Einstieg zur eigenen Security Strategie – Wo fängt man an? Teil 2/3

Im ersten Teil zum Einstieg zur eigenen Security Strategie haben Sie einen Überblick über Bestandsaufnahme und Bewertung erhalten. Im zweiten Teil soll es nun um die Herangehensweise bei der Planung von geeigneten Maßnahmen gehen.

Wie geht es denn nun sicherer? – Einstieg in die Security Strategie

In dieser Phase sollte man wissen wie der aktuelle Stand ist und was verbessert werden soll. Nun geht es darum Maßnahmen zur Umsetzung der Security Strategie zu planen.

Für jede Maßnahme sollten wenigstens nachfolgende Informationen erfasst werden:

Betroffener Bereich

Was wird damit geschützt und welche Abhängigkeiten gibt es?

Cyber Security Strategie - Welcher Bereich ist betroffen?

Potenzielle Gefahren

Welche Gefahr besteht? Art des Risikos, Wahrscheinlichkeit des Risikos, Schadenshöhe?

Cyber Security Strategie - Potentielle Gefahren

Beschreibung der Maßnahme

Cyber Security Strategie - Erfassung von MaßnahmenWas wird getan? Wie wird die Gefahr gemindert?

Informationen zur Umsetzung

Cyber Security Strategie - InformationenWas soll umgesetzt werden?
Gibt es Einschränkungen der Verfügbarkeit?
Gibt es eine Migration?
Was wird zur Umsetzung benötigt?
Welcher Implementierungsaufwand besteht? (Zeit, Geld, Personen)

Abhängigkeiten

Cyber Security Strategie - AbhängigkeitenWie bereits angesprochen ist es wichtig Abhängigkeiten zu identifizieren und bei der weiteren Planung zu berücksichtigen.

Es können verschiedene Abhängigkeiten bestehen:

  • Es gibt eine Voraussetzung, dass diese Maßnahme implementiert werden kann
  • Diese Maßnahme ist Voraussetzung für eine andere Maßnahme
  • Die Maßnahme verursacht eine Veränderung in einem anderen Bereich
  • Die Maßnahme kann für weitere Zwecke genutzt werden

Schnittstellen und Abhängigkeiten sollten immer dokumentiert und mit den betroffenen Verantwortlichen abgestimmt werden.

Dokumentation

Cyber Security Strategie - DokumentationGerade in der Planung ist es wichtig alle Entscheidungen und Vorhaben ausreichend zu dokumentieren, sodass auch nach einiger Zeit noch nachvollziehbar ist was getan werden soll und warum. Aber auch bei der Implementierung und im Betrieb ist es nicht nur wichtig eine Dokumentation zu haben, sondern auch alle Konfigurationen und Anpassungen weiter zu dokumentieren. Wie zu Beginn gesagt ist eine gemeinsame Arbeitsstruktur und ein gemeinsamer Arbeitsbereich unerlässlich.

Sicherheitsmaßnahmen, Benutzerfreundlichkeit und Zugriffspfade

Cyber Security Strategie - SicherheitsmaßnahmenSicherheitsmaßnahmen funktionieren nur, wenn diese von den Benutzern akzeptiert werden. Sie müssen einfach sein und dürfen die Benutzer nicht in Ihrer gewohnten Arbeitsweise behindern. Bestenfalls sollten diese in der Wahrnehmung der Benutzer als Arbeitserleichterung auffallen. Zugriffspfade sollten schlank und unkompliziert sein und dennoch das geforderte Sicherheitsniveau erreichen. Komplexe Konfigurationen sind fehleranfälliger und mehrere verschiedene Systeme führen zu einem erhöhten Betriebsaufwand sowie einer höheren Ausfallwahrscheinlichkeit

Public Key Infrastructure

Für viele Sicherheitsmaßnahmen ist eine Public Key Infrastructure (PKI) zur Bereitstellung der notwendigen Zertifikate erforderlichen, daher sollte man sich insbesondere hier sehr früh um ein geeignetes Konzept bemühen. Zertifikate werden nicht nur zur Authentifizierung und Verschlüsselung eingesetzt, sondern spielen auch bei Sicherstellung der Integrität oder einfacher Signatur eine Rolle.

 Public Key Infrastructure (PKI)

Ob bereits eine PKI besteht oder nicht – gemäß der aktuellen und zukünftigen Nutzung müssen die Anforderungen festgehalten werden.

