IT-Sicherheitsmanagement: Warum Sie sich spätestens jetzt darum kümmern sollten und worauf es dabei ankommt!
von Svenja Koch
Cyberbedrohungen sind allgegenwärtig – dies ist inzwischen weitestgehend bekannt. Gleichzeitig gibt es in vielen Unternehmen noch eklatante Lücken im Bereich der IT-Security Maßnahmen. Das IT-Sicherheitsmanagement hat das Ziel, diese Sicherheitslücken mit einem umfassenden Maßnahmenplan, der Ressourcen wie Mitarbeiter, finanzielle Mittel und IT-Sicherheitstools umfasst, zu schließen. Auf diese Weise wird eine Anhebung des IT-Sicherheitsniveaus innerhalb von Unternehmen und Organisationen erreicht.
Was genau ist IT-Sicherheitsmanagement? Definition und Ziele
Das IT-Sicherheitsmanagement hat das Ziel, Unternehmen umfassend und nachhaltig auf potenzielle Cyberbedrohungen vorzubereiten. Die IT-Sicherheitslage erfordert breit angelegte Maßnahmen. Unter dem Dachbegriff des IT-Sicherheitsmanagements sind eine Vielzahl an IT-Security Maßnahmen zusammengefasst. Diese gewährleisten in der Gesamtheit die digitale Sicherheit einer Organisation. Dieses Management ist ein fortlaufender Prozess, der sowohl Bereiche des Datenschutzes als auch die Abwehr von Cyberbedrohungen beinhaltet. In seiner Gesamtheit ist das IT-Sicherheitsmanagement ein komplexes System, dessen Maßnahmen um einen IT Security Plan herum aufgebaut sind.
Das grundlegende Ziel des IT-Sicherheitsmanagements ist es, die digitale Sicherheit im Unternehmen nachhaltig zu steigern. Dies ist ein langfristiger Prozess, an dem Schritt für Schritt mithilfe von einzelnen, ineinandergreifenden IT-Security Maßnahmen gearbeitet wird. Das IT-Sicherheitsmanagement selbst definiert noch keine konkreten Schritte. Vielmehr ist es die Bündelung von zur Verfügung stehenden und ausgewählten Methoden und Maßnahmen, so dass ein koordinierter Einsatz erreicht wird. Dies bedeutet auch, dass eine verantwortliche Position im Unternehmen vorhanden ist, die den zugrundeliegenden IT Security Plan erstellt. Über diese Position erfolgt auch die Kontrolle der IT-Sicherheit und der Schutzziele. Die konkreten IT-Security Maßnahmen im Rahmen des Sicherheitsmanagements setzen sich aus verschiedenen IT-Standards, Best Practices, Leitfäden sowie gesetzlichen Mindeststandards zusammen.
IT-Standards und gesetzliche Vorgaben für die Umsetzung der IT-Security Maßnahmen
Im Rahmen des IT Security Plans entsteht ein individueller Katalog an IT Security Maßnahmen, die auf die spezifische Infrastruktur der Organisation angepasst sind. Diese Maßnahmen stützen sich auf IT-Standards und den gesetzlichen Vorschriften. So ist zum einen gewährleistet, dass das Unternehmen die gesetzlichen Mindeststandards der IT-Sicherheit erfüllt. Zum anderen geben die IT-Standards den Verantwortlichen konkrete Optionen für die Gestaltung der IT-Sicherheit und der Schutzziele.
In diesem Zusammenhang spielt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) für viele Organisationen eine wichtige Rolle. Die IT-Grundschutzvorgehensweise gibt IT Security Verantwortlichen eine klare Struktur vor, wie eine effektive und nachhaltige IT-Sicherheit aufgebaut wird. Hier gibt es beispielsweise den BSI-Standard 100-2. In diesen IT-Grundschutz-Katalogen sind Bedrohungssituationen, Eintrittswahrscheinlichkeiten und auch die möglichen Schadensauswirkungen definiert. Diese Grundschutzhandbücher dienen als Ersatz für aufwendige individuelle Sicherheitsanalysen. Sie informieren über die potenziellen Angriffsvektoren, mit denen Unternehmen rechnen müssen, und geben Anleitungen, wie die Unternehmen Gegenmaßnahmen implementieren.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Es gibt außerdem eine dreistufige Zertifizierung beim IT-Grundschutz des BSI, die durch Checklisten und in der letzten Stufe durch ein Auditing überprüft wird. So ist die Umsetzung des IT-Grundschutzes für Unternehmen mit relativ einfachen Mitteln und ohne eigens verankertes Expertenwissen über die IT Sicherheit und die Schutzziele möglich. Fachpersonal, das Sicherheitsanalysen durchführt und darauf basierend einen IT Security Plan entwirft, wird in diesem Fall nicht benötigt.
