Einstieg zur eigenen Security Strategie – Wo fängt man an? Teil 3/3

In den ersten beiden Teilen haben Sie einen Überblick über Bestandsaufnahme, Bewertung und erste Maßnahmen erhalten. Nun werden die möglichen Maßnahmen fortgeführt und abschließend um Gesamtstrategie und Implementierung ergänzt.

Die Bedrohung ist irgendwo da draußen – oder doch schon unter uns?

Threat ProtectionThreat Protection

Leider nutzt der Ansatz „Was ich nicht seh, tut mir nicht weh“ eher selten. Man sollte daher grundsätzlich davon ausgehen, dass ein Problem besteht und neben Schutzmaßnahmen für möglichst vollständige Sichtbarkeit sorgen. Um geeignete Maßnahmen zur Erkennung und dem Schutz vor Bedrohungen zu ermitteln kann man dazu nachfolgende Fragen als Ausgangspunkt nutzen und für die identifizierten Systeme (Clients, Server, Netzwerkgeräte) überprüfen:

  • Welche Schnittstellen und Systeme bieten potenzielle Angriffsfläche?
  • Welche Maßnahmen schützen Clients und Server?
  • Welche Maßnahmen schützen Netzwerkzugänge und Verbindungen?
  • Wie erkennt man ungewöhnliches Verhalten auf Computern und im Netzwerk… und in der Cloud?
  • Wo kann noch auf verdächtige Aktivitäten überprüft werden?
  • Wo gibt es ein- und ausgehende Dateiübertragungen? (E-Mail, Filesharing, USB-Stick, …?)
  • Wo können Dateien via Sand Boxing geprüft werden können?
  • Wie werden aktuell Bedrohungen erkannt und aktiv verhindert?
  • Bei welcher eingesetzten Lösung gibt es integrierte Maßnahmen?
  • Wo ist der Einsatz einer ergänzenden Lösung sinnvoll?

Überwachung & AnalyseÜberwachung & Analyse

Um geeignete Maßnahmen zur allgemeinen Überwachung und Analyse zu ermitteln kann man dazu nachfolgende Fragen als Ausgangspunkt nutzen:

  • Welche Quellen für Protokolle gibt es? Welche sind interessant? (Netzwerkdaten, Dateioperationen, Authentifizierung, Aktionen in Anwendungen, …?)
  • Gibt es bereits eine zentrale Stelle für Protokolle?
  • Wie können Protokolle analysiert werden?
  • Wie kann der Datenbestand analysiert und ausgewertet werden?
  • Wie können potenziell schädliche Ereignisse erkannt und in Zusammenhang mit anderen gebracht werden?
  • Gibt es ein SIEM? …wenn nicht – welchen Mehrwert und welchen Aufwand bringt es mit sich?
  • Wie kann eine Auswertung von sicherheitsrelevanten Vorfällen erfolgen?
  • Wie können frühere Vorfälle und deren Auswirkungen ermittelt werden?
  • Wie können potenzielle Schwachstellen ermittelt werden?

Nichts geht mehr!? – Verfügbarkeit

Neben offensichtlichen Sicherheitsthemen sollte auch immer die Verfügbarkeit von kritischen Daten und Ressourcen betrachtet werden. Sollte es zu einem Sicherheitsvorfall – oder einem einfachen Hardware-Ausfall – kommen, wie kann der Betrieb wiederhergestellt werden?

Backup & Recovery KonzeptGrundsätzlich gibt es zur Gewährleistung der Verfügbarkeit nachfolgende zwei Themen:

  • Backup & Recovery
  • Hochverfügbarkeit

Ein Backup & Recovery Konzept soll dazu beitragen, dass alle Daten in vertretbaren Intervallen und für den jeweils erforderlichen Zeitraum an einem unabhängigen Ort zur Verfügung stehen. Die Implementierung kann mehr oder weniger aufwändig sein. Wie anspruchsvoll die Sicherungsmaßnahmen gestaltet sein sollten, ist maßgeblich abhängig von dem Wert der Daten. Zu berücksichtigen sind nachfolgende Punkte:

  • Intervall der Sicherung
  • Zeitraum der Aufbewahrung
  • Geschwindigkeit bei Wiederherstellung (Regulär und im Katastrophenfall)
  • Unabhängiger Aufbewahrungsort
  • Sicherer Zugriff (Authentifizierung, Verschlüsselung)
  • Adäquate Berechtigungen auf Sicherungsdaten
  • Wahrung der Integrität (Sicherungsdaten read-only)

Eine Hochverfügbarkeits-Lösung schütz in der Regel vor dem Ausfall von Komponenten, nicht aber vor der Kompromittierung von Daten. In den meisten Fällen sollte Hochverfügbarkeit ergänzend zu Backup gesehen werden – es sei denn, es geht um eine reine Funktionsbereitstellung ohne relevante Informationen. Aber auch hier sollte zumindest die Konfiguration der Komponenten separat gesichert werden.

