(21.07.2020) Kaum einem Thema ist in Unternehmen in der letzten Zeit so viel Aufmerksamkeit geschenkt worden, wie der IT- und Datensicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das regelmäßig die Gefährdungslage für Cyber-Angriffe analysiert, beobachtet durch die Corona-Pandemie einen beschleunigten Digitalisierungsschub in Deutschland und Europa.

Um den Cyber-Risiken im wachsenden Netzwerkverkehr entgegenzuwirken und ein einheitliches Schutzniveau bei der voranschreitenden Digitalisierung in Unternehmen zu gewährleisten, sind nicht nur Schutzmaßnahmen für die Abwehr von Angriffen notwendig, sondern eine regelmäßige, gezielte Neubewertung der Sicherheitsrisiken und -Maßnahmen. Im Gespräch mit der Chefbuero-Redaktion erläutern Christoph Harburg und Viviane Werner, IT-Security Consultants bei dem Braunschweiger IT-Systemhaus Netzlink Informationstechnik GmbH, wie Unternehmen die Digitalisierung vorantreiben und gleichzeitig Sicherheitsrisiken in Infrastruktur und Datenverkehr vermeiden.

Was sind die größten Schwachstellen und Einfallstore für Schadsoftware?
Christoph Harburg, IT-Security Consultant bei der Netzlink Informationstechnik GmbH, Quelle: Netzlink Informationstechnik GmbH Christoph Harburg: Vor allem nicht gepatchte Systeme stellen eine große Schwachstelle dar, die als Einfallstor für Schadsoftware dienen. Das Sprichwort „Eine Kette ist nur so sicher wie sein schwächstes Glied“ trifft auf die Netzwerksicherheit in besonderem Maße zu. Wir sehen häufig, dass vereinzelt immer noch sehr alte, nicht mehr sicherheits-upgedatete Betriebssysteme zum Einsatz kommen (Windows XP, Windows Server usw.). Hacker haben hier ein ganzes Sammelsurium an Tools, womit sie bei diesen Systemen Schwachstellen ausnützen können, indem sie etwa die Systeme über schadhafte E-Mails penetrieren und Zugang zu sensiblen Unternehmensdaten erlangen. Insofern ist es auch wichtig, dass die Antivirensoftware auch regelmäßige Pattern-Updates bekommt und auf dem neuesten Stand gehalten wird.

Welche Elemente sollte eine sichere Unternehmensinfrastruktur beinhalten und unterscheiden sich diese im Cloud- und On-Premise-Betrieb?
Christoph Harburg: Dies ist nicht pauschal zu beantworten, sondern hängt entscheidend von den Gegebenheiten und dem gewünschten Sicherheitsniveau des Unternehmens ab. Bei einem kleinen Unternehmen mit lediglich 5 Mitarbeitern wäre ein NAC System (Network Access Control System), eine komplette Hard- und Software-basierte Firewall und ein vollständiges Mitschneiden des Netzwerkverkehrs sicherlich zu überdimensioniert. Die Basiselemente, die für jedes Unternehmen unabhängig von Größe und Branche benötigt werden, sind vor allem eine Firewall, Richtlinien zum Umgang mit Unternehmensdaten, IT-Sicherheits-Awareness, ein schlüssiges Berechtigungskonzept und Anti-Malware-Systeme, die bestenfalls auf die eingesetzten Arbeitsgeräte (Server, Clients etc.) zugeschnitten sind.
Der Schutzbedarf unterscheidet sich dabei nicht wesentlich im On-Premise- und Cloud-Betrieb. Lediglich die Verschlüsselung des Datenverkehrs (z.B. über ein Verschlüsselungs-Gateway) hat im Cloud-Betrieb einen noch größeren Stellenwert, da sichergestellt sein muss, dass der Cloud-Betreiber nicht auf die sensiblen Bereiche der Unternehmensdaten Zugriff nehmen kann. Zudem achten wir darauf, dass die eingebundenen Rechenzentrumsbetreiber nach ISO 27001 zertifiziert sind und ein C5 Testat (Cloud Computing Compliance Controls Catalogue) vom BSI für einen sicheren Cloud-Betrieb vorweisen können.

Sie bieten mit „Detective NetLeak“ Unternehmen ein IT-Sicherheits-Assessment an, um mögliche Schwachstellen in der IT-Infrastruktur zu identifizieren. Welche Leistungen umfasst dieser Service?
Viviane Werner, IT-Security Consultant bei der IT-Systemhaus Netzlink Informationstechnik GmbH, Quelle: Netzlink Informationstechnik GmbH Viviane Werner: IT-Infrastrukturen sind in unseren stetig wachsenden Kollaborationsnetzwerken kontinuierlich Risiken ausgesetzt und bieten viele Angriffsvektoren für Eindringlinge und Schadsoftware. Mit einer einzelnen technischen Lösung ist ein permanent hohes Sicherheitsniveau im Netzwerk kaum effektiv zu gewährleisten, zumal die eigene IT-Umgebung ständigen Veränderungen ausgesetzt ist. Die Lösung für diese Problematik ist ein regelmäßiges, professionelles Sicherheits-Assessment, das die verschiedenen Bereiche der IT-Infrastruktur beleuchtet. Wir haben unsere Systemhaus-Erfahrungen aus vielen Kundensituationen und das Know-how unseres IT-Security-Teams für unsere Kunden in dem Leistungspaket „Detective NetLEAK“ gebündelt, das unter anderem folgende Prüfbereiche abdeckt:

