Auge IT-Sicherheit

IT-Sicherheit sollte eigentlich für alle Unternehmen ein wichtiges Thema sein. - (Bild: Pixabay)

1. Vorgehensweise der Angreifer – Angriffsvektoren

App, manipulierte

Durch achtlos programmierte Apps die in erster Linie auf Funktionalität ausgerichtet sind, ohne dabei Sicherheitsaspekte ausreichend zu berücksichtigen und auf per se unsicheren Endgeräten genutzt werden, können neue  Einfallstore in der Produktionsumgebung entstehen. Da viele Apps heutzutage eine Maschinensteuerung ermöglichen, ergeben sich hier zahlreiche Eingriffsmöglichkeiten, bis hin zum Abschalten einer kompletten Produktionslinie. Diese Verwundbarkeit beruht im Grundsatz auf dem notwendigen Zugang zur Außenwelt sowie den komplexen Nutzer-Szenarien.

Empfehlung: Der Einsatz von  Apps im Unternehmensumfeld setzt das Etablieren eines spezifizierten Testens voraus. Denn in Praxis unterlaufen beim Programmieren Fehler, woraus ein hohes Risikopotential resultiert. Von daher ist es generell empfehlenswert Apps, insbesondere jene für den Einsatz in einer Produktionsumgebung, auf die geläufigen Schwachstellen bei der Programmierung zu überprüfen und im Rahmen des Secure Software Development Lifecycle – durch Etablierung von Prozessen und Nutzung bestimmter Techniken –  sicherzustellen, dass definitiv nur geprüfte Versionen zum Einsatz kommen.

Hacking-Angriff, intelligent

Unter dem Begriff Hacking-Angriff lassen sich allgemein alle Aktivitäten subsummieren, mittels derer versucht wird digitale Geräte wie Rechner, Smartphones, Tablets oder sogar ganze Netzwerke zu kompromittieren. Das Motiv hierfür ist in den meisten Fällen die Generierung von finanziellen Gewinnen, das Sammeln von Informationen zum Zwecke der Spionage oder um mittels Manipulation einen Sabotageakt ausführen zu können. Daneben gibt es jedoch immer noch Angreifer, die einfach nur eine Herausforderung suchen. 

Diese Ziele haben Hacking-Angriffe in der Regel:

  1. Informationen über das Unternehmen sammeln sowie darüber, wie es möglich ist in das Zielsystem einzudringen.
  2. Unter Nutzung der generierten Informationen Zugriff auf das System erhalten.
  3. Die Möglichkeiten bezüglich des Zugriffs zu vergrößern, zum Beispiel durch Administrationsrechte.
  4. Kontinuierliche Überwachung der Aktivitäten mittels eingeschleuster Software damit alle Informationen zur Verfügung stehen, um den Exploit zu einem späteren Zeitpunkt zu aktivieren.
  5. Durchführung des eigentlichen Angriffs, zum Beispiel Abgreifen der anvisierten Daten.
  6. Beweise für den Angriff vernichten, unter anderem durch Löschung von Protokollen und Befehlen.

Advanced Persistent Threat (APT)

Unter einem Advanced Persistent Threat (ATP) wird in der Regel ein gezielter Angriff mit komplexen Angriffstechnologien und -taktiken verstanden. Ein APT ist sehr aufwendig, da hierfür extrem viele Hintergrundinformationen über das anzugreifende IT-System sowie dessen Umgebung vonnöten sind. Dabei erfordert es nicht nur einen hohen Aufwand, das System anzugreifen, sondern auch im Bezug darauf, über einen möglichst langen Zeitraum unentdeckt zu bleiben. Denn nur so ist es möglich, kontinuierlich Informationen auszuspähen oder bedeutenden Schaden anzurichten. APTs sind vor allem durch intelligente èMalware wie Stuxnet oder Flame bekannt geworden. 

Malware

Unter dem Begriff Malware wird Schadsoftware wie Viren, Würmer, Trojanische Pferde, Spyware, Keylogger und Ransomware subsummiert, die Angreifern eine Ausnutzung von Schwachstellen in IT-Systemen oder menschlichen Eigenschaften beziehungsweise Unzulänglichkeiten ermöglicht, um so in Systeme eindringen zu können. Das Einschleusen der Malware beziehungsweise der speziellen Schadfunktionen einer Malware – das Hauptziel sind hierbei IT-Endgeräte – geschieht über E-Mail-Anhänge oder infiltrierte Webseiten mithilfe von so genannten Drive-by-Downloads. 

Trojanische Pferde: Mit Hilfe der Schadfunktion Trojanisches Pferd können von den kompromittierten IT-Systemen unberechtigt Dateien, die zum Beispiel auf Festplatten oder sonstigen Speichermedien abgelegt sind, ausgelesen werden. Dem Angreifer ist es dadurch nicht nur möglich, diese Dateien auszuwerten sondern sie auch zu verwenden. Diese Angriffsmethode ist unter anderem dazu geeignet Wirtschaftsspionage durchzuführen.

Spyware/Adware: Als Spyware – also Spionagesoftware oder Schnüffelsoftware – wird üblicherweise die Schadfunktion bezeichnet, die Daten von einem kompromittierten IT-System ohne Wissen oder Zustimmung des Nutzers an den Hersteller der jeweilig genutzten Software oder an unberechtigte Dritte sendet. Im Falle der Schadfunktion Adware wird diese Software dazu eingesetzt, um dem Nutzer über unerwünschte Werbeeinblendungen Produkte anzubieten und die Aktivitäten an die illegal agierenden Betreiber von Werbeagenturen weiterzuleiten.

