•  

Vier Schritte, um die IT-Umgebung im Unternehmen sicher zu halten

Jürgen Venhorst, Country Manager DACH bei Netwrix

Datenschutzverletzungen sind nicht ungewöhnlich und treten sogar täglich auf. Die globale Breach Level Index-Datenbank von Gemalto, die Datenschutzverletzungen nach Art der gefährdeten Daten, Zugriffsmethode und Art der Verletzung verfolgt und analysiert, bietet eine leistungsfähige visuelle Darstellung der Datenschutzverletzungen, die jeden Tag gemeldet werden. Bisherige Vorfälle haben gezeigt, dass Sicherheitslücken oft auf eine schlechte IT-Hygiene zurückzuführen sind: nicht optimal konfigurierte Hard- oder Software, die nicht den neuesten Patch erhalten hat, sowie zu weitreichende Zugriffsrechte auf Daten für Benutzer, die nur einen Bruchteil dieser Rechte für ihre Arbeit benötigen würden.

Das Hauptziel einer guten IT-Hygiene ist, den Datenschutz und die Datensicherheit eines Unternehmens aufrechtzuerhalten. Dazu gehört die Entwicklung von Sicherheitsrichtlinien, die es dem Unternehmen ermöglichen, seine wichtigsten Systeme und Daten vor externen Angriffen wie Malware sowie Insider-Bedrohungen wie menschlichem Versagen von Mitarbeitern zu schützen. Zudem fallen die Praktiken darunter, mit denen Benutzer sensible Daten organisieren und sicher aufbewahren. Theoretisch sieht alles gut aus, aber in der Praxis wird die Qualität der IT-Hygiene oft negativ beeinflusst. Grund hierfür ist meist ein unzureichendes Budget, das  der Bewältigung der wachsenden Komplexität der IT-Umgebung und der Bedrohungslandschaft dienen soll.

Unternehmen neigen dazu, die Folgen einer schlechten IT-Hygiene zu unterschätzen

Die Erreichung und Steigerung von Gewinnen spielt in jedem Unternehmen eine Schlüsselrolle, aber der Datenvorfall von Experian, einer der drei größten US-Auskunfteien, hat gezeigt, wie eine bloße Budgetkürzung eine Sicherheitslücke schaffen kann. Den meisten IT-Teams fehlen oft die richtigen Werkzeuge und Schulungen zur Risikobewertung und -bewältigung und ihre Geschäftspartner sind nicht immer in der Lage, kritische Vermögenswerte zu identifizieren, die einen besonderen Schutz benötigen. Beispielsweise ist es leicht vorstellbar, dass eine Datei, die in einer SharePoint-Website unter dem Namen "Notiz" versteckt ist, in Wirklichkeit eine Tabelle sensibler Kundeninformationen ist, die ein Mitarbeiter hinterlegt hat, um schneller auf die Daten zugreifen zu können. Sicherheitsteams haben in der Regel keine Chance, solche Daten richtig zu bewerten, wenn sie nicht darauf aufmerksam gemacht werden. Böswillige Angreifer nutzen diese Art von Kommunikationslücke gerne zu ihrem Vorteil aus.

Unternehmen sind immer von den wirtschaftlichen Folgen von Sicherheitsverletzungen durch Vertrauensverlust der Kunden, Datenmissbrauch, Identitätsdiebstahl und anderen Szenarien stark betroffen. Darüber hinaus gibt es zahlreiche staatliche und branchen-spezifische Vorschriften, wie z.B. die seit letztem Jahr in Kraft getretene DSGVO, die hohe Bußgelder und andere Strafen für den nicht angemessenen Schutz verschiedener Arten von sensiblen Daten vorsieht.

Mit der zunehmenden Verschlechterung des IT-Zustands wird die Lösung komplexer und es wird wahrscheinlicher, dass die IT-Hygiene leidet. Als Folge stellt sich der Lösungs-prozess noch schwieriger dar. Sicherheitsteams müssen sich die entscheidende Frage stellen, wo man mit dem Lösungsprozess beginnt und damit den Zyklus unterbricht. In diesem Zusammenhang sind vier Schritte notwendig, um die IT-Hygiene nachhaltig zu verbessern.