Was man sonst noch beachten sollte

IT Security Strategie - Anwender einbeziehenAnwender

Wie eingangs erwähnt nutzt die beste Infrastruktur wenig, wenn die Anwender diese nicht wie erwartet nutzen. Zum Einen muss die Benutzerfreundlichkeit gewährleistet sein, zum Anderen sollten auch die Anwender für sicheres Arbeiten sensibilisiert werden.

Zur Schulung der Anwender gibt es zwei Möglichkeiten:

  • Klassische Anwenderschulung
  • Aktive Sensibilisierung

Security AnwenderschulungEine klassische Schulung kann vor Ort oder (vor allem in größerem Umfang) als Web-basiertes Training durchgeführt werden. Der Nachteil ist, dass hier gezeigtes oft schnell wieder in Vergessenheit gerät. Eine gute Alternative oder ergänzende Maßnahme ist eine aktive Sensibilisierung. Eine Form der aktiven Sensibilisierung ist beispielsweise eine gesteuerte Phishing Kampagne mit augenscheinlich gefährlichen Phishing E-Mails an die Mitarbeiter. Der vermeintliche Phishing Link kann hierbei auf eine Seite mit Hinweisen verweisen, auf welcher die Gefahren und was hätte passieren können erläutert werden – oder direkt auf ein Web-basiertes Training weiterleiten. Darüber hinaus können die Ergebnisse anonymisiert zur statistischen Auswertung verwendet werden.

Architektur & DesignArchitektur & Design

Sobald im Laufe der Planung Anpassungen an Architektur und Design notwendig erscheinen, sollten diese mit allen Beteiligten abgestimmt werden, um gemeinsam das optimale Design zu erarbeiten. Insbesondere hier ist die Unterstützung durch einen externen Berater sinnvoll, da dieser durch Erfahrung und seine Position außerhalb des Unternehmens eine ergänzende Sicht auf die Dinge liefert.

Auch hier sollten alle Ergebnisse in einem Dokument und Schaubild festgehalten werden.

Strategie & ProzesseStrategie & Prozesse

Neben den eigentlichen Maßnahmen und Umsetzungen gibt es diverse Strategieentscheidungen und Unternehmensprozesse, welche bestenfalls in einem Dokument ausgearbeitet und beschrieben sind.

Ein solches Dokument (oder auch mehrere Dokumente) bildet die Grundlage für alle Entscheidungen hinsichtlich IT Infrastruktur und damit verbundener Prozesse. Die Ausarbeitung solcher Dokumente ist mit viel Aufwand verbunden, kann sich aber zukünftig lohnen, da hiermit Entscheidungen vorgegeben werden können oder sich darauf begründen lassen.

Nachfolgende einige Beispiele zum Inhalt dieser Dokumente:

  • Generelle Sicherheitsvorgaben im Unternehmen (Passwörter, Verschlüsselung, Anti-Virus, Updates, etc. …)
  • Klassifizierung und Sicherheitsanforderungen
  • Vorgehen bei einer Risikobewertung
  • Handhabung von Ausnahmen
  • Handhabung von Vorfällen
  • Herstellerstrategie (Einsatz mehrerer Hersteller zur Vermeidung von Abhängigkeiten)
  • Definition von Prozessen für personelle Veränderungen (Joiner, Mover, Leaver)
  • Definition von Prozessen für Infrastruktur-Veränderungen (gestützt durch ein Change Management System)
  • Vorgaben zur regelmäßigen Durchführung einer Neu-Bewertung von Komponenten

Die Dokumente selbst sollten in regelmäßigen Abständen aktualisiert und nachgepflegt werden. Dies ist ein kontinuierlicher Prozess und wird getrieben von allen Veränderungen und Neuerungen im Unternehmen und dem aktuellen Stand der Technik.