Keylogger: Die Schadfunktion Keylogger liest auf einem kompromittierten IT-System Daten wie Passwörter, Nutzernamen oder sonstige schutzbedürftige Informationen aus, während der Nutzer diese über die Tastatur eingibt. Parallel werden sie in so genannte Drop Zones versendet, wo der Angreifer die ausgelesenen Daten dann für die weitere Nutzung abholen kann.

Ransomware: Ransomware ist eine Schadfunktion, die über einen E-Mail-Anhang oder eine infiltrierte/vom Angreifer eigens erstellte Webseite auf den Computer gelangt. Mittels dieser werden Daten auf dem kompromittierten System verschlüsselt. Um den Zugriff auf die Daten wiederzuerhalten – sprich in den Besitz des zur Entschlüsselung notwendigen Schlüssels zu kommen – verlangen die Angreifer die Zahlung eines Lösegelds. Bekannte Angriffe sind WannaCry, Petya, Cerber, CryptoLocker und Locky.

Empfehlung: Das Institut für Internet-Sicherheit if(is) geht zur Zeit davon aus, dass auf jedem zehnten IT-Endgerät intelligente Malware vorhanden ist, die über ein Botnet gesteuert wird. Von daher ist hier eine Überprüfung von bestimmten Endgeräten ratsam.

Phishing

Als Phishing wird die entsprechende Technologie bezeichnet, die zur Ausführung eines Social Engineering-Angriffs Anwendung findet. Um das Ziel Identitätsdiebstahl – also relevante Daten eines Nutzers abgreifen zu können – zu erreichen, wird beim klassischen Phishing wahllos eine große Anzahl an E-Mails versendet. Die Angreifer spekulieren dabei darauf, dass die Empfänger entweder aus Naivität oder im guten Glauben auf einen schädlichen Link klicken und vertrauliche Informationen preisgeben. Hierfür erstellen die Angreifer eine präparierte Webseite, die einer realen aufgrund des imitierten Corporate Design – beispielsweise das einer Bank – täuschend ähnlich sieht und von daher den Nutzer dazu verleitet, Daten wie etwa Nutzername und Passwort preiszugeben.

Spear-Phishing: Beim Spear-Phishing ist der Empfänger sorgfältig ausgewählt worden. Dem Angriff voran geht eine gründliche Recherche – das Internet eröffnet hier ein breites Spektrum nicht nur für die Suche nach Kontaktdaten sondern auch bezüglich weiterer Hinweise zur Person. Da der Angreifer vorab genügend Informationen über den Empfänger gesammelt hat, ist es möglich, die E-Mail mit exakter Anrede und persönlich zugeschnitten zu formulieren. Aufgrund dessen wirkt diese nicht nur extrem glaubwürdig sondern auch vertrauenserweckend. Dadurch erhöht sich die Wahrscheinlichkeit, dass der Empfänger den Anweisungen in der E-Mail folgt und zum Beispiel ein Attachment öffnet, in dem ein Schadcode enthalten ist, der dem Angreifer einen Zugriff auf den Computer, hier unter anderem auf vertrauliche Daten, ermöglicht.

Whaling: Whaling basiert auf der Methode des Spear-Phishing. Jedoch handelt es sich hierbei um einen Angriff, der – in Analogie zu dem „großen Fisch“ – gezielt auf Führungskräfte ausgerichtet ist.

Supply Chain-Angriffe: Supply Chain-Angriffe zielen auf kleinere Unternehmen ab – im Wesentlichen aus zwei Gründen: Zum einen sind große Unternehmen weitaus besser geschützt als kleinere, da letztere davon ausgehen, dass sie per se kein lohnendes Ziel für Angreifer darstellen. Zum anderen eröffnet sich bei Supply Chain-Angriffen dadurch, dass eine Firma kompromittiert wird der Zugang zu unzähligen (Klein-)Unternehmen.

Denn diese Art von Angriffen basiert meist darauf, dass ein Dienst oder Programm, das seit längerem im Unternehmen im Einsatz ist, durch einen illegalen Zugriff –beispielsweise initiiert durch das Einspielen eines neuen Versionstands – schädlich wird. In den letzten Jahren gab es mehrere solcher Vorfälle mit unterschiedlicher Komplexität und Destruktivität: Zum Beispiel NonPetya, der als Verteilungsvektor eine Buchhaltungssoftware nutzte, deren Aktualisierungsprogramm durch Angreifer kompromittiert worden war. Beim nächsten Update wurde die eingeschleuste Ransomware an alle Kunden des Unternehmens verteilt.

Social Engineering

Social Engineering basiert darauf, dass Menschen manipulierbar sind und dass diese Eigenschaft für kriminelle Zwecke instrumentalisiert werden kann. Zur Anwendung der Methode muss ein Angreifer lediglich Schwächen, Vorlieben oder sonstige Knackpunkte des von ihm anvisierten Mitarbeiter in Erfahrung bringen und genau diese nutzen, um sein Ziel zu erreichen. So kann beispielsweise bei einer Person mit Autoritätshörigkeit der Angreifer als Helpdesk-Mitarbeiter sehr bestimmend und durch Aufbau von Druck erreichen, dass ihm (innerhalb kürzester Zeit) Passwörter preisgegeben werden. Technologisch umgesetzt werden kann diese Methode mittels Phishing.

