Die Kernelemente moderner IT-Sicherheitslösungen

Gemäss einer breit angelegten Studie der FHNW Hochschule für Wirtschaft betrachten 62 Prozent der Schweizer Unternehmen die IT-Sicherheit und den Datenschutz als grösstes Risiko der digitalen Transformation. Ein Drittel der befragten Unternehmen hat dabei einen Vorfall in den letzten zwei Jahren erlebt, so unter anderem Angriffe auf die IT-Infrastruktur und -Daten.

Angriffe aus dem Cyberraum

Die meisten Angriffe auf Unternehmensdaten stammen von kriminellen (50 Prozent) und staatlich gesponserten Organisationen (12 Prozent), wobei auch eine erstaunlich hohe Zahl durch Mitarbeitende (30 Prozent) ausgeführt wird. Europäische Unternehmen werden dabei hauptsächlich aus China und den USA angegriffen.

Die am häufigsten eingesetzten Taktiken beinhalten H­acking, Malware (Schadsoftware wie Exploit Kits/­Spy­ware, Trojaner, Viren, Würmer und Adware) sowie soziale Attacken (Social Engineering, u.a. unterstützt durch den einfachen Zugang zu Mitarbeiterinformationen über sozia­le Medien). Eine Studie von ausgewählten Schweizer Unternehmen zeigt, dass rund 20 Prozent der extern einsehbaren Infrastrukturen Schwachstellen aufweisen.

Hyperkonnektivität und Autonomie

Getrieben werden die IT- und Datenrisiken durch mehrere technologiegetriebenen Trends. Dazu gehören einerseits die Hyperkonnektivität, die unter anderem vom Internet der Dinge, von industriellen Kontrollsystemen, Ökosystemen, der Hybrid-Cloud, 5G und Low-Power-­Wireless-Netzwerkprotokollen getrieben werden. Dies führt zu einem vermaschten Netz ("mesh network") und hoher Komplexität.

Andererseits führt die zunehmende Autonomie von Technologien, getrieben durch smarte Geräte und Applikationen sowie künstlicher Intelligenz, zur Herausforderung, dass die Systeme zu einem grossen Teil weniger fühlbar und dadurch unkontrollierbarer werden. Die damit verbundenen Risiken werden in neuen Anforderungen zur Daten- und IT-Sicherheit resultieren.

Obwohl laufend neue Ansätze für die höhere IT-Sicherheit in den Markt gelangen, basieren diese oft auf den bisher bekannten Konzepten, Technologien und Protokollen (z.B. der CAN-Bus aus den 1980er-Jahren). Gleichzeitig werden neue Technologie-Paradigmen, wie etwa die oben genannten autonomen Systeme, in die alten Systeme eingebunden, wodurch die Angriffsfläche für Unternehmen exponentiell wächst.

Anforderungen an moderne IT-Sicherheitslösungen

Damit Unternehmen, Organisationen und Regierungen die Risiken aus dem Cyberraum reduzieren können, bedarf es eines Paradigmenwechsels und moderner IT-Sicherheitslösungen. Ausgangslage und Bedingung sind eine Sicherheitsstrategie und -architektur (z.B. basierend auf ISO 27001) und eine moderne Infrastruktur. Im Kern der IT-Sicherheit stehen dabei sieben Komponenten:

Schwachstellen-Scans und Angriffsflächenreduktion:
Unternehmen identifizieren und analysieren ihre ­IT-Infrastruktur mittels Sensoren und Scans aus der internen und externen Perspektive, um ungepatchte, ungeschützte und nicht aktualisierte Software und Hardware im Ökosystem zu erkennen und Schwachstellen zu reduzieren oder schliessen.

Audits:
Regelmässige Audits helfen, punktuell die Schwachstellen und Angriffsvektoren von Prozessen, Netzwerken und Applikationen zu untersuchen, um aufgrund der Testberichte die Lücken zu schliessen und die Infrastruktur zu härten.

Zugangsmanagement:
Prozesse, Richtlinien und Tools helfen, um die Zugriffe von Mitarbeitenden, der Kundschaft und Partnerfirmen zu definieren und mittels Aktivitäts- und Audit-Logs zu kontrollieren. Intelligente Systeme erstellen heute beispielsweise Korrelationen zwischen Netzwerkaktivität und der physischen Anwesenheit von Mitarbeitenden.

Monitoring und Alarmierung:
Durch ein Cyber SOC (Security Operations Center) beobachten und untersuchen Unternehmen laufend die gesamte IT-Infrastruktur (Systeme, Netzwerke, Datenflüsse, Logda­teien und Schnittstellen), um Angriffe und Risiken in Echtzeit zu identifizieren und vermeiden.

Vorfall-Management und Forensik:
Im Fall von erfolgten Angriffen und/oder Datenverlusten werden Prozesse und Checklisten eingesetzt, die den Vorfall untersuchen, den Schaden identifizieren, die Lücken schliessen und die sichere Betriebsweiterführung (u.a. mittels Backups) ermöglichen.

Reglemente und Richtlinien:
Unternehmen erstellen und aktualisieren ihre Reglemente und Richtlinien zum Datenschutz, zu Passwörtern, der Benutzeradministration und dem Einsatz der IT (u.a. Laptops, Smartphones, Social Media), um diese bei der Mitarbeiterschulung einzusetzen.

Mitarbeitende und Partnerfirmen:
Unternehmen definieren die Aufgaben, Kompetenzen und Verantwortlichkeiten ihrer Mitarbeitenden und führen Schulungen durch. Die zur Organisation gehörenden Akteure werden "gehärtet" ("human hardening"), um sie für die Themen zu sensibilisieren und so die Angriffsfläche für das Unternehmen zu reduzieren (z.B. mittels Angriffs- und Verteidigungsübungen mit Red und Blue Teams).

IT-Sicherheits-Führungskräfte stehen in der Verantwortung

Ausgereiftere Lösungen verfügen zudem über Honeypots (Hacker- und Malwarefallen, welche die Angriffsinfrastruktur simulieren; so können Unternehmen Angriffsmuster und das Verhalten der Hacker analysieren), Moving-Target-Plattformen (das Angriffsziel versteckt oder morphiert sich) und vertiefte Big-Data-Analysen in Zusammenhang mit den diversen Ansätzen von künstlicher Intelligenz.

Führungskräfte, die für die IT-Sicherheit verantwortlich sind, müssen ihre Unternehmen sicher durch die wettbewerbsintensiven Märkte führen. Das Ziel ist es, die Risiken so weit zu minimieren, dass bei Angriffen so wenig Zeit wie möglich für Reparaturen und Verluste sowie das Reputationsmanagement verloren gehen.