Sicherheit für Unternehmen

Tipp 1: „Schatten-IT“ muss analysiert und eingedämmt werden

Als „Schatten-IT“ in Unternehmen bezeichnet man die Programme und Dienste, die von Benutzern verwendet werden, obwohl das Unternehmen diese nicht dafür vorgesehen hat.

Beispielsweise bietet eine große österreichische Sozialversicherungsanstalt den Ärzten einen relativ geringen Komfort im EDV-Bereich und fast gar keine Möglichkeiten für den Austausch von medizinischen Dokumenten, weil ihre wichtigen Systeme schon sehr alt sind und nicht mehr zeitgemäß funktionieren. Viele Benutzer verwenden in dieser Einrichtung deshalb moderne Chat-Clients wie Viber und WhatsApp und schicken einander über diese Fotos mit medizinischen Dokumenten von Patienten. Die Fotos haben sie mit ihren Smartphones, die ebenfalls nicht vom Unternehmen zugelassen sind, gemacht. In der Realität hat sich so eine riesige, nicht von der Sozialversicherung betriebene Schatten-IT entwickelt, die für die Benutzer dieser Organisation fast genauso wichtig ist wie die zertifizierten und zugelassenen Systeme.

Es ist deshalb hoch an der Zeit, neben der dokumentierten IT- und IT-Security-Architektur auch die Schatten-IT zu durchforsten. Hier spielt auch die sogenannte „Shadow Cloud“ eine besondere Rolle – z.B. die Verwendung von Dropbox und ähnlichen Anbietern für den Dateiaustausch. In den meisten Fällen stellt sich heraus, dass Benutzer gerne auf unternehmenseigene Systeme umsteigen und die „Shadow Cloud“ verlassen, wenn diese die notwendigen Funktionen anbieten.

Tipp 2: Auswahl der richtigen Sicherheitsberater

Für Firmen und Organisationen ist es wichtig, wirklich fachkundige Berater im Bereich der Computersicherheit oder zur Aufarbeitung von Cyber-Angriffen einzusetzen.

Vorsicht ist bei Firmen geboten, die eine Unmenge an Dienstleistungen anbieten, in denen auch Cyber-Security enthalten ist, ohne einen wirklichen Schwerpunkt darzustellen. Das Ziel solcher Unternehmen ist häufig nicht nur die singuläre Beratung in kleinem Rahmen oder die Behebung eines akuten Problems – sondern der Abschluss möglichst umfangreicher Aufträge, um die Einbindung von Mitarbeitern aus anderen Beratungsbereichen zu ermöglichen, und damit ihre allfällige Inkompetenz im Bereich Computersicherheit zu verbergen.

Daher ist es sehr wichtig, beim Abschluss von Verträgen immer darauf zu bestehen, dass zu jedem Zeitpunkt zumindest ein erfahrener Mitarbeiter des Beratungsunternehmens aus diesem Bereich anwesend und greifbar ist. Dieser sollte auch außerhalb des Beratungsunternehmens – „auf der Kundenseite“ – IT- und IT-Security-Erfahrungen gesammelt haben, z.B. als Chief Information Security Officer (CISO), als Netzwerktechniker oder als Datenforensiker.

Eine weitere Gefahr stellen Unternehmen dar, deren Ziel es hauptsächlich ist, bestimmte Software- oder Hardwareprodukte an den Kunden zu bringen – seien es eigene oder von ihnen vertriebene. Diese Produkte sind zumeist sehr gewinnträchtig und können durch geschickte Maintenance-Verträge auch über lange Zeit Lizenzeinnahmen bringen. Um dieses Ziel zu erreichen, werden in manchen Fällen von solchen Unternehmen sehr günstige oder sogar unentgeltliche Beratungen angeboten, die Probleme der Kunden aber nicht oder nur schlecht gelöst, dafür aber häufig sogar neue herbeigeredet – und das so lange, bis ein Produkt der Firma angekauft oder gemietet wird.

Auf die vorhin beschriebene Art und Weise sind viele Projekte im Bereich der Computersicherheit gescheitert, da zu wenig Fachwissen und Erfahrung vorhanden waren. Dieser Bereich ist besonders anfällig für schlechte Beratung, da es oft keine Möglichkeit gibt, den Erfolg des Beraters zu messen. Dieser kann sich leicht auf unklare, unzugängliche, kriminelle Vorgänge berufen (z.B. Angriffe aus dem Darknet), die nicht vorhersehbar waren. Niemand auf der Kundenseite kann dann so einfach nachvollziehen, ob neu auftretende Probleme das Resultat mangelhafter Beratung waren oder ob sie aufgrund externer Faktoren tatsächlich nicht gelöst oder verhindert werden konnten. Die besten Berater für diesen Themenbereich sind Personen, die bereits operativ im Bereich Cyber-Security tätig waren und auch über Beratungs-Know-how verfügen. Sie können die anstehenden Probleme schneller und mit weit weniger finanziellem Aufwand behandeln, lösen oder zumindest verbessern.