USB-Sticks, verseuchte: Für Angreifer sind USB-Sticks immer noch ein probates Werkzeug, um ohne große Umstände èMalware auf einen Computer aufspielen zu können. Das lässt sich auch gezielt planen – etwa auf einer Messe, indem jedem Standbesucher eines bestimmten Unternehmens ein USB-Stick überreicht wird oder indem USB-Sticks geschickt vor dem Eingang eines Unternehmens platziert werden. Die Chancen, dass diese Methode erfolgreich ist, stehen gut. Denn: nahezu kein Nutzer kann seiner Neugier widerstehen, wenn er einen USB-Stick geschenkt bekommt oder findet. Beispiele dafür gibt es einige: Vor einiger Zeit wurden auf einer Sicherheitsmesse USB-Sticks verlost, von denen etliche mit einer Malware infiziert waren. Mittels dieser hätte im Weiteren initiiert werden können, Daten von den jeweiligen verseuchten Computern an den Webserver der Angreifer zu übermitteln.

Hier können Sie testen, ob Ihr Unternehmen vor Hacker-Angriffen sicher ist

Sie möchten Ihr Unternehmen von den Profis von @-yet testen lassen. Dann melden Sie sich per Email direkt bei Gabriel Pankow, Leiter Redaktion Digital PRODUKTION.

2. Schutz vor Angriffen – Abwehrmechanismen

Prävention - Technologisch

Anti-Malware

Rechner müssen vor Angreifern geschützt werden. Hierzu gilt es einen gewissen Grundschutz vor Malware zu etablieren. Dieser lässt sich durch den Einsatz von Anti-Malware, also einem speziellen Software-Programm – mittels dem schädliche Programme auf individuellen Computer- und IT-Systemen erkannt sowie vernichtet werden, um deren Ausführung zu verhindern – sicherstellen.

Insgesamt schützt Anti-Malware-Software vor Infizierungen durch eine ganze Reihe an Malware. Dazu gehören Viren, Würmer, Trojanische Pferde, Spyware/Adware, Keylogger und Ransomware.

Anti-Malware lässt sich auf einzelnen Rechnern, Gateway-Servern oder dedizierten Netzwerk-Appliances installieren.

Die Begriffe Antiviren-Software und Anti-Malware-Software werden oftmals synonym verwendet.

Backup

Der Begriff Backup, also Datensicherung, bezeichnet das Kopieren von Daten auf ein externes Speichermedium zur Vorbeugung von Datenverlusten. Denn im Falle eines Angriff wie etwa der Verschlüsselung von Dateien mittels Ransomware können diese redundant gesicherten Daten von dem Speichermedium in das System übertragen werden.

Die Wiederherstellung der Originaldaten aus einer Sicherungskopie bezeichnet man als Datenwiederherstellung oder mit dem englischen Begriff Restore. Insgesamt leistet diese Maßnahme einen elementaren Beitrag zur Datensicherheit.

Firewall

Grundsätzlich ist eine Firewall ein Sicherungssystem, das ein gesamtes Rechnernetz oder einen einzelnen Computer vor unerwünschten Netzwerkzugriffen schützt, indem mittels bestimmter Softwarekomponenten der Zugriff auf dieses beschränkt wird. Dafür bedarf es der Festlegung entsprechender Regeln, die auf Absender oder Ziel und genutzten Diensten basieren und die vorgegeben, welche Netzwerkpakete durchgelassen und welche abgeblockt werden. Die Implementierung der Firewall-Software findet entweder direkt auf dem Rechner statt und wird als Desktop/Personal Firewall bezeichnet.

Im Gegensatz dazu ist bei einer Netzwerk-Firewall die Software nicht auf dem zu schützenden Objekt selbst im Einsatz, sondern auf einem separaten System, das die Netzwerke oder Netzsegmente miteinander verbindet und dank der Firewall-Software gleichzeitig den Zugriff zwischen den Netzen beschränkt. Somit stellt dieses System den "Common Point of Trust" für den Übergang zwischen unterschiedlichen Netzen dar – mit anderen Worten, es besteht nur ein einziger Weg zwischen den Netzen und dieser lässt sich über das Firewall-System kontrollieren.

Wird die Firewall als Teil des Sicherheitskonzeptes verstanden, dann besteht dieses System in der Regel aus einem oder mehreren Firewall-Elementen, mittels denen ein aktives Eingreifen in die Kommunikation zwischen dem zu schützenden sowie dem unsicheren Netz gewährleistet ist. Ein Firewall-Element ist ein separates Kommunikations-Sicherheitssystem und kann Packet Filter, Stateful Inspection, Application Gateway mit Proxys repräsentieren.

Empfehlung: Der Einsatz einer Firewall erfordert die Akzeptanz und aktive Unterstützung aller Beteiligten innerhalb eines lokalen Netzwerks. Nur so lässt sich gewährleisten, dass diese effektiv funktioniert. Aber: Firewall-Systeme, die die Absicherung der Kommunikation sowohl zwischen als auch im Internet und Intranet ermöglichen sind sehr komplex. Zudem können selbst aufwendig konzipierte Firewall-Systeme keinen hundertprozentigen Schutz gewährleisten.