Bei der Konzeption gibt es neben der Nutzung weitere Punkte zu berücksichtigen. Diese sind unter anderem:

  • Anzahl an Hierarchie-Ebenen
  • Standort-Redundanz
  • Einsatz eines HSM
  • Aufteilung nach Verwendung, Standort oder Sicherheitsniveau
  • Öffentliche Verfügbarkeit (Sperrlisten)

Auch bei Zertifikaten können Klassen definiert werden, welche beispielsweise widerspiegeln in welchem Umfang die Identität geprüft wird, um ein Benutzerzertifikat zu erhalten. Ist eine AD-Anmeldung ausreichend, muss man persönlich mit amtlichem Dokument vorstellig werden oder ist sogar eine biometrische Überprüfung erforderlich?

Das Thema PKI sollte auf Grund der zahlreichen Schnittstellen separat behandelt werden.

Wer ist das eigentlich und darf er das?

Identitäten

Eine Identität stellt im Sinne dieses Artikels ein Konto dar, welches von einem realen Benutzer verwendet wird, um mit verschiedenen Systemen zu arbeiten. Ein Benutzer kann für die ihm relevanten Systeme mehrere Identitäten besitzen. Ziel sollte allerdings sein, dass ein Benutzer nur eine Identität für alle Systeme verwendet und somit auch nur diese Identität geschützt werden muss.

Cyber Security Strategie - IdentitätenIm Zuge der Bestandsaufnahme sollten alle Identitätsquellen erfasst worden sein. Die Herausforderung ist nun eine einheitliche Verwaltung aller Identitäten zu erreichen und die Anzahl der Identitätsquellen zu reduzieren. In vielen Fällen wird Microsofts Active Directory als zentrale Identitätsquelle betrachtet, allerdings liegt die führende Rolle für Identitäten in der Praxis bei der Personalabteilung. Die Vorstellung einer einzigen Identitätsquelle ist in der Praxis leider doch Wunschdenken, daher sollte ein Identitätskonzept samt Prozessen erarbeitet werden. Hier muss definiert sein wie und wo Identitäten synchronisiert werden und welche Prozesse es im Lebenszyklus einer Identität gibt. Außerdem muss sichergestellt sein, dass jede Identität genau mit den notwendigen Rechten ausgestattet ist. Die Umsetzung eines solchen Konzepts kann ohne Unterstützung durch ein Tool für Identity Management oder Governance in der Regel nicht realisiert werden.

Für beinahe alle Sicherheitsmaßnahmen ist eine verlässliche Identitätsquelle Voraussetzung, dass diese ihren Zweck erfüllt. Hat ein Angreifer Kontrolle über eine Identität, nutzen weitere Sicherheitsmaßnahme kaum noch.

Genau wie das Thema PKI sollte auch das Thema Identitäten separat und priorisiert behandelt werden.

Für den Schutz von Identitäten – insbesondere in Cloud Umgebungen – können und sollten allerdings auch von einem Identitäts-Konzept unabhängige Maßnahmen etabliert werden. Diese Maßnahmen können die Identitätsquelle betreffen oder bei Verwendung der Identität (zur Authentifizierung) eingesetzt werden.

Für alle in der Bestandsaufnahme identifizierten Identitätsquellen kann man nachfolgende Fragen als Ausgangspunkt nutzen, um mögliche Verbesserungsmaßnahmen bestimmen zu können:

  • Wo befinden sich die Identitätsquellen?
  • Was sind die primären Identitätsquellen?
  • Welche Schutzmaßnahmen können an der Identitätsquelle eingerichtet werden?
  • Mit welchen Regeln können Identitäten geschützt werden? Lockout/Passwort Richtlinie)
  • Wie kann die Nutzung von Identitäten protokolliert und analysiert werden?
  • Welche Authentifizierungsmechanismen werden verwendet?
  • Welche Authentifizierungsmechanismen bieten weitere Sicherheitsmaßnahmen?
  • Wo kann/sollte eine Multifaktor Authentifizierung eingesetzt werden?
  • Wie kann sichergestellt werden, dass passende Rechte zugewiesen sind?
  • Wie können die Rechte regelmäßig kontrolliert werden?

Microsoft bietet mit Azure AD Identity Protection oder Microsoft MFA einige Maßnahmen zum Schutz von Identitäten, wobei Azure AD Identity Protection erst in EMS E5 oder Microsoft 365 E5 enthalten ist. MFA ist bereits in EMS E3 oder Microsoft 365 E3 enthalten.

