Das Thema IT-Sicherheit ist inzwischen im Bewusstsein deutscher Unternehmer angekommen. Nichtsdestotrotz sind die wenigsten Betriebe ausreichend gegen Bedrohungen etwa durch Social Engineering, DDoS-Attacken oder Datendiebstahl abgesichert.
Ein etabliertes Sicherheits-System ist in diesem Kontext ein Security Information and Event Management (SIEM). Umfassender Schutz sollte jedoch darüber hinausgehen und auch präventiv sein.
Laut einer Studie des Branchenverbandes Bitkom aus dem Jahr 2016 steht mit 36 Prozent vor allem die Produktion und Fertigung im Fokus von Cyberattacken. Die Angriffe ziehen nicht selten erhebliche monetäre Schäden durch einen Betriebsausfall nach sich. Zwar besteht laut der Studie in allen Betrieben heute ein Basisschutz aus Firewall, Virenscanner und Passwortschutz, doch nur 27 Prozent der befragten Unternehmen verfügen über Intrusion Detection Systeme. 35 Prozent schützen sich mittels Data Leakage Prevention gegen den Abfluss von Daten.
EU-DSGVO: Hohe Bußgelder drohen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt als Standard zur Informationssicherheit ein Information Security Management System (ISMS) nach ISO 27001. Mit der neuen Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO), die im Mai 2018 in Kraft tritt, bekommt die Prävention von Angriffen einen höheren Stellenwert. Denn der Gesetzgeber sieht für Unternehmen, die ihrer Sorgfaltspflicht in Bezug auf personenbezogenen Daten nicht nachgehen, hohe Bußgelder vor. Das heißt: Ist nicht sichergestellt, dass sensible Daten nicht nach außen abfließen können, wird es teuer.
Ein SIEM schlägt umgehend Alarm, wenn ein Angriff stattgefunden hat. Dann ist die Sorgfaltspflicht jedoch bereits verletzt und das Unternehmen ist verpflichtet, den Diebstahl der Daten zu melden. Hersteller wie Skybox Security schließen diese Lücke und bieten Risk- und Security-Management-Plattformen an. Sie erkennen Sicherheitsrisiken und legen diese offen. Das System weist auf Schwachstellen hin, die beispielsweise das Eindringen von Ransomware ermöglichen. Natürlich entdeckt auch ein Schwachstellen-Scanner diese Lücken. Ein Risk Management Tool liefert zusätzlich einen automatisierten Report, inklusive der CVE-Nummer der Lücke. Die Verantwortlichen können sofort beurteilen, wie gegenwärtig die Bedrohung ist und ob Handlungsbedarf besteht.
Proaktive Software
Die Software überprüft das System in einem individuell festgelegten Intervall auf Schwachstellen. Es hat sich bewährt, diesen Scan mindestens täglich ablaufen zu lassen – vorzugsweise nachts, wenn das Netzwerk nicht ausgelastet ist. Haben die IT-Verantwortlichen neue Regeln im System implementiert, zeigt der Report am Ende des Checks wie sich diese auswirken. Ist eine neue relevante Schwachstelle entstanden? Oder haben die Neuerungen keinen Einfluss auf den Sicherheitsstatus?
Um das System scannen zu können, benötigt die Software zunächst sämtliche aktuellen Konfigurationen des Netzwerks inklusive der dafür notwendigen Anmeldeinformationen. In einer automatisiert erstellten Kommunikations-Matrix visualisiert sie den Ist-Zustand des Systems. Das macht eine anfängliche Bestandsaufnahme überflüssig. Die Software adaptiert alle Systeme, angefangen beim Virenscanner über das Patch-Management bis hin zum Asset Management. So überblickt sie alle Kommunikationsbeziehungen und deren Wechselwirkungen. Bereits die initiale Implementierung deckt häufig Schwachstellen auf.
Automatisierter Report
Eine Risk- und Security-Management-Plattform besteht aus drei Komponenten: Firewall Assurance, Network Assurance und Change Manager. Die Firewall Assurance setzt alle Firewall-Systeme in Zusammenhang und beurteilt sie auf Grundlage von Layer-2- und Layer-3-Parametern. Sämtliche Regeln und Funktionen sind hier komprimiert. Die Network Assurance betrachtet alle Kommunikationsbeziehungen Ende-zu-Ende. Das kann beispielsweise die Verbindung von Client zu Client, WLAN zu Internet oder Server zu Server sein. Abschließend betrachtet der Change Manager, welche Wechselwirkungen Änderungen im System nach sich ziehen. Ein Report analysiert, ob eine neue Anforderung unter Umständen relevante Schwachstellen erzeugt. In diesem Fall hat das Unternehmen die Möglichkeit, die Sicherheitslücke zu beseitigen, bevor andere sie entdecken.
Alle Risikopotenziale stellt das System grafisch dar. In einem übersichtlichen Dashboard visualisiert es Schwachstellen in drei Kategorien: Rot, Orange und Grün. Rot bedeutet beispielsweise, die Verantwortlichen sollten dieses Risiko umgehend beseitigen. Diese Darstellung ermöglicht auch dem fachfremden Management die Auswertung zu deuten. Sind die Risiken identifiziert, gibt die Plattform Handlungsempfehlungen. Der Change Manager definiert notwendige Maßnahmen, um die Sicherheitslücke zu beheben. Reicht es aus, einen neuen Patch zu installieren, eine neue IPS-Signatur einzuführen oder müssen die zuständigen Mitarbeiter die Firewall-Regeln anpassen?
Netzwerk-Übersicht mit Aha-Effekt
Automatisiert erstellt der Change Manager konkrete To-dos und weist diese den zuständigen Mitarbeitern zu. Er priorisiert dabei nach Parametern wie Dringlichkeit oder Gefahrenpotenzial. Im Dashboard stellt das System übersichtlich dar, welche Aufgaben bereits erledigt sind und welche noch ausstehen. Ein interessanter Nebeneffekt ist hierbei, dass ersichtlich wird, welche Berührungspunkte die einzelnen Netzwerk-Komponenten haben.
Ebenfalls interessant: Die Software ist in der Lage, Angriffe zu simulieren. Wie würde sich etwa eine Cyber Attacke auf einen Firewall Port auswirken? Ein „Penetration Test“ legt offen, wo Probleme in den Prozessen liegen. Er hätte beispielsweise auch die Sicherheitslücke entdeckt, die sich „WannaCry“ zu Nutze gemacht hatte.
Fazit
Ein Risk Management Tool hat im Vergleich zu einem Vulnerability Scanner einen nicht unerheblichen Vorteil: Es arbeitet proaktiv und erfüllt somit die Vorgaben der neuen EU-DSGVO. Auch für kleine und mittelständische Unternehmen ist die Software interessant. Fehlt das technische Know-how, lässt sich das System auch wirtschaftlich durch Managed-Service-Anbieter betreiben. Immer häufiger kommt es auch in Verbindung mit einem SIEM als Herzstück eines Security Operations Center zum Einsatz.
Thomas Wimmer, Leiter Informationssicherheit bei AirITSystems