Public Key-Infrastruktur (PKI)

Als Public Key-Infrastrukturen (PKI) werden Infrastrukturen zur Verwaltung etwa von Identitäten, Schlüsseln, Zertifikaten oder Attributen bezeichnet. Grundsätzlich stellen Public Key-Infrastrukturen eine Vertrauensdienstleistung zur Verfügung. Denn die Idee ist, dass PKIs zum Verwalten von Zertifikaten mit öffentlichen Schlüsseln und weiteren Attributen über deren gesamten Lebenszyklus fungieren – das beginnt mit deren Erstellung geht über die Aufbewahrung und Verwendung bis hin zu deren Löschung. Neben der sicheren Generierung und Speicherung gültiger Schlüssel kommt es hierbei auch auf die Verifizierung der ursprünglichen Identität ihrer Inhaber – also der Nutzer der PKI – an.

Generell ermöglichen vertrauenswürdige elektronische Identitäten für Personen, Dienste oder Dinge somit eine starke Authentifizierung, Datenverschlüsselung sowie digitale Signaturen.

Empfehlung: Unter Einsatz von PKIs lässt sich in aktuellen IT-Systemen ein organisationsübergreifendes Key Management realisieren, das einfach zu handhaben ist. Insgesamt sorgt die PKI auch für die Basis einer sicheren Kommunikation zwischen Menschen, Software und Geräten.

Hacker sitzt am Computer
Unternehmen haben große Schäden durch Hacker. - (Bild: Pixabay)

Software-Entwicklung, sichere

Ein Betriebsablauf ohne den Einsatz von Software ist mittlerweile undenkbar – zunehmend wird Anwendungssoftware in Unternehmen für Geschäftsprozesse eingesetzt, die kritisch sind für das erfolgreiche Agieren im Markt. Da Anwendungssoftware generell mit speziellen Funktionen ausgestattet ist, um für den jeweiligen Anwendungszweck perfekt einsetzbar zu sein, wird diese jeweils von Spezialisten entwickelt, für die die Funktionalität im Vordergrund steht. Von den Anwendungsentwicklern wird Sicherheit gar nicht oder nur am Rande betrachtet, wodurch zwangsläufig Sicherheitslücken in der Anwendungssoftware entstehen, die von Angreifern ausgenutzt werden können.

Bislang konnten Unternehmen nur versuchen, dieser Bedrohung mittels externalisierter Abwehrmechanismen wie Firewall, Intrusion Detection oder Anti-Malware entgegenzuwirken. Die Krux dabei: Wenn eine Anwendungssoftware Sicherheitslücken enthält, dann lassen sich diese mittels extern hinzugefügter Sicherheitskomponenten keinesfalls immer ohne Funktionalitätsverlust schließen.

De facto wird sich, ohne Verbesserung der Sicherheit in Anwendungssoftware, das Lagebild hinsichtlich der Bedrohungspotentiale nicht substanziell verbessern lassen. Entsprechend sind die Hersteller von Anwendungssoftware aufgefordert zu reagieren und die Sicherheit ihrer Produkte zu verbessern statt kontinuierlich auftretende Sicherheitslücken mittels Patches zu beheben.

Diese Anforderung lässt sich dadurch realisieren, dass Sicherheit bereits in der Designphase für den gesamten Lebenszyklus berücksichtigt wird. Des Weiteren ist es unvermeidlich eine Integration von Sicherheitsvorgaben und -praktiken in den Entwicklungsprozess der Software vorzunehmen, unter anderem durch die Etablierung einer "Security as Code"-Kultur, die verbindlich eine kontinuierliche sowie flexible Zusammenarbeit zwischen Release-Engineers und Security-Teams festschreibt.

Verschlüsselung

Verschlüsselung von Daten bedeutet, diese einer mathematischen Transformation zu unterziehen – also Verschlüsselungsalgorithmen zu nutzen – damit es für einen Unbefugten unmöglich wird, die Originaldaten daraus zu rekonstruieren. Da die Verschlüsselung dazu dient, nur den illegalen Zugriff auf Daten zu verhindern, muss hingegen sichergestellt sein, durch Anwendung einer inversen Transformation wieder die Originaldaten generieren zu können, damit sie für den legitimen Nutzer verwendbar sind.

Das generelle Ziel der Verschlüsselung kann demnach folgendermaßen formuliert werden: Die Entschlüsselung darf nur dem legitimen Empfänger einer Nachricht beziehungsweise dem legitimen Nutzer von gespeicherten Informationen möglich sein, keinesfalls jedoch weiteren Personen. Folglich darf die Kenntnis über die zur Entschlüsselung benötigten Informationen nur der legitimierten Person (Empfänger/Besitzer) vorliegen und ebenso muss gewährleistet sein, dass es ohne dieses Wissen nicht möglich ist, die Originaldaten aus dem Schlüsseltext zu erzeugen. Voraussetzung für einen hohen Wirkungsgrad ist die Verwendung von sicheren Algorithmen und Schlüssellängen.

Definitionen und Synonyme

Originaldaten = Klartext oder clear text, plain text, message

Transformierte Daten = Schlüsseltext oder Chiffretext, Chiffrat, Kryptogramm, cypher text

Transformation = Verschlüsselung oder Encryption

Inverse Transformation = Entschlüsselung oder Decryption

Empfehlung: Verschlüsselungsverfahren sind für verschiedene Einsatzzwecke geeignet. Deren Anwendung ist unter anderem auch davon abhängig, was durch die Verschlüsselung geschützt werden soll – dies fängt an bei der Beschränkung des Zugriffs auf bestimmte Daten im Falle der gemeinsamen Nutzung eines Rechners von verschiedenen Mitarbeitern bis hin zur Absicherung der Kommunikation für die Versendung sensibler Informationen.

