Die kommende Datenschutz-Grundverordnung (DSGVO) verlangt nicht nur die genaue Rückverfolgbarkeit personenbezogener Daten. Sie nimmt Unternehmen auch hinsichtlich Datenleaks und Hackerangriffe stärker in die Verantwortung. Um die Sicherheits-Compliance im Rahmen des Datenschutzes zu verbessern empfehlen sich 10 Best Practices.
Künftig müssen Unternehmen Datenschutzverletzungen den zuständigen Behörden innerhalb von 72 Stunden nach Bekanntwerden melden. Tun sie es nicht, fallen Geldbußen an. Das Risiko ist hoch, vor allem da ein attraktives Einfallstor für Hackerangriffe – Software Vulnerabilities – noch immer stiefmütterlich behandelt werden. Gartner geht davon aus, das noch bis 2020 99% aller ausgenutzten Schwachstellen den Sicherheits- und IT-Mitarbeitern mindestens seit einem Jahr bekannt sind.
Viele der Risiken liegen in den Daten selbst und in den entsprechenden Verwaltungsprozessen. Um ihre Sicherheits-Compliance zu verbessern, können Unternehmen hier 10 Möglichkeiten nutzen:
1. Genaue Bestandsaufnahme von Software-Ressourcen (SAM)
Software Asset Management(SAM)-Tools ermöglichen es Unternehmen, umfassende Daten ihrer Hardware und Software zu sammeln und so Transparenz und Kontrolle über den gesamten IT-Bestand sicherzustellen. Eine solche vollständige Übersicht hilft bei der Konsolidierung des Softwareportfolios, wodurch die Angriffsfläche für Angreifer verringert und das Sicherheitsrisiko von Software-Schwachstellen reduziert wird. Freeware und nicht autorisierte Software, die ein Risiko darstellen, lassen sich zudem identifizieren und entfernen.
Je höher die Transparenz im Softwarebestand, desto besser lässt sich feststellen, welche Anwendungen personenbezogene Daten verwenden und welche Mitarbeiter mit diesen Anwendungen arbeiten – Informationen, die bei einer Überprüfung der datenschutzrechtlichen Richtlinien vor Vorteil sind.
2. Überblick über die Nutzung von Open Source Software (OSS) in intern entwickelten Anwendungen
Open-Source-Software (OSS) ist ein enormer und oft unbeachteter Risikofaktor. Die Verwendung von Open-Source-Komponenten ist bei Softwareentwicklern üblich, um schneller und effizienter zu arbeiten. Unternehmen jedoch kennen in der Regel weniger als 10% Prozent der OSS-Software, die in ihren Anwendungen genutzt wird. Werden neue Software-Schwachstellen bekannt, ist es daher sehr schwer festzustellen, ob und wie stark die eigene IT davon betroffen ist. Die Nutzung von Open-Source-Software und Komponenten von Drittanbietern sollten daher genau nachverfolgt werden. Über automatisierte Lösungen lässt sich eine zuverlässige Bestandsaufnahme von OSS erstellen sowie Richtlinien durchzusetzen.
3. Aufbau von Vulnerability Intelligence sowie entsprechender Warnsysteme
Eine effiziente Sicherheitsstrategie stützt sich auf Vulnerability Intelligence, mit der Unternehmen über bekannte Schwachstellen und deren Kritikalität auf dem Laufenden bleiben. Das Software Vulnerability Management geht hier Hand in Hand mit dem Software Asset Management, um Sicherheitslücken mit der Liste der installierten Software abzugleichen und frühzeitig Alarm zu schlagen. Zur Überprüfung von OSS lässt sich zusätzlich eine Software Composition Analysis durchführen.
4. Analyse von Software-Schwachstellen
Nach der umfassenden Bestandsaufnahme aller IT-Ressourcen und dem Aufbau von Vulnerability Intelligence, lässt sich ungepatchte und damit gefährdete Software sowohl auf Desktop, mobilen Geräten und Servern eindeutig identifizieren. Damit können sich Unternehmen auf das Wesentliche konzentrieren und nicht nur schneller, sondern effektiver reagieren.