Wie wird umgesetzt?

Nach der allgemeinen Planung und Identifizierung von geeigneten Maßnahmen sollte man diese in einem Maßnahmenkatalog zusammenfassen, um eine Übersicht zu erhalten, bevor mit der Umsetzung begonnen wird. Aus dem Maßnahmenkatalog heraus können Aufgaben priorisiert werden. Falls eine große Zahl an Maßnahmen ermittelt wurde, sollte eine Übersicht in tabellarischer Form mit Schweregrad und potenziellem Aufwand erstellt werden, um die Maßnahmen besser priorisieren zu können. Außerdem kann der Maßnahmenkatalog (oder die Übersicht) als zentrale Stelle für die Pflege von Zuständigkeit und Status dienen oder zumindest als Vorlage dafür genutzt werden.

Auch während der Implementierung sollten auf den derzeitigen Stand der Technik, aktuelle Sicherheitsempfehlungen und andere laufende Unternehmensprozesse geachtet werden, um gegebenenfalls bei der Implementierung noch Anpassungen machen zu können.

Das Sicherheitsniveau aufrecht zu erhalten ist ein kontinuierlicher Prozess und endet somit nie. Spätestens mit der Implementierung aller geplanten Maßnahmen sollte ein regelmäßiger Prozess etabliert werden, um eine erneute Bestandsaufnahme, Bewertung, Planung und Implementierung durchzuführen und so das erreichte Sicherheitsniveau zu halten oder zu verbessern.

Als gemeinsamen Einstieg engagieren wir uns aktuell für individuell gestaltete Workshops im Bereich Microsoft Azure & On-Premise, wie z.B.:

„Secure Identity“ mit Fokus auf den Schutz von Identitäten.

„Secure Identity“ mit Fokus auf den Schutz von Identitäten.… bei Bedarf individuell ergänzt durch weitere Hersteller zur Identity Governance oder alternativer Authentifizierungsmöglichkeiten.

oder

„Secure Data” mit Fokus auf den Schutz von Daten.

„Secure Data” mit Fokus auf den Schutz von Daten.… bei Bedarf individuell ergänzt durch weitere Hersteller zur Verschlüsselung oder Data Loss Prevention.

„Azure Security Workshop“ mit dem Fokus auf Bedrohungserkennung in Azure mittels der Funktionen von Microsoft 365 E5 Security.

Außerdem kann ein herstellerunabhängiger Security Workshop nach Ihren Wünschen gestaltet werden, wie beispielsweise:

  • Allgemeiner Security Workshop
  • Konzeptworkshop „Remotezugriff“
  • Konzeptworkshop „Privilegierter Zugriff“
  • Konzeptworkshop „Netzwerkzonen“

Kommen Sie auf uns zu und wir gestalten mit Ihnen den Workshop, der Ihnen den größten Mehrwert bringt.

Fazit Teil 3

Sicher können noch viele Themen ergänzt oder detaillierter betrachtet werden. Dieser Beitrag hat nicht den Anspruch alle sicherheitsrelevanten Themen vollumfänglich zu behandeln, sondern einen verständlichen Überblick für einen Einstieg in ein individuelles Sicherheits-Konzept darzulegen.

Um eine eigene zukunftssichere Security Strategie auszuarbeiten sollte man einen externen Partner mit einbeziehen und so eine unabhängige Betrachtungsweise erhalten. Die erfolgreiche Etablierung einer Strategie braucht Zeit und sollte je nach Umfang der Änderungen schrittweise durchgeführt werden. Dies betrifft sowohl die Anpassung von Prozessen und Systemen als auch gänzlich neue Implementierungen. Die Welt der IT ändert sich Tag für Tag. Mit der richtigen Strategie und dem richtigen Partner kann man proaktive Maßnahmen entwickeln und dynamisch auf ständig wechselnde Faktoren reagieren.

Es gibt zwar keine 100%ige Sicherheit, aber gerade nach dieser sollte man streben. Mit unseren Erfahrungen unterstützen wir Sie gerne bei der Planung Ihrer Strategie oder auch nur bei der Auswahl und Umsetzung einer bestimmten Lösung.

Unsere Artikelserie: „Einstieg zur eigenen Security Strategie – Wo fängt man an?“

Lesen Sie auch die weiteren Beiträge aus unserer Serie zum Einstieg in die eigene Security Stratege:

Security Strategie Teil 1

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.