1. Datenspeicherung, verschlüsselt sichern: Hier können grundsätzlich verschiedene Ansätze zum tragen kommen – Verschlüsselung im Betriebssystem oder mittels Software oder Hardware-unterstützt.

Verschlüsselung im Betriebssystem: Das Betriebssystem Windows bietet mit dem Encrypted File System (EFS) die Möglichkeit, Dateien und Ordner zu verschlüsseln, die auf Festplatten mit dem Dateisystem NTFS gespeichert sind. FileVault ist eine Funktion des Betriebssystems Mac OS X.  Hierüber werden – auch in Abhängigkeit der Betriebssystem-Version – verschiedene Optionen für den Schutz der Daten bereitgestellt.

Verschlüsselung mittels Software: Hier stehen zahlreiche, teilweise kostenlos zugängliche Programme zur Verfügung, die die Verschlüsselung einzelner Dateien und Ordner oder ganzer Datenträger ermöglichen.

Hardwareunterstützte Verschlüsselung von PCs und Notebooks: Dieser Chip kann als Schlüsselspeicher bei der Verschlüsselung von Daten dienen. Einige Computer, vor allem Notebook-Modelle für Geschäftskunden, sind mit einem Trusted Platform Module (TPM) ausgestattet.

2. E-Mail-Kommunikation, verschlüsselt kommunizieren: Grundsätzlich gibt es zwei Arten der E-Mail-Verschlüsselung – die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung sowie die Ende-zu-Ende-Verschlüsselung.

Bei der Ende-zu-Ende-Verschlüsselung müssen Schlüssel zwischen den Kommunikationspartnern getauscht werden, die zum Ver- und Entschlüsseln der Nachrichten genutzt werden zu können. Hierzu gibt es das symmetrische und asymmetrische Verfahren – beide bergen Vor- und Nachteile. Unter bestimmten Umständen könnte es sinnvoll erscheinen, wenn Sender und Empfänger eine nur ihnen bekannte Transformation untereinander vereinbaren und die Kenntnis darüber geheim halten. Dieser Ansatz ist jedoch aufgrund mehrerer Gründe nicht praktikabel – unter anderem, weil die Definition ebenso wie die Realisierung eines Verschlüsselungsalgorithmus einen erheblichen Aufwand erfordert.

Virtuell Private Network (VPN)

Als VPN wird ein virtuelles privates Netzwerk bezeichnet. Die Besonderheit ist hier, dass keine spezielle physische Verbindung genutzt wird, sondern ein bestehendes Kommunikationsnetz als Transportmedium Verwendung findet. Da ein virtuelles privates Netzwerk in sich abgeschlossen ist, kann es der verschlüsselten beziehungsweise sicheren Kommunikation sowie Übersendung von Daten über das Internet dienen. Aufgrund dessen ist es möglich, Mitarbeitern von Zuhause oder unterwegs den Zugriff auf das Unternehmensnetz zu gestatten und ihnen so die gleichen Arbeitsbedingungen wie im Büro zu bieten.

Bei Herstellung der Verbindung kann beispielsweise ein VPN-Client auf dem eigenen Rechner oder Laptop aber auch auf dem Smartphone eingesetzt werden. Ein VPN-System kann mittels IPSec oder SSL umgesetzt werden, auf der Unternehmensseite kommen typischerweise Gateways zum Einsatz und auf den zugreifenden Rechner sind im Regelfall mit VPN-Software ausgestattet, die entsprechende Authentifikation erfolgt über Security Tokens.

Ein VPN bietet Unternehmen die folgenden Sicherheitsfunktionen:

  • Verschlüsselung schützt die Vertraulichkeit der übertragenden Daten, da jedes Paket verschlüsselt werden kann.
  • Integritätsgesicherte Kommunikation sorgt für die Authentizität, also die Unversehrtheit der übertragenen Pakete, da jedes gegen Manipulation geschützt und auf Echtheit überprüft werden kann.
  • Authentifikation gewährleistet die Eindeutigkeit und Echtheit der Kommunikationspartner.
  • Tunneling verschleiert den Datentransfer für definierte Aspekte, die IP-Kommunikation kann gegen einen gewissen Grad der Verkehrsflussanalyse geschützt werden.

Zonenkonzept

Mithilfe eines Zonenkonzepts ist ein Stück weit das Problem lösbar, dass viele Komponenten im Produktionsnetzwerk nicht mit standardisierten Sicherheitsmechanismen wie beispielsweise Virenscannern ausgerüstet oder mit den jeweils aktuellen Sicherheitspatches versehen werden können. Denn diese Maßnahmen würden eine Systemlast erzeugen, die bei Echtzeit-Anwendungen nicht tolerierbar ist oder die Herstellerkonfiguration so verändern, dass die Gewährleistung erlischt.

Durch die Entwicklung eines Zonenkonzept hingegen lassen sich die Voraussetzungen dafür schaffen, Absicherungsmaßnahmen außerhalb der Fertigungs-/Automationsebene, also um das System herum, zu installieren. Dabei kommen Techniken der logischen Netztrennung, der Kontrolle der Verkehrsflüsse an Netzübergängen sowie gegebenenfalls auch der Zugangskontrolle an den Übergängen der verschiedenen Netzen zum Einsatz.

