dem Bechtle update alle sechs Wochen direkt in Ihr Postfach. Hier geht's zur Anmeldung:
 

NEWSLETTER