Bedrohungsakteure gegenüber einem Unternehmen oder einer Organisation letztlich kriminell, politisch, radikal oder terroristisch motiviert vorgehen können, benötigen sie zuallererst eine Angriffsfläche, um den Angriff überhaupt zu ermöglichen.
Die Möglichkeiten zum Angreifen werden durch das jeweilige Unternehmen bzw. die Organisation und ihre betriebene Infrastruktur selbst geschaffen. Dabei besteht ein natürliches Spannungsfeld zwischen dem Betreiben von digitalen Services und dem Exponieren von Angriffsflächen des Unternehmens im Cyberraum. Als Faustregel gilt: Je digitaler das Geschäftsmodell einer Organisation ist, desto verwundbarer ist es im Cyberraum.
Es ist daher naheliegend, dass ein geordneter IT-Betrieb mit gut strukturierten Prozessen weitaus weniger angreifbar ist als eine komplex aufgebaute Organisation, die unzureichend organisiert ist und deren Prozesse kaum überblickt werden können.
!
Praxistipp:
Angriffsfläche verkleinern
Disziplinen wie Schwachstellenmanagement zum Identifizieren von aktuellen Lücken in IT-Systemen, Patch-Management (siehe Kapitel 6.5) zum geordneten Schließen dieser Lücken und Change-Management zum Überwachen und Verwalten der Software- und Konfigurationsstände bewirken eine Verkleinerung der Angriffsfläche. Sie ermöglichen eine konsequente Überwachung von bekannten Lücken und sind daher auch geeignete Maßnahmen in einem Informationssicherheitsprogramm.
Über das Ausgestalten der IT-Infrastruktur und das Gestalten des IT-Betriebes bzw. einer effektiven IT-Betriebsführung kann also wesentlich zur Verminderung der Möglichkeiten des Angreifers beigetragen werden. Umso verwunderlicher mag es erscheinen, dass es zu so vielen erfolgreichen Angriffen kommt, wenn doch offensichtlich das Setzen einiger Sicherheitsmaßnahmen davor schützt.
Die Wahrheit ist, dass mit sehr wenigen Maßnahmen bereits ein guter Basisschutz erzielt werden kann. Allerdings ist der Schutz vor einem Angriff umso schwieriger, je motivierter der Angreifer ist, genau in dieses bestimmte Unternehmen einzudringen. Eine gewisse Rest-Angriffsfläche bleibt darüber hinaus in nahezu allen Fällen bestehen.
1.2 SIND WIR VOR DEM ANGREIFER SICHER?
Mithilfe der Analyse der Motivation und der Fähigkeiten der Angreifer sowie der möglichen Angriffsflächen im Unternehmen lässt sich rasch klären, ob die bisher gesetzten Sicherheitsmaßnahmen ausreichend sind. Aus diesen Analyseergebnissen lässt sich eine bedrohungsorientierte Verteidigungsstrategie ableiten, die letztlich in ein Informationssicherheitsprogramm zur Umsetzung von zusätzlichen Sicherheitsmaßnahmen mündet.
!
Praxistipp:
Clustern von Sicherheitsmaßnahmen
Es gibt dazu zwar keine allgemein gültige Vorgehensweise, aber eine geübte Praxis ist es, sich gedanklich an Domänen von bestehenden Cybersecurity-Frameworks zu orientieren. Dazu eignen sich etwa die Domänen „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“ aus dem NIST-Cybersecurity-Framework[29].
Dazu können bestehende Sicherheitsmaßnahmen und Themen zu den einzelnen Werte-Gruppen (Assets)[30], wie etwa (End-)Geräte, Applikationen, Netzwerk, Daten und Mitarbeiter, geclustert werden. So erhält man eine erste Übersicht der bestehenden Maßnahmen, die das Unternehmen derzeit vor Angriffen schützen.
Auf Basis der Analyse der Motivation und der Fähigkeiten des Angreifers lässt sich auch eine Art Profil der zu erwartenden Bedrohungen ableiten. Damit lässt sich in Kombination mit den möglichen Angriffsflächen prüfen, ob die geclusterten Maßnahmen adäquat sind, um die Bedrohung zu verhindern bzw. darauf zu reagieren, sollte ein Angriff erfolgreich durchgeführt worden sein.
Mithilfe dieser Überprüfung lässt sich relativ rasch und überblicksartig beurteilen, wie die Sicherheitssituation aktuell zu bewerten ist und ob bzw. wie dringend zusätzliche Sicherheitsmaßnahmen zu implementieren sind, um sich vor den zu erwarteten Bedrohungen zu schützen. Darüber hinaus können so bestimmte Bereiche für ein mögliches nachfolgendes Informationssicherheitsprojekt bzw. Cybersecurity-Projekt bereits zu Beginn priorisiert werden.
Obwohl diese Vorgehensweise letztlich eine gewisse Unschärfe mit sich bringt, bietet sie gerade in Zusammenschau mit bereits erfolgten Angriffen in ähnlichen Branchen einen guten Einstieg in das Thema, um rasch erste Ergebnisse zu erhalten und sich mit der Bedrohung im Cyberraum auseinanderzusetzen. Darüber hinaus lassen sich für nachfolgende Diskussionen mit Stakeholdern und Mitarbeitern Beispiele entwickeln, die den Weg zu einem Informationssicherheitsprojekt aufzeigen und alle Involvierten dahingehend sensibilisieren sollen.
23vgl. Improving Cybersecurity and Mission Assurance via Cyber Preparedness (Cyber Prep) Levels. Deb Bodeau. Richard Graubart. Jennifer Fabius Greene. The MITRE Corporation. 2009. Seite 3ff.
24vgl. https://www.diepresse.com/5124955/aussenministerium-wehrte-cyberattacke-aus-ausland-ab (abgerufen am 20.07.2020).
25vgl. https://www.spiegel.de/netzwelt/web/i-love-you-prozess-onel-de-guzman-ist-frei-a-89973.html (abgerufen am 20.07.2020).
26vgl. https://www.psw-group.de/blog/hackerangriffe-2018/6673 (abgerufen am 01.08.2020).
27vgl. https://www.security-insider.de/was-ist-cyberwar-a-672813/ (abgerufen am 06.08.2020).
28Schutz des Unternehmensgeländes.
29vgl. https://www.nist.gov/cyberframework (abgerufen am 24.07.2020).
30Ein Asset bezeichnet hier Informations- oder Vermögenswerte eines Unternehmens.
2 STRATEGIE 2:
Security ist Chefsache
Erik Rusek
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.