5. Priorisierung und Behebung von kritischen Sicherheitslücken
Anschließend können Sicherheitslücken nach ihrer Kritikalität priorisieren und beheben. Die Basis dafür schaffen vorab implementierte Richtlinien und Workflows im Rahmen des Schwachstellenmanagements. Remediation-Verfahren sollten von Anfang bis Ende dokumentiert und gemäß dazugehöriger Service Level Agreements durchgeführt werden. Durch entsprechende Patches lassen sich Schlupflöcher für Cyberangriffe in den meisten Fällen wirkungsvoll schließen.
Bild: In 10 Schritten zu mehr Sicherheit bei DSGVO (Quelle: Flexera)
6. Lokale Administratorrechte einschränken
Die Einschränkung von lokalen Administratorrechten hilft zusätzlich, die Angriffsfläche möglichst klein zu halten. Entsprechende Benutzerkonten sind ein bevorzugtes Ziel von Hackern, die über Phishing, Social Engineering oder gestohlene Login-Daten versuchen, sich Zugang zum Gerät und damit zum Unternehmensnetzwerk zu verschaffen. Dort eingeschleuste Malware kann zudem genutzt werden um an sensible oder personenbezogene Daten zu gelangen.
7. Enterprise-App-Store zur Durchsetzung von Unternehmensrichtlinien
Mit einem unternehmenseigenen App-Store gewinnt die IT die Kontrolle über ihren Softwarebestand zurück und verhindert die Ausbreitung von Schatten-IT. Über den Enterprise-App-Store lassen sich nicht nur neue und autorisierte Anwendungen auf einfachem Weg den Mitarbeitern bereitstellen, sondern auch die Lizenzierung überprüfen und eventuelle Genehmigungen anfordern. Ungewünschte Anwendungen – z. B. unbekannter Herkunft, unlizenziert oder auf einer Blacklist eingetragen – können direkt von Mitarbeitergeräten entfernt werden.
8. Bereitstellung neuer Software
Die Zahl von Anwendungen sowie ihre Komplexität und die Häufigkeit von Updates und neuen Releases nehmen kontinuierlich zu. Umso wichtiger ist es, neue Anwendungen von Beginn an auf Sicherheitsrisiken zu überprüfen und dabei festen Freigabeverfahren zu folgen – vom Desktop Engineering über das IT-Procurement bis zur IT-Sicherheit. Im Rahmen von Change-Control-Prozessen sollten Unternehmen die Risiken bei der Bereitstellung neuer und aktualisierter Anwendungen in der Unternehmensumgebung bewerten.
9. Zuverlässiges Management von End-of-Life (EOL)-Anwendungen
End-of-Life (EOL)-Anwendungen werden von Anbietern nicht mehr unterstützt und gepatcht. Für Ohne regelmäßig bereitgestellte Updates stellen solche Programme jedoch ein Sicherheitsrisiko für alle anderen Systeme dar. Daher sollten sie entweder vollständig entfernt oder auf eine neue Version aktualisiert werden.
10. Einheitliche Datengrundlage für IT-Sicherheit und IT-Betrieb
IT-Sicherheit sowie IT Betrieb brauchen einheitliche Daten sowie benutzerdefinierten Ansichten, um effektiv zusammenzuarbeiten und dabei auf dem neuesten Informationsstand hinsichtlich bekannter Schwachstellen, Analysen und Maßnahmen zu bleiben. Automatisch erstellte Service-Desk-Tickets unterstützen die Verantwortlichen dabei Remediation-Verfahren nachzuverfolgen und ihren Erfolg zu bestätigen.
Als Regional Vice President bei Flexera unterstützt Thomas Reiber Kunden in Deutschland, Österreich und der Schweiz. Erf verfügt über langjährige Erfahrung in der Softwarebranche sowie umfangreiche Kenntnisse zu Schlüsselthemen wie Infrastruktur, BigData, eCommerce, PLM und Applikationsbasistechnik. Vor seinem Wechsel zu Flexera war er unter anderem als Vertriebsmanager bei BMC und als VP EMEA bei Endeca Oracle tätig.