Andrea Danti - Fotolia

Cybersicherheit: Auf Vorfälle richtig vorbereitet sein

Was geschieht vor, bei und nach einem Sicherheitsvorfall eigentlich wirklich im Unternehmen? Ein fiktiver Fall kann helfen, die eigene Security-Bereitschaft zu optimieren.

Wie kann ein Unternehmen feststellen, ob es wirklich gut auf einen Cyberangriff vorbereitet ist? An einem typischen Beispiel klären wir nachfolgend die unterschiedlichen Aspekte, die bei einem entsprechenden Vorfall zu berücksichtigen sind.

In unserem Beispiel wird eine erhebliche Datenmenge aus einer Kundendatenbank an eine unbekannte IP-Adresse im Ausland übertragen. Festgestellt wurde diese mit Hilfe einer Monitoring-Lösung. Die Daten wurden offensichtlich mit den Zugangsdaten eines Datenbank-Admins versendet. Diese kamen abhanden, weil eine Phishing-Mail erfolgreich war. Die Anmeldeinformationen des Admins aus dem Single-Sign-On-Netzwerk gewähren auch Admin-Zugriff auf die Datenbank.

Anhand dieses Beispiels lassen sich die eigenen Ziele hinsichtlich der Bereitschaft in Sachen Cybersicherheit auf ihren Status untersuchen. So kann man im Zweifel die Gesamtsicherheit deutlich verbessern, indem man Schritt für Schritt vorgeht.

Der Cybersicherheitsplan

Für den Cybersicherheitsplan wurde eine Risikobewertung durchgeführt. Der Wert der jeweiligen Daten für das Kerngeschäft und den Geschäftsbetrieb wurde ermittelt. Zudem wurden in Sachen Cybersicherheit Ziele definiert, die den fortlaufenden Geschäftsbetrieb sicherstellen sollen.

In unserem Beispiel wäre die Kundendatenbank als unabdingbarer Faktor für den Geschäftsbetrieb identifiziert worden. Demzufolge hätten entsprechende Schutzmaßnahmen einen Datenabfluss unmöglich machen müssen. Ein Cybersicherheitsplan muss entsprechende Informationen und die damit verbundenen Prozesse besonders schützen.

Informationssicherheits-Architektur

Es klingt banal, ist aber nichtdestotrotz entscheidend: Man kann nur den Datenverkehr, der in das Netzwerk, durch dieses und aus diesem heraus fließt, überwachen, den man sieht.

In unserem Beispiel war das Netzwerk-Monitoring offensichtlich dazu in der Lage, in Echtzeit den Abfluss von Kundendaten aus dem Netzwerk zu erkennen. Oftmals werden entsprechende Vorfälle erst mit großer Verzögerung bemerkt. Dennoch lohnt sich ein Blick auf mögliche Optimierungen. Bei einem entsprechenden Sicherheitsvorfall sollte immer eine Nachanalyse erfolgen, um etwaige Verbesserungen einzuführen. So könnte etwa eine Proxy-Lösung für E-Mail und andere Dienste eingeführt werden. Zudem kann der Aufbau eines DLP-Systems (Data Loss Prevention) sinnvoll sein. Es sollten daher immer wiederkehrend Überlegungen stattfinden, wie sich die Netzwerksicherheit verbessern lässt.

Risiko-Management

Wie beim Cybersicherheitsplan erwähnt, gilt es zunächst, die unternehmenskritischen Daten und Informationen zu identifizieren. Nachfolgend ist es hilfreich, wenn eine entsprechende Bewertung auch für Personen, Geschäftsprozesse und Technologien erfolgt. Was passiert, wenn eines der Elemente nicht mehr wie gehabt funktioniert?

Zu der Feststellung, dass Daten oder Prozesse geschäftskritisch sind, gehört auch das Verständnis, warum diese es sind. Nur so lässt sich ein Plan aufstellen, der einen fortlaufenden Geschäftsbetrieb sicherstellen kann.

In unserem Fall wäre das Ergebnis der Risikobewertung die Entwicklung spezieller Schutzstrategien für die besagte Datenbank gewesen. Der mögliche Fernzugriff, sowie Phishing-Angriffe auf die Anwender der Datenbank, würden vermutlich als wesentliche Risiken eingestuft.

Identitäts-Management

Das Identity Management ist eine zentrale Sicherheitsfunktion. Mithilfe eines ordentlichen Identitäts-Managements lässt sich die Sicherheit erhöhen und die Produktivität verbessern. Zudem können Redundanzen und Kosten reduziert werden.