  • Patch-Status der eingesetzten Betriebssysteme
  • Firewalls
  • Viren- und Malware-Scanner
  • Offene, für den Datenaustausch verwendbare Ports
  • Active Directory und Benutzerkonten
  • Abgleich mit den gängigen Online-Datenbanken zur Prüfung von Schlupflöchern in Firewalls, Betriebssystemen, Webservern etc.
  • Verwendung von Start-Passwörtern

Die Schwachstellenanalyse ist dabei nicht beschränkt auf Windows- oder Linux-Systeme (Server und Clients), sondern umfasst sämtliche Systeme, wie USVs, mobile und sonstige Geräte, die in dem jeweiligen Scan-Zeitraum angemeldet waren und in dem geprüften IP-Bereich liegen.

Warum ist eine regelmäßige Überprüfung der IT-Sicherheit so wichtig?
Viviane Werner: Bei dem IT-Sicherheits-Assessment wird zunächst genau erfasst, welche Infrastrukturkomponenten vorhanden sind und auf mögliche Schwachstellen hin überprüft. Daraus leiten wir konkrete, angemessene Handlungsempfehlungen ab und priorisieren diese entsprechend - je nachdem, wie kritisch sie sind. Unsere Kunden erhalten am Ende sämtliche Prüfergebnisse, Empfehlungen und Aufwandschätzungen in Form eines zusammenfassenden Reports als Blaupause für eine etwaige anschließende Umsetzung.
Das Sicherheits-Assessment stellt somit eine augenblickliche Infrastrukturaufnahme dar. Um die Wirksamkeit der getroffenen Maßnahmen zu dokumentieren, Veränderungen in der IT-Infrastruktur zu erfassen und das Sicherheitsniveau neu zu bewerten, empfehlen wir – in Anlehnung an die Empfehlungen des BSI – das Security Assessment in regelmäßigen Intervallen zu wiederholen. Dies ist für viele Unternehmen auch ein wichtiger Aspekt, um die IT- und Datensicherheit nach außen zu belegen.

Welchen Stellenwert hat der Faktor Mensch im Rahmen der IT-Sicherheitsstrategie und wie kann man diesen bei der Evaluation der Maßnahmen berücksichtigen?
Christoph Harburg: Der „Faktor Mensch“ spielt seit jeher eine entscheidende Rolle. Er ist immer noch für über 80 Prozent aller IT-Sicherheitsvorfälle verantwortlich. Die Sicherheitstechnik und Konzepte können noch so gut sein – sofern sie den „Faktor Mensch“ nicht berücksichtigen, verbleibt immer eine zentrale Schwachstelle. Eine erfolgreiche und nachhaltige IT-Sicherheitsstrategie muss daher auch die Mitarbeiter einbeziehen. Durch entsprechende Awareness-Maßnahmen müssen Mitarbeiter für die Risiken und Stolpersteine beim Umgang mit unserer IT und Unternehmensdaten sensibilisiert werden, um ein einheitliches Sicherheitsniveau bei Technik und Mensch zu erreichen. Durch den Aufbau eines Sicherheitsbewusstseins bei den Mitarbeitern und der Etablierung einer einheitlichen Sicherheitskultur können betriebswirtschaftliche Risiken durch Hacking, Malware, Datendiebstahl und Betriebsausfälle signifikant vermindert werden. Wir sind vom TÜV-Rheinland zertifizierte Security-Awareness-Koordinatoren und schulen Mitarbeiter gezielt über gängige Einfallstore, Gefahren und Sicherheitsmaßnahmen und trainieren sie für einen verantwortungsvollen Umgang mit der Unternehmens-IT.

Wie sehen die Maßnahmen im Einzelnen aus und wie gehen die Security-Awareness-Koordinatoren vor?
Christoph Harburg: Wir bieten Unternehmen und Mitarbeitern Weiterbildungen und Zertifizierungen zu allen sicherheitsrelevanten Themenfeldern an. Wir machen beispielsweise Trainings beim Kunden vor Ort und instruieren die Mitarbeiter entsprechend ihres jeweiligen Anforderungsprofils. In verschiedenen Modulen wie u.a. PC-Sicherheit, E-Mail, Web-Browsing, soziale Netzwerke und Messenger-Dienste, Accounts und Passwörter, Datenschutz oder Mobilgeräte gehen wir auf die jeweiligen Risiken und Stolpersteine ein und beleuchten, worauf Mitarbeiter im Netzwerk- und Datenverkehr achten müssen. Diese Trainings bieten wir aber nicht nur für unterschiedliche Themen und Module an, sondern auch für verschiedene Trainingslevel („Beginner“, „Elementary“, „Intermediate“ und „Advanced“), um besser auf das jeweilige Kompetenzniveau der Mitarbeiter einzugehen.