Microsoft Azure AD Identity Protection

Zugriffe

Für alle in der Bestandsaufnahme für die Security Strategie identifizierten Zugriffe sollte man nachfolgende Fragen als Ausgangspunkt nutzen, um mögliche Verbesserungsmaßnahmen bestimmen zu können:

  • Welche Zugriffe sind erlaubt und welche notwendig?
  • Wie sicher sind die aktuellen Zugriffsmethoden?
  • Ist das Protokoll zeitgemäß, verschlüsselt und sicher?
  • Ist die Authentifizierung angemessen?
  • Sind nur notwendige Ressourcen erreichbar?
  • Sind alle Zugriffe protokolliert?
  • Welche Identitätsquellen werden genutzt? Sind diese geschützt?
  • Wie sind Zugriffe auf Informationen, Ressourcen geschützt?

Wie schützt man Informationen?

Um die Information zu schützen muss sichergestellt werden, dass diese sich nur in gesicherten Umgebungen befindet oder besser – die Information selbst ist geschützt (verschlüsselt).

Für alle in der Bestandsaufnahme identifizierten Informationen sollte man nachfolgende Fragen als Ausgangspunkt nutzen, um mögliche Verbesserungsmaßnahmen bestimmen zu können:

  • Wo liegen die Informationen? Sind diese Systeme geschützt?
  • Wo müssen die Informationen genutzt werden?
  • Wie kann die Information selbst geschützt werden? (sodass Informationen geschützt bleiben, selbst wenn das Medium kompromittiert wird)
  • Bietet das Format eine integrierte Methode zur Verschlüsselung oder Klassifizierung?
  • Wie können/müssen Informationen weitergegeben werden?
  • Wie kann der Zugriff auf Informationen an (externe) Berechtigte ermöglicht werden?
  • Wie kann unberechtigter Informationsfluss erkannt und verhindert werden?

Hier bietet Microsoft mit Azure Information Protection oder Active Directory Rights Management Services einen datenzentrischen Ansatz.

Microsoft Azure Information Protection

Wo werden Informationen verwendet?

Für alle erfassten Endgeräte und Applikationen ergeben sich meist individuelle Möglichkeiten, diese abzusichern. Folgend ein paar Beispiele zur Auffindung von Optimierungsmöglichkeiten im Rahmen einer Cyber Security Strategie.

Für alle in der Bestandsaufnahme identifizierten Endgeräte kann man dazu nachfolgende Fragen als Ausgangspunkt nutzen:

  • Wie können Endgeräte verwaltet und überwacht werden?
  • Wie wird die Aktualität von Endgeräten gewährleistet?
  • Wie können Endgeräte vor unberechtigtem Zugriff geschützt werden?
  • Welche Maßnahmen können bei Absicherung des Endgerätes unterstützen?

Insbesondere Windows 10 (auch bereits Windows 8) bietet erweiterte Schutzmaßnahmen gegen Malware, wie z.B. Secure Boot, Trusted Boot, Measured Boot und Early Anti-Malware bereits beim Boot-Vorgang oder Antimalware Scan Interface, Device Guard, Windows Defender ATP und weitere Funktionen im Betrieb.

Windows 10 Defender Sicherheitsmaßnahmen

Für alle in der Bestandsaufnahme identifizierten Applikationen kann man dazu nachfolgende Fragen als Ausgangspunkt nutzen:

  • Bietet die Applikation integrierte Sicherheitsmaßnahmen?
  • Welche Authentifizierungsmethode verwendet die Applikation?
  • Wie/Von wo kann auf die Applikation zugegriffen werden? (Bedingungen?)
  • Welche Identitätsquelle wird verwendet?
  • Wie können Berechtigungen eingeschränkt werden?
  • Wo läuft die Applikation, handelt es sich um eine Web-Anwendung?
  • Kann ein Reverse-Proxy die Applikation besser schützen?
  • Kann ein Anwendungsfilter oder IPS die Applikation schützen?
  • Wie sind die Daten der Applikation geschützt? Verschlüsselt?

Fazit Teil 2 – Einstieg zur eigenen Security Strategie

Damit endet Teil 2 und Sie haben nun erste Einblicke zu möglichen Maßnahmen erhalten. Im dritten und letzten Teil sollen noch weitere Überlegungen zum Schutz vor Bedrohungen aufgeführt werden, außerdem wird hervorgehoben, was man übergreifend beachten sollte.

Unsere Artikelserie: „Einstieg zur eigenen Security Strategie – Wo fängt man an?“

Lesen Sie auch die weiteren Beiträge aus unserer Serie zum Einstieg in die eigene Security Stratege:

Security Strategie Teil 1

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.