In unserem Beispiel würden die IAM-Richtlinien auf den Prüfstand gestellt und überprüft. Somit ließe sich beispielweise feststellen, ob alle angemeldeten Netzwerknutzer auf die Datenbank zugreifen können. Eine verbesserte Definition der Rollen könnte hier eine der Folgen sein, um das Risiko zu verringern. Eine Zwei-Faktor-Authentifizierung für den Datenbankzugriff würde die Sicherheit zudem erhöhen.

Zugriffs-Management

Wenn es um Identitäts-Management geht, dann sollte die Regelung von Zugriffen und Berechtigungen nicht weit sein, denn beides gehört untrennbar zusammen. Ist der Benutzer durch das System erst einmal ordnungsgemäß authentifiziert, erhält er durch das Berechtigungssystem über Rollen und Richtlinien die entsprechenden Zugriffe. Alles zusammen liefert dann ein vollständiges Bild, wie auf Netzwerkressourcen zugegriffen wird und wie diese genutzt werden.

Bei besagtem Beispiel würden zunächst die Berechtigungen für den Zugriff auf die Datenbank überprüft. Und es gilt sicherzustellen, dass Zugriff in diesem Zusammenhang nicht gleichbedeutend mit Administrator-Zugriff ist. Eine Zwei-Faktor-Authentifizierung für Administratoren könnte die Sicherheit erhöhen. Der Zugriff auf Remote-Nutzer kann somit erschwert werden. Wenn es der Geschäftsbetrieb erlaubt, kann zusätzlich der Zugriff auf bestimmte Geschäftszeiten eingeschränkt werden.

Netzwerk-Monitoring

Bei der Überwachung des Netzwerks und der Analyse des Datenverkehrs können Netzwerk-Admins einiges in Sachen Cybersicherheit erreichen. Mit einem genauen Verständnis, wie das eigene Unternehmensnetzwerk wirklich funktioniert, dem Einsatz von sicheren Gateways sowie einer genauen Überwachung durch Monitoring-Tools, lässt sich die Security ganz erheblich verbessern.

In unserem Fall würde das reine Abziehen der Kundeninformation sofort erkannt, der originäre Angriffsvektor, also die Phishing-Mail, aber nicht. Als Folge des Angriffs würde vermutlich das IP-Filtering optimiert. Darüber hinaus könnte man einen Anwendungs-Proxy für E-Mails hinzufügen. Und nicht zuletzt ist, wie erwähnt, die Implementierung einer DLP-Lösung sinnvoll.

Die Rolle des Security Operations Center

Als in den 80er-Jahren das erste Computer Emergency Response Team (CERT) ins Leben gerufen wurde, war dies meist eine eigenständige Einheit in Sachen Vorfallreaktion in großen Unternehmen oder staatlichen Behörden. Längst hat sich die Zusammensetzung der unterschiedlichen Incident-Response-Aktivitäten aber verändert.

Inzwischen hat sich häufig ein ganzheitlicher Sicherheitsansatz mit einem Security Operations Center (SOC) etabliert. Alle Sicherheitsmeldungen landen zur Analyse im SOC. Zudem beschäftigt man sich dort schwerpunktmäßig mit der Erkennung von Sicherheitsvorfällen.

Im SOC laufen alle Sicherheitsfäden zusammen, sprich, dort landen unter anderem automatisierte Sicherheitsalarme, Sicherheitsempfehlungen vom CERT, Benutzerberichte und viele andere Informationen. Hier werden alle relevanten Alarme, Warnungen und Berichte gesichtet. Das SOC ist in diesem Zusammenhang der erste Anlaufpunkt.

Security Incident Response wird nur aktiviert, wenn tatsächlich ein Sicherheitsvorfall erkannt wird, um dann die notwendigen technischen Maßnahmen einzuleiten.

Security Incident Management kümmert sich hingegen darum, dass der Geschäftsbetrieb so gut wie möglich aufrechterhalten und geschützt wird. Hierfür sind Kenntnisse und Verständnis für die Geschäftsziele und –prozesse erforderlich, ebenso wie für deren Sicherheitsanforderungen. Greift all dies zusammen, lässt sich eine sehr effektive Vorfallsreaktion etablieren. Mit der Integration von Security Incident Management in das SOC lässt sich die Gesamtsicherheit optimieren und die Reaktionsfähigkeit des Unternehmens verbessern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

So können Firmen einen Cybersicherheitsplan aufstellen

Richtig auf Sicherheitsvorfälle reagieren

Mit einem Security Operations Center einen ganzheitlichen Schutz erreichen

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close