Besonders kritisch muss auch die Rolle von Beratern gesehen werden, die versuchen, die Aufgaben von Strafverfolgungsbehörden zu übernehmen oder sich in diese einzumischen. Das ist äußerst fragwürdig, und Unternehmen sollten besser Abstand davon nehmen! Denn auf eigene Faust zu ermitteln, kann schwere und kontraproduktive Entwicklungen nach sich ziehen, die dem Unternehmen noch mehr Schaden zufügen als die Vorfälle, die eigentlich untersucht wurden. Überdies kann es sein, dass solcherart ermittelte Ergebnisse vor Gericht ein Verwertungsverbot nach sich ziehen. Im Extremfall kann es sogar passieren, dass Organe von Unternehmen, die solche „Beratungsleistungen“ in Auftrag gegeben haben, damit Straftaten oder deren Anstiftung begünstigen und daher selbst angeklagt werden können.

Tipp 3: Benutzer- und Zugriffsverwaltung / Konfigurationsmanagement

In größeren Organisationen sollte ein Identitäts- und Zugriffsmanagement-System (IAM) eingerichtet werden, das intelligent mit dem Verzeichnis der Benutzer in der Organisation verbunden ist (z.B. über die Schnittstellen LDAP oder Active Directory). Jede Benutzerinteraktion sollte aufgezeichnet werden und für spätere Auswertungen zur Verfügung stehen.

Scheiden Benutzer aus der Organisation aus, sollte man ihre E-Mail-Adresse zumindest noch drei Monate in Betrieb halten. Damit kann man sehen, ob einlangende E-Mails auf ein rechtswidriges Verhalten hinweisen, mit dem beispielsweise Compliance-Vergehen oder Computerkriminalität verbunden sein könnte.

Sollte in der Organisation eine Single-Sign-on-Lösung implementiert sein, die Benutzer rollenspezifisch gleichzeitig an mehrere Systeme anmeldet, sollte unbedingt der Einsatz von Zwei-Faktor-Authentifizierung überlegt werden (z.B. durch Sicherheits-Token oder Smartcards). Im Zuge der Einrichtung eines solchen Systems ist es auch ratsam, ein Inventar der gesamten Hard- und Software im Unternehmen anzulegen und sicherzustellen, dass diese im Sinne der Benutzer- und Zugriffsverwaltung richtig konfiguriert ist und beispielsweise keine Standard-Passwörter verwendet werden oder bekannte „Hintertüren“ geschlossen wurden.

Tipp 4: Sicherheit im Netzwerk und Wi-Fi verbessern

Aus Medienberichten nach der Verhaftung von angeblichen russischen Agenten in den Niederlanden, die vor der Organisation für das Verbot chemischer Waffen (OPCW) mit einem Wi-Fi-Einbruchswerkzeug aufgetreten waren, ging hervor, dass drahtlose Netzwerke für Kriminelle als Einfallstore in unsere Netzwerke gesehen werden.

Wichtig für die Sicherheit im WLAN ist die Verwendung von qualifizierten Passwörtern für Router und Clients und auch die regelmäßige Information, welche Geräte darüber angeschlossen sind. Die von Apple mitgeliefert Routine „Wireless Diagnostics“ generiert einen Bericht über das Netzwerk, von dem man umgeben ist. Diesen sollte man aufmerksam analysieren, auf Schwachstellen überprüfen und gegebenenfalls korrigierend eingreifen.

Organisationen sollten analysieren, wie weit ihre drahtlosen Netze reichen, damit nicht Eindringlinge von der Straße aus Hacking-Versuche unternehmen können. Für hochsichere Unternehmensteile ist eine separate Konfiguration vorzusehen, die auf keinen Fall mit dynamisch generierten Netzwerkadressen arbeiten sollte, sondern jedes verwendete Device erst mittels autorisierter MAC-Adresse in das Netzwerk lässt.

Moderne Echtzeit-Sicherheitsüberwachungssysteme

Unternehmen sollten den Einsatz von übergreifenden SIEM-Lösungen (das ist die englische Abkürzung für „Security Information and Event Management“) überprüfen, mit denen ihre Netzwerke und Systeme rund um die Uhr überwacht werden und bei Angriffen Alarm geschlagen wird.