Nicht für jedes Unternehmen oder jeden Mitarbeiter sind Vor-Ort-Schulungen die erste Wahl, vor allem im Hinblick auf die Corona-Situation. Wie gehen Sie damit um?
Viviane Werner: Sind beispielsweise Schulungen vor Ort nicht gewünscht oder schwierig zu realisieren, etwa bei dezentralen Organisationsstrukturen, dann bieten sich Online-Trainings an. Das birgt nicht nur für Unternehmen Vorteile, sondern schafft auch eine höhere Akzeptanz bei den Schulungsteilnehmern, die den Zeitpunkt ihrer Schulung entsprechend ihres Terminplanes selbst wählen können. Unser Online-Training basiert auf einer Anwendung, die sehr gezieltes Wissen zu den einzelnen Themenbereichen vermittelt. Das erlernte Wissen wird dann im Anschluss bzw. zum gewünschten Zeitpunkt über Online-Fragebögen abgeprüft und bei einem bestandenen Test erhalten die Teilnehmer ein Zertifikat. Der Schulungs- oder Projektleiter wird dabei regelmäßig per Email darüber informiert, wie viele Mitarbeiter welche Module erfolgreich abgeschlossen haben, aber auch, wer und wie viele den Test nicht in der vorgegebenen Zeit beendet haben. Mit automatisierten Benachrichtigungen werden die Schulungsteilnehmer regelmäßig an die noch offenen Online-Trainings erinnert. Das von uns eingesetzte Tool ist sehr an der Praxis orientiert und versendet beispielsweise nach der Beendigung eines Moduls (zeitversetzt) automatisiert Phishing Mails an die Teilnehmer. Das bedeutet, Erlerntes wird jeweils im Anschluss auch im Live-Betrieb getestet.

IT-Awareness-Schulungen und IT-Assessments leisten also einen effektiven Beitrag zur Verbesserung der Netzwerksicherheit. Welchen Stellenwert hat die Homepage für die IT-Sicherheit und wie sichern Sie Ihre Kunden hier gegen Gefahren ab?
Viviane Werner: Viele Unternehmen fragen sich tatsächlich, warum sie einen Website-Check machen sollten. Die Website ist die digitale Visitenkarte eines jeden Unternehmens. Sie ist ein wichtiger Vertriebskanal und stellt die gesamte Expertise einer Firma dar. Unternehmen stehen hier in der Verantwortung, Sicherheitsrisiken für die eigenen Kunden und Besucher auszuschließen, die sich durch schlecht programmierte Webseiten ergeben, um Reputationsschäden zu vermeiden. Wenn sich ein potenzieller Kunde durch den Website-Besuch Schadsoftware herunterlädt, kann das unkalkulierbare Geschäftsrisiken mit sich bringen. Da eine Homepage für jeden rund um die Uhr erreichbar ist, ist sie aber auch ein zentraler Angriffspunkt für Kriminelle und Schadsoftware. Es ist daher von großer Bedeutung, eventuelle Schwachstellen sofort aufzudecken. Mit unserem „Website Security Check“ hat Netzlink eine methodische Vorgehensweise zur Überprüfung von Websites entwickelt, um Sicherheitslücken und verdächtige Bereiche des Website-Auftritts zu identifizieren. Dabei überprüfen wir u.a. die Security Header, die verwendeten Protokolle, die Gültigkeit von Zertifikaten oder die Anfälligkeit für bekannte Angriffe wie „BEAST“- oder „CRIME“-Attacken. Wenn es eine Wordpress-Webseite ist, überprüfen wir über einen Abgleich mit den gängigen Online-Datenbanken zudem, ob veraltete Versionen oder angreifbare Plugins zum Einsatz kommen oder anderweitige Schwachstellen bestehen. Auch hier werden die gefundenen Schwachstellen in Form eines Reports genau dokumentiert und gezielte, priorisierte Handlungsempfehlungen für den Kunden abgeleitet.
Auf die DSGVO-Compliance und Vollständigkeit der Datenschutzerklärung gehen wir im Rahmen dieses Checks zwar nicht explizit ein, da diese Prüfung dem Datenschutzbeauftragten obliegt. Ist in den Unternehmen aber die Expertise für eine Datenschutz- und Compliance-Überprüfung nicht vorhanden, bietet Netzlink eigens zertifizierte Berater, die als externe IT-Sicherheits- und Datenschutz-Beauftragte fungieren. Diese begleiten dann sehr engmaschig die Umsetzung aller erforderlichen Maßnahmen auf der Datenschutzebene.

www.netzlink.com

Cookies erleichtern die Bereitstellung unserer Dienste. Klicken Sie auf OK, wenn Sie mit dem Einsatz von Cookies einverstanden sind.
Weitere Informationen