Die richtigen Daten für die Bewertung der IT-Hygiene sammeln

Das Sicherheitsteam muss zunächst die Risiken im Unternehmen bewerten, jedoch ist es wichtig, sich nicht auf Annahmen oder Meinungen zu verlassen. Annahmen und Meinungen können manchmal plausibel sein, aber sie müssen kritisch hinterfragt werden, da ihnen in der Regel zuverlässige und systematische Beobachtungen fehlen. Es ist ratsam, zunächst nützliche Daten von Sicherheitssystemen an der Peripherie des Netzwerks zu sammeln, die in der Regel bereits in den meisten Unternehmen heutzutage stark entwickelt sind. Diese Informationen können verwendet werden, um Angriffspunkte zu identifizieren und sich einen groben Überblick über die Zugriffsrechte innerhalb des Netzwerks zu verschaffen.

Priorisierung aller Anpassungen auf Basis des Risikos

Die auf der Grundlage von Risiken gesammelten Informationen sind in der Regel zuverlässig. Erfahrungsgemäß lassen diese bei genauerer Betrachtung schnell erkennen, welche Prioritäten sich abheben. Diese Informationen sollten jedoch nur die Anfangsphase der Risikobewertung sein. Diese Regel wird oft vernachlässigt, da Führungskräfte und Fachleute aus anderen Bereichen des Unternehmens, die oft eine andere Idee haben, im Bewertungsprozess bevorzugt werden. Die IT-Abteilung, in der sich ihre kritischen Unternehmenswerte befinden, sieht sich in diesem Prozess häufig außen vorgelassen. Dies erschwert die Priorisierung: Die Beteiligten erklären oftmals schnell bei jedem Ordner, dass ein ungehinderter Zugang unverzichtbar sei und an dieser Stelle zeigt sich in der Regel der Wert der zuvor gesammelten Daten. Eine gute Vorbereitung gibt in der Regel zu erkennen, wann und wie ein Benutzer Zugriff auf bestimmte Daten hat und wie oft er diese Rechte tatsächlich benötigt.

Planung der notwendigen Wiederholungen

IT-Systeme und -Infrastrukturen verändern sich ständig. Kleine Änderungen an einer Konfigurationsdatei, vorhandener Hardware oder Aufgaben und der Zusammenstellung der Mitarbeiter können tatsächlich einen großen Einfluss auf die Datensicherheit haben. Das bedeutet, dass die IT-Hygiene einer häufigen und kontinuierlichen Bewertung unterzogen werden muss, die pünktlich wiederholt wird und vorzugsweise automatisiert ist. Daher sollte der Prozess gleich an die erstmalige Bereinigung angeschlossen werden, ehe sie wieder neu begonnen werden muss.

Das Gespräch über IT-Hygiene weiterpflegen

Die CIOs und CISOs müssen die Risiken gut erklären, sodass sie von allen verstanden werden. Andere Vorstandsmitglieder und Führungskräfte verstehen das Thema in der Regel nicht, weil ihnen die nötigen Grundkenntnisse fehlen. Dies führt dazu, dass sie die Bedeutung des Themas und der notwendigen Investitionen nicht ausreichend verstehen. Daher ist es ratsam, sie frühzeitig zu schulen, damit sie den Umsetzungsprozess des CISO ausreichend unterstützen und die Folgen ihrer Entscheidung leicht abschätzen können. Dies ist in der Regel der Punkt, an dem sich fast jedes Unternehmen deutlich verbessern kann.

Es ist immer sehr wichtig, ständig nach dem effizientesten und angemessensten Weg zur Minimierung von Geschäftsrisiken zu suchen. Der beste Start ist die Bereitstellung einer grundlegenden IT-Hygiene.

https://www.netwrix.de/

Autor: Jürgen Venhorst

Diesen Artikel empfehlen