Ein weiterer zentraler Baustein beim Aufbau und der Definition von IT Sicherheit und den Schutzzielen ist die ISO 27001. Diese internationale Norm spezifiziert die Erstellung eines individuellen Informationssicherheits-Managementsystems. Anhand der ISO 27001 ist es möglich, Sicherheitsrichtlinien für die IT einzuführen. Der Fokus der ISO 27001 liegt auf dem Aufbau eines Managementsystems, bei dem alle IT Security-Maßnahmen sinnvoll ineinandergreifen und die Schutzziele der IT Sicherheit komplett abdeckt. Im Rahmen der ISO 27001 sind außerdem Vorgaben festgelegt, mit denen sich die Funktionsfähigkeit der einzelnen Sicherheitsmaßnahmen im IT Security Plan überprüfen lassen. Erst durch ein zentrales Managementsystem, das alle einzelnen Maßnahmen steuert und verwaltet, entsteht ein stimmiges Gesamtkonzept, bei dem alle Sicherheitsrisiken abgedeckt sind.
Die ISO 27001 schreibt weiterhin eine Dokumentation des IT Security Plans sowie der einzelnen Maßnahmen vor. Auf diese Weise entsteht ein transparentes und nachvollziehbares Vorgehen im Rahmen des IT-Sicherheitsmanagements. Dies ist vor allem langfristig wichtig. Kommt es zu Wechseln innerhalb des hierfür verantwortlichen IT-Personals, verhindert die klare Dokumentation, dass in einer solchen Situation die IT Security wieder am Nullpunkt beginnen muss.
Die zentralen IT-Sicherheits-Schutzziele in Unternehmen
Welche IT-Security Maßnahmen das Unternehmen konkret implementiert, ist von Organisation zu Organisation unterschiedlich. Deshalb beginnt die Umsetzung im IT-Sicherheitsmanagement mit einem IT Security Plan. In diesem Plan erfolgt zunächst eine Analyse der Ist-Situation. Diese umfasst die vorhandenen Systeme, eine Erfassung der aktuellen IT Security Maßnahmen sowie eine Erkennung der IT-Schwachstellen.
Basierend hierauf definiert die IT-Sicherheit Schutzziele und konkrete IT Security Maßnahmen. Der IT Security Plan, der einer der zentralen Mittel des IT-Sicherheitsmanagements ist, legt dann einen zeitlichen Ablauf für die Implementierung und Umsetzung fest. Hierbei geht es dann um konkrete Maßnahmen und langfristige Ziele. Diese müssen auch langfristig angelegt werden, wie beispielsweise die fortlaufende Schulung von Mitarbeitern.
Ein wichtiger Punkt, damit die IT-Sicherheit die definierten Schutzziele erreicht, ist die Bereitstellung von Ressourcen. Dies betrifft einerseits die finanziellen Mittel. Andererseits geht es jedoch auch um personelle Strukturen und das benötigte Know-how. Gerade der letzte Punkt ist nicht leicht umzusetzen. Besonders kleinere und mittlere Unternehmen stehen häufig vor Herausforderungen, was die Bereitstellung von ausreichenden Ressourcen für die IT-Sicherheit und die Schutzziele angeht.
Die aktuelle Lage – darum kommt dem IT-Sicherheitsmanagment eine immer größere Bedeutung zu
Zahlen aus England und auch vom Bundeskriminalamt für Deutschland belegen, dass bereits seit 2016 die Cyberkriminalität zu den häufigsten Verbrechen überhaupt gehört. In den letzten Jahren haben die Hacker außerdem ihre Fähigkeiten deutlich verbessert. Die Cyberkriminellen sind gut vernetzt und greifen auf Schadsoftware zu, die sie wie eine Cloud-Anwendung in Form einer Software as a Service mieten.
Hinzu kommt, dass die Cyberkriminellen auf Kryptowährungen zurückgreifen, um Lösegeldforderungen an Unternehmen zu senden. Aktuell gibt es für die Ermittlungsbehörden keine Möglichkeit, Zahlungen in Bitcoin und anderen digitalen Währungen nachzuvollziehen. Die Empfänger, die von einem beliebigen Punkt der Welt aus agieren, bleiben so anonym, wenn sie hohe Zahlungen via Kryptowährungen empfangen.
Diese Möglichkeit, Geld aus illegalen Aktivitäten ungefährdet zu empfangen, hat das Modell Ransomware erfolgreich gemacht. Hacker sowie Kriminelle, die sich entsprechende Ransomware und Schadsoftware für die Kompromittierung von Netzwerken mieten, attackieren immer häufiger Unternehmen. Auch vor öffentlichen Einrichtungen und kritischer Infrastruktur machen die Kriminellen nicht Halt, wie die jüngere Vergangenheit beweist. Das Ziel ist hier ganz klar, sich einen finanziellen Vorteil zu verschaffen. Im Rahmen von Erpressungen mit Ransomware fordern die Cyberkriminellen nicht selten fünfstellige Summen. Größere Unternehmen sehen sich sogar mit Erpressungen im Millionenbereich konfrontiert.