Überdies ist der Einsatz spezieller Software zur Entdeckung von Eindringlingen (Intrusion Detection) und von Datenabflüssen (Data Leak Prevention) gerade in Organisationen wie Banken anzuraten, in denen Kriminelle laufend versuchen, über technische Mittel einzudringen oder über Social Engineering Mitarbeiter dazu anzustiften, ihnen sensible Informationen zu senden.

Tipp 5: Sichere Software entwickeln und einsetzen / Verschlüsselung

Viele Unternehmen leben mit einem Moloch aus alter, schlecht gewarteter Software. In manchen Fällen sind die Entwickler schon im Ruhestand oder verstorben, die Software wird aber trotzdem nicht ausgetauscht, weil damit verbundene unwägbare Kosten oder mögliche Systemausfälle befürchtet werden. Die Risiken, die man damit eingeht, sind meist viel größer als die Folgen einer kontrollierten Ablöse.

Sollte eine solche stattfinden, müssen aber neben funktionalen Aspekten, der leichteren Handhabbarkeit durch Benutzer und der guten Administrierbarkeit neuer Software unbedingt auch Verbesserungen im Sicherheitsbereich stattfinden.

Eine Bestandsaufnahme und Erneuerung der IT-Architektur ist immer eine große Chance für die Verbesserung der IT-Security-Architektur!

Verschlüsselung verwenden

Neue Programme, sollten verschlüsselt kommunizieren und Daten speichern können.

Das gilt auch für extern zugekaufte Software (z. B. Instant-Messaging-Dienste), die man maßgeschneidert für viele Unternehmen konfigurieren kann, auch um die Benutzer von den in der Schatten-IT benutzten Services wegzubringen.

Tipp 6: Einsatz von Systemen mit künstlicher Intelligenz

In allen Bereichen der IT-Sicherheit sollte der Einsatz künstlicher Intelligenz überlegt werden. So sollten moderne Schwachstellen-Scanner nicht nur statische Informationen über Angriffsvektoren haben, sondern in selbst lernender Manier neue Angreifer entdecken können. Ein solches neues System wird derzeit in Österreich für Geräte in Krankenhäusern, die am Internet der Dinge hängen, entwickelt, um auch deren Sicherheitssituation zu verbessern.

Einen guten Anwendungsfall hat der Schweizer Telekom-Konzern Swisscom für die Abwehr von Phishing-Attacken mit einer Software namens „Phisherman“ aufgezeigt. Diese Software nutzt fortgeschrittene Techniken des maschinellen Lernens, um Phishing-Versuche zu erkennen und zu qualifizieren. Laure Willemin, Head of AI bei Swisscom, erklärte zu diesem Trend:

„Neue Technologien führen oft zu Unsicherheit und Missverständnissen, sie können auch missbräuchlich genutzt werden. Aber die positiven Effekte überwiegen bei Weitem.“

Künstliche Intelligenz ersetze zwar nicht bestehende Systeme, aber sie reduziere den manuellen Aufwand, vermindere die Reaktionszeit und erhöhe damit die Gesamtsicherheit eines Unternehmens, so Willemin.

Tipp 7: Schwachstellen laufend durch Penetrationstests prüfen

„Ethische Hacker“ oder „White Hats“ überprüfen die Sicherheitsvorkehrungen im Auftrag von Unternehmen oder Organisationen.

Um einen Eindruck von diesen Tests zu bekommen, kann man auch im Internet frei verfügbare Scanner verwenden. Eine Übersicht findet man auf der Webseite der OWASP (Open Web Application Security Project). Der dort aufgeführte Zed Attack Proxy (ZAP) ist ein unentgeltlichen Scanner, der viele Schwachstellen einfach. Ein weiterer sehr einfach verwendbarer Scanner, der aber nicht so tiefe Analysen vornimmt, ist Sucuri.

Mittels Penetrationstests werden Angriffe auf ein Rechnersystem oder eine Webseite simuliert, um mögliche Schwachstellen, Verwundbarkeiten oder Konfigurationsfehler zu finden. Dabei können Tools zum Einsatz kommen, die denen von Hackern ähneln. Werden solche Tests im Rahmen eines größeren Audits durch externe Spezialisten durchgeführt, sollten daher vorher die für IT-Security Verantwortlichen informiert werden, da ja ihre Warnsysteme anschlagen sollten. Vertraut man diesen nicht, empfiehlt es sich, vorab jeden Schritt so zu dokumentieren, dass keine langwierige Diskussion über etwaige Hacking-Versuche entsteht, die dann zumeist weit über die Maßnahme selbst hinausgeht.

Werden bei solchen Tests wichtige, geschäftskritische Systeme eines Unternehmens überprüft, muss unbedingt sichergestellt sein, dass Backup- oder Ausfallssicherungsmöglichkeiten bestehen, falls ein solches System durch den Penetrationstest zum Stillstand kommt (beispielsweise das Internet-Banking-Portal einer Bank).