Generell kann die Segmentierung der Netzwerke – also Umsetzung eines Zonenkonzepts – als eine sowohl einfache als auch wirksame Methode zur Erhöhung des Sicherheitsniveaus bezeichnet werden. Unter Experten gilt dieses Konzept nach wie vor als probates Mittel, um Angreifer abzuwehren – nicht zuletzt, da bereits vielfach durch Penetrationstests belegt wurde, dass ab einer bestimmten Stufe keine weiteren Zugriffe mehr möglich sind.

Prävention - Organisatorisch

Awareness-Schulung

IT-Systeme sind zahlreichen Angriffen ausgesetzt, die auf unterschiedlichste Weise erfolgen können. Neben potentiellen Schwachstellen verursacht durch eingesetzte Technologien, wie etwa Anwendungssoftware (Software- Entwicklung, sichere), gibt es einen Risikofaktor, der verstärkt im Fokus stehen muss – die Mitarbeiter. Diese stellen ein beliebtes Angriffsziel dar, da sie mittels spezieller Praktiken, etwa Social Engineering dazu gebracht werden können, infiltrierte E-Mail-Anhänge zu öffnen oder Passwörter preiszugeben.

Dieses Gefährdungspotential lässt sich durch Awareness-Schulungen minimieren, indem den Mitarbeitern das notwendige Wissen über bestehende Gefahren bezüglich der IT-Systeme und dem Umgang mit Daten vermittelt wird.

Grundsätzlich umfasst die Aufklärung und Schulung der Mitarbeiter zwei Bereiche:

  1. IT-Sicherheit: In diesem - eher technisch ausgerichteten - Teil werden die Mitarbeiter über die Ziele und Methoden der Angreifer aufgeklärt. Inhaltlich steht hier zumeist die richtige Handhabung der Software im Vordergrund – typische Themen sind unter anderem: Datenspeicher, E-Mail, Identitätsdiebstahl, Phishing oder mobile Endgeräte.
  2. Unternehmensspezifische Schulung: In diesem Teil geht nicht nur darum, Gefahren zu erkennen, sondern auch richtig zu agieren, indem Wissen über die spezifischen Unternehmensrichtlinien und -prozesse zur IT-Sicherheit vermittelt wird. Die Mitarbeiter erhalten Informationen, welche Abläufe einzuhalten oder Personen zu informieren sind, wenn sicherheitsrelevante Ereignisse erkannt werden. Dafür werden auch Verhaltensregeln erarbeitet und trainiert, damit jeder Mitarbeiter im Ernstfall souverän reagieren kann.

Empfehlung: Jedes Unternehmen hat spezifische Anforderungen, die in der Awarenss-Schulung Berücksichtigung finden müssen. Die nachfolgend genannten Lösungsansätze für die Umsetzung dienen hierfür als erste Orientierung.

  • Der Mensch muss im Hinblick auf seinen Umgang mit den Daten und Geräten im Fokus stehen (jedoch nicht unter Außerachtlassung seiner Belange und Kompetenzen).
  • Der Umgang mit den Informationen muss auf der obersten Unternehmensebene geregelt werden.
  • Alle Beteiligten, angefangen beim Management bis hin zum Mitarbeiter in der Produktion, müssen im Hinblick auf die Gefahren sensibilisiert und trainiert werden.
  • Diese Implementierung der Sicherheitspolitik ist allein die Aufgabe der obersten Geschäftsführung.
  • Die Umsetzung erfolgt dabei einerseits über Aufklärung, andererseits jedoch auch über vertragliche Regelungen etwa über den Umgang mit vertraulichen Daten.
  • Essentiell: Der Entwurf einer Strategie, mittels derer die Botschaften des Unternehmens bei den Mitarbeitern wirklich verankert werden können, um eine dauerhafte Wirksamkeit zu erreichen.
Html Code Internet auf Computer
IT-Systeme sind zahlreichen Angriffen ausgesetzt. - (Bild: Pixabay)

Eskalationsmanagement

Als Incident oder Vorfall wird die unplanmäßige Unterbrechung eines IT-Services bezeichnet. Aber auch eine auftretende Minderung der Leistung stellt bereits einen Incident dar – ebenso wie ein Ereignis, etwa der Ausfall einer Festplatte in einem RAID-Verbund, das in der Zukunft einen IT-Service beeinträchtigen könnte. Hier ist eine adäquate Vorgehensweise unabdingbar, um Incidents in der angemessenen Zeit beheben zu können und die daraus resultierenden Folgen möglichst gering zu halten – diese Verfahrensweise beschreibt ein so genanntes Eskalationsmanagement.

Für die Festlegung der Regeln zur Eskalation können unter anderem folgende Kriterien Verwendung finden:

1. Was löst die Notwendigkeit zur Eskalation aus?

  • Der Schweregrad eines Incidents; hier kann festgelegt werden, welche besonders gravierenden Incidents eine sofortige Eskalation – ohne Durchlaufen weiterer Prüfung – erfordern.
  • Die Zeit; hier kann definiert werden, dass eine Eskalation zu erfolgen hat, wenn der Incident nicht innerhalb eines festgelegten Zeitraums beseitigt wurde, zum Beispiel weil die in einem SLA vereinbarte maximale Zeit zur Problembehebung überschritten ist.
  • Im Idealfall erfolgt eine Eskalation systemgesteuert aufgrund hinterlegter Regeln für die Eskalationsauslösung.
  • Die Regeln können auch aus einer Kombination der vorgenannten Parameter bestehen.

2. Festlegung der Reihenfolge der Ansprechpartner in Form einer Eskalationshierarchie, beispielsweise

  • First Level Support
  • Incident Manager
  • Leiter Rechenzentrum
  • IT-Leiter

3. Zuordnung von Auslösern und Eskalationshierarchie; hier sind jene Bedingungen beschrieben, die zur Eskalation einer bestimmten Stufe der Eskalationshierarchie zugewiesen werden.

Rechteverwaltung, Identity und Access Management (IAM)

Unter dem Begriff Identity und Access Management (IAM) wird jeglicher Einsatz von digitalen Identitäten, der Attributen, deren Berechtigungen für IT-Systeme sowie IT-Dienste verstanden und schließt die Erzeugung, Nutzung, Pflege und Löschung dieser digitalen Identitäten mit ein.

Ziel ist es, vertrauenswürdige, identitätsbezogene und regelkonforme Prozesse zu etablieren und durchzusetzen. Idealerweise wird mit dem IAM der Zeitrahmen von der Einstellung eines Mitarbeiters über dessen Integration bis hin zu seinem Ausscheiden betrachtet – mit allen notwendigen Anpassungen inklusive der Löschung.

Die Zugriffsrechte- oder auch Ausführungsrechte bilden dabei die Regeln für die administrative Zugriffskontrolle, nach denen entschieden wird, ob und wie Benutzer, Programme oder Programmteile, IT-Dienste, Operationen auf Objekten wie Netzwerke, Drucker, Dateisysteme ausführen dürfen.

Eine wichtige Anwendung stellt dieses Konzept im Bezug auf Dateisystemberechtigungen dar: Hier wird definiert, welche Befugnisse den Nutzern zustehen, also welche Dateien und Verzeichnisse sie lesen, schreiben, ändern oder ausführen dürfen. Dabei können Zugriffsrechte unternehmensspezifisch definiert werden – im einfachsten Fall wird nur festgelegt, welche Mitarbeiter was tun dürfen Häufig erfolgt diese Festlegung nicht für einzelne Personen, sondern für eine Gruppe/Rolle festgelegt.

Empfehlung: Für Regelung der Zugänge zu Systemen und Netzwerken wird eine Authentifikation der Nutzer, zum Beispiel mit Security-Token oder Passwörtern durchgeführt. Mit der Authentifikation werden somit auch die Zugriffsrechte auf eine Soft- oder Hardware verbunden. Hierbei wird gleichzeitig auch festgelegt, ob mit diesem Zugriffsrecht Informationen nur gelesen, oder auch ausgedruckt oder sogar verändert werden dürfen. So erhält ein Prokurist das Zugriffsrecht auf die Buchhaltung, ein Außendienstmitarbeiter jedoch nicht, sondern nur auf die Programme, die für seinen Arbeitsplatz benötigt werden, wie zum Beispiel Formulare für die Kunden.

Zugangskarten

Zur umfassenden Gewährleistung des Schutzes der IT-Systeme und Daten vor unberechtigtem Zugriff bedarf es auch physischer beziehungsweise organisatorischer Maßnahmen – also einer Zugangskontrolle, optimal umgesetzt mittels Zugangskarten.

Denn auch durch das physische Eindringen in Unternehmen können Angreifer bestimmte Angriffe initiieren oder durchführen, zum Beispiel mittels Social Engineering. Von daher bedarf es eines festgelegten Regelwerks "Wer darf wann wohin", damit nur berechtigte Personen Zugang zu den, für sie freigegebenen Bereichen in Gebäuden oder geschützten Arealen – wie etwa der R&D-Abteilung –erhalten, das unter Einsatz von Zugangskarten optimal umgesetzt werden kann.

Die Zutrittsberechtigung kann von Menschen oder auch von technischen Zutrittskontrollsystemen anhand von Identitätsnachweisen überprüft werden.

Empfehlung: Zugangskarten bieten durch den Einsatz moderner Technologien höchste Sicherheit.

Vorteile von Zugangskarten

  • Höchstmögliche Absicherung von Bereichen, die einer Zutrittssicherung bedürfen, unter anderem aufgrund hoher Fälschungssicherheit
  • Aufwandsreduzierung bei Zutrittskontrollen, unter anderem durch sichtbare Identifikation über Bild, Name und Zuständigkeit
  • Aufwandsoptimierung für Verwaltungs- und Personalmanagement.

Detektion

Intrusion Detection-Systeme (IDS)

Intrusion Detection-Systeme (IDS) sind genau wie beispielsweise Anti-Malware reaktive Sicherheitssysteme. Die grundsätzliche Idee dahinter ist, Angriffe gegen IT-Systeme oder Rechnernetze so gut und schnell als möglich zu erkennen. Hierfür kann das IDS alternativ als Software direkt auf dem zu überwachenden IT-System zum Einsatz kommen oder als Ergänzung zur Firewall fungieren, aber auch als Hardware installiert sein.

Die Detektion von Angriffen erfolgt über Anomalie-Erkennung oder mit Hilfe von Signaturen, in denen spezifische Angriffsmuster beschrieben sind. Die generierten Daten werden fortlaufend mit den bekannten – in der Musterdatenbank niedergelegten – Signaturen verglichen.

Sobald ein neues Ereignis mit einem der Muster übereinstimmt, wird ein Einbruchsalarm ausgelöst und beispielsweise dem Administrator via Log-Dateien übermittelt, damit dieser die entsprechenden Gegenmaßnahmen einleiten kann. Um hier angemessen reagieren zu können – beispielsweise bestimmte Ports zu sperren – ist es essentiell, dass das IDS detaillierte Informationen über Art und Herkunft des Angriffs zur Verfügung stellt.

Gegenüber einer reinen Firewall bietet das IDS einen besseren Schutz, da hierüber auch Angriffe hinter der Firewall zu erkennen sind.

Empfehlung: Abhängig dem zu schützenden System werden IDS je nach ihrer Architektur in drei verschiedene Arten unterteilt:

  • Host-basierte Intrusion Detection Systeme
  • Netzwerk-basierte Intrusion Detection Systeme
  • hybride Intrusion Detection Systeme

Frühwarn-Systeme, allgemein

Bei Frühwarnsystemen sind zwei Aspekte ausschlaggebend:

Zum einen ist es wichtig, Angriffspotentiale frühzeitig zu erkennen, um potentielle Schäden begrenzen oder bestenfalls vollständig vermeiden zu können – wobei der Grad der Begrenzung beziehungsweise die erfolgreiche Abwehr eines Schadens jedoch im Weiteren stark von der Initiierung geeigneter Gegenmaßnahmen abhängt.

Zum anderen sind diese Systeme notwendig, um mittels der darüber generierten Informationen die jeweiligen IT-Infrastrukturen so anzupassen und verbessern, dass sie gegen zukünftige Angriffe besser gerüstet sind.

Die Idee eines Frühwarnsystems basiert somit auf folgenden Zielen: Zum einen die Verbesserung der IT-Infrastrukturen hinsichtlich Sicherheit und Vertrauenswürdigkeit allgemein. Zum anderen einen kontinuierlichen Status über die IT-Infrastruktur zu erzeugen, der in Kooperation mit öffentlichen und privaten Partnern im Sinne einer kollaborativen Frühwarnung erhoben wird.

Zusammenfassend lässt sich daraus folgendes ableiten: Basierend auf verlässlichen Ergebnissen und Resultaten über Angriffspotentiale oder bereits eingetretene Sicherheitsvorfälle, die jedoch zu einem bestimmten Zeitpunkt erst wenige IT-Infrastrukturen betreffen, wird ein angefertigtes Sicherheitslagebild kontinuierlich aktualisiert. Darüber lässt sich realisieren, dass beim Eintreten eines relevanten Vorfalls eine qualifizierte Warnung an potentiell betroffene Unternehmen verbreitet wird, damit diese – aufgrund einer schnellen Reaktionsmöglichkeit –Schäden verringern beziehungsweise komplett vermeiden können.

Monitoring

Durch Monitoring kann über die Ermittlung von definierten Indikatoren sichergestellt werden, dass sich alle – zur Überwachung festgelegten – Komponenten im Rahmen der vorgegebenen Parameter bewegen. Mittlerweile sind dies nicht mehr nur reine Leistungsparameter etwa im Bereich der CPU-Auslastung, sondern umfasst alle Bereiche der IT, inklusive Sicherheit, Verfügbarkeit oder auch Nutzungsverhalten von Anwendern.

Das Ziel von Monitoring ist die bestmögliche Aufrechterhaltung eines reibungslosen Betriebs der definierten IT-Systeme.

Grundsätzlich führt Monitoring zur Ermittlung von Ursachen für die Abweichung von Parametern, um

  • Probleme so rechtzeitig zu erkennen, dass sie beseitigt werden können, bevor größere Schäden entstehen.
  • Ursachen des Problems zu identifizieren und lokalisieren.
  • durch Know-how-Gewinn die Früherkennung zukünftiger Probleme sicherzustellen, damit Maßnahmen zu deren Vermeidung getroffen werden können. 

Die Festlegung des Betrachtungszeitraums, der beim Monitoring erfassten Daten hängt von der individuellen Zielsetzung ab:

  • Proaktiv: Zur Behebung bestimmter Problemstellungen, etwa systematische Verfügbarkeitsprobleme empfiehlt sich die automatische Erzeugung von (Langzeit-)Statistiken zu IT-Diensten. In derartigen Daten finden sich oftmals die besten Hinweise sowie entsprechende Lösungsansätze.
  • Reaktiv: Durch ein Real-Time-Monitoring, also die laufende Überwachung der Funktionalität von Diensten, sollen Ausfälle schnellstmöglich registriert und einen Verantwortlichen entsprechend in Kenntnis gesetzt werden, damit er diesen umgehend beheben kann. Im optimalen Fall bevor die Nutzer den Ausfall bemerken.

Empfehlung: Der Einsatz von Monitoring ist für viele verschiedene Bereiche geeignet – zum Beispiel auch zur Überwachung der Umsetzung von vereinbarten Service Level Agreements (SLA).

Reaktion

Backup, Einspielen von

Jedes Backup ist nur so gut wie die Gewährleistung der – im Ernstfall beispielsweise nach einem Angriff mit Ransomware notwendigen –Wiederherstellung der Daten. Aus diesem Grund empfiehlt es sich in regelmäßigen Abständen Kontrollen durchzuführen, etwa dahingehend dass ein initiiertes Backup auch ordnungsgemäß durchgeführt wurde.

Auch sollten im vorhinein Regeln für das Backup festgelegt werden, zum Beispiel bezüglich der Abspeicherung der Versionsstände.

Sie möchten gerne weiterlesen?