Die zunehmend raffinierte Vorgehensweise von Hackern erhöht die Gefahr weiter. Dies zeigt sich bei den Multi-Vektor-Angriffen, deren Anzahl exponentiell steigt. Hier scheitern Unternehmen immer häufiger bereits daran, Sicherheitsverletzungen im eigenen Netzwerk zu entdecken. Die Zeit, die zwischen dem Beginn einer Cyberattacke und der Entdeckung durch die eigene IT Security vergeht, nimmt immer weiter zu. Im Jahre 2019 vergingen bei erfolgreichen Cyberangriffen im Schnitt 108,5 Tage, bis die IT Security die Kompromittierung des Netzwerks entdeckte. Zwei Jahre zuvor betrug dieser Zeitraum 80,6 Tage. Zeit, die die Angreifer effektiv nutzen, um Daten zu entwenden, weitere Schadsoftware einzuschleusen oder die auf Servern gespeicherten Informationen mit Ransomware zu verschlüsseln.
In der Summe hat diese Situation dazu geführt, dass die gefährlichen Angriffe mit Ransomware explosionsartig zugenommen haben. Im Visier der Angreifer ist potenziell jedes Unternehmen und jede Organisation, unabhängig von der Branche oder Größe. Bei vielen Entscheidungsträgern herrscht hingegen noch zu häufig die Meinung vor, dass das eigene Unternehmen wohl eher nicht primär im Visier von Cyberangriffen stehen wird (beispielsweise aufgrund der zu geringen Unternehmensgröße oder mangelnder Relevanz der angebotenen Produkte/Dienstleistungen). Eine gefährliche und nicht mehr zeitgemäße Einstellung, durch die der unternehmensverantwortliche Mitarbeiter selbst zu einem gefährlichen Schwachpunkt der IT-Sicherheit wird: Einerseits, weil er es verpasst, rechtzeitig die eigene IT Sicherheit zu stärken und Schutzziele zu definieren. Andererseits, weil Schwachstellen, die Angreifer nutzen, durch Fehlverhalten von Mitarbeitern entstehen. Mit modernen IT Security Maßnahmen ist es hingegen möglich, das eigene Unternehmen sehr gut vor Cyberangriffen zu schützen. Die Herausforderung liegt in der korrekten Umsetzung und dem richtigen Verhalten durch die Verantwortlichen sowie den Mitarbeitern.
5 konkrete IT-Security Maßnahmen im Rahmen des IT-Sicherheitsmanagements
Die Umsetzung eines IT Security Plans scheitert in vielen Unternehmen an der nachhaltigen Implementierung. Die Umsetzung der Theorie in die Praxis, nachdem das IT-Sicherheitsteam die Schutzziele definiert hat, ist tatsächlich eine große Herausforderung. Gerade deshalb ist es wichtig, erfahrenes Personal oder professionelle, externe Dienstleister mit der Umsetzung des IT-Sicherheitsmanagements zu beauftragen.
5 elementare Maßnahmen, die zum IT-Sicherheitsmanagement gehören, sind:
- IT-Sicherheitsschulungen von Mitarbeitern: Welche Themen hierbei von Relevanz sind, hängt von einer individuellen Bedarfsanalyse ab. Dabei gilt es, die Schwachpunkte des Unternehmens sowie der Mitarbeiter zu identifizieren und gleichzeitig relevante Themenbereiche anzusprechen, die den Alltag betreffen. Elementare Schulungen betreffen etwa das Thema Phishing und vermitteln, woran Mitarbeiter auffällige E-Mails erkennen oder wie mit Nachrichten grundsätzlich umzugehen ist.
- Gewährleistung von IT-Sicherheitsstandards auf modernstem Stand (hierzu gehört u.a. das regelmäßige Patchen von Systemen sowie Durchführen von Back-ups, Aufbewahrung von Sicherungskopien offline, eine regelmäßiger Active Directory Security Check u.w.).
- Zeitgemäße Arbeitsgeräte für Mitarbeiter (gerade die mobilen Arbeitsplätze im Home Office & Co bringen neue Bedürfnisse mit sich: Die Hardware muss mobil und flexibel sein, und natürlich auch permanent auf dem neuesten technologischen Stand, um höchste Sicherheit zu garantieren).
- Einsatz von modernster Sicherheits- und Anti-Ransomware-Technologie (traditionelle Sicherheitstools, wie AV, Endpoint Protection, Firewalling und IDS/IPS sind nicht mehr ausreichend, um aktuelle Bedrohungen rechtzeitig abzuwehren).
- Einsatz von Managed Security Services zur Cyberabwehr, wie beispielsweise ein Vulnerability Managment und Active Cyber Defense Service.
Fazit
Durch die steigende Gefahr durch Cyberattacken, insbesondere durch die Advanced Persistent Threats, sind Unternehmensnetzwerke inzwischen einer permanenten Bedrohung ausgesetzt. Auch kleine und mittlere Unternehmen sind ins Visier der Cyberkriminellen gerückt