Tipp 8: Notfallpläne und Krisenkommunikation

Jedes Unternehmen sollte sich darauf vorbereiten, dass es nach Cyberattacken in höchst problematische Situationen geraten kann. Dafür sollte einerseits ein Business-Continuity-Plan ausgearbeitet werden, der hilft, zumindest für einige Zeit analog im Notbetrieb weiterzuarbeiten.

Andererseits sollte die Kommunikation und Krisenorganisation vorher festgelegt werden. Es gibt hoch spezialisierte Berater, die eigene Vorgehensmodelle für solche Fälle haben und über die wichtigsten Medien- und Behördenkontakte verfügen, um ihren Kunden in der Zeit relativer Hilflosigkeit wieder auf die Beine zu helfen.

Überdies können hier Cyber-Versicherungen helfen (siehe Tipp 10).

Tipp 9: Hardware-Strategie für private Geräte überprüfen

Unternehmen sollten laufend die von ihnen im Rechenzentrum und von ihren Benutzern verwendete Hardware evaluieren. Zu alte Desktop-Computer und Smartphones werden in manchen Organisationen nicht ausgetauscht, sondern es wird den Benutzern freigestellt, eigene Geräte zu verwenden. Was am Anfang wie eine Einsparung, gepaart mit einem gewissen zusätzlichen Komfort für die Anwender aussieht (sie können ja ihre privaten und beruflichen Programme am gleichen System verwenden), rächt sich im Fall von einem Schadsoftwarebefall auf diesen Geräten, der durch den privaten Nutzungsteil verursacht wird.

Noch viel mehr gilt das für USB-Sticks, bei denen Unternehmen ausschließlich die Nutzung von verschlüsselten, vom Unternehmen ausgegebenen Devices zulassen sollten. Auch zufällig in Büros am Boden oder sonst wo aufgelesene Sticks sollten nicht in Computer gesteckt, sondern sofort der Sicherheitsabteilung übergeben werden, die sie auswerten kann.

Tipp 10: Abschluss einer gewerblichen Cyber-Versicherung

Die Nutzung der neuen Informations- und Kommunikationstechnologien hat vielfältige Gefahrenquellen entstehen lassen, die es in der Agrar- und Industriegesellschaft in dieser Form nicht gab. Versicherungen entwickeln immer wieder neue Produkte und haben für den Bereich der Cyberversicherung eine große Produktbandbreite definiert, aus der man erkennen kann, wie komplex diese Themenstellung ist.

Eine Gruppe von Chief Risk Officers von Versicherungsunternehmen (CRO Forum) hat eine lange Liste von Cyberrisiken entwickelt, die vielfältige versicherbare Bereiche aufführt:

  • Betriebsunterbrechung durch IT-Systeme
  • Betriebsunterbrechung durch den Ausfall von IT-Drittleistern
  • Daten- und Softwareverlust
  • Betrug oder Finanzvergehen
  • Cyberlösegeld oder Erpressung
  • Verlust oder Diebstahl von geistigem Eigentum
  • Kosten für die Aufarbeitung von Cyberattacken
  • Verletzung des Datenschutzes
  • Reputationsverlust
  • Versagen der Netzwerksicherheit oder Netzwerkausfall
  • Rechtliche Beratungs- und Verteidigungskosten
  • Strafzahlungen an Behörden
  • Psychologische Betreuungskosten
  • Haftungskosten für beschädigte Produkte
  • Haftungskosten für die Geschäftsführung
  • Umweltschäden
  • Körperverletzung und sogar in manchen Fällen der Tod von Menschen

Jedem Unternehmen wird angeraten, solche Versicherungen anzudenken. Schon die Diskussion über die Versicherbarkeit mit dem potenziellen Versicherer kann den Ausschlag für den Start einer unternehmensweiten Sicherheitsoffensive geben, da Versicherer häufig vor dem Abschluss bestimmte Maßnahmen anregen, um Risiken einzudämmen.

In Österreich bietet eine Versicherung beispielsweise folgende recht umfassende Absicherung gegen die finanziellen Folgen von Cyberangriffen:

  • „Wählbare Versicherungssumme von EUR 100.000,-, EUR 250.000,-, EUR 500.000,- und EUR 1.000.000,-.
  • Verschiedene Selbstbehalte zur Auswahl beeinflussen die Prämienhöhe.
  • 24 h 7 Tage Cyber Center – Anlaufstelle für Schadensfälle.
  • Sofort Support bei Cybervorfällen.
  • Auch Betriebsunterbrechung aufgrund von Cyberkriminalität ist versicherbar.
  • Günstige Prämie, wenn man bedenkt, was allein ein IT-Experte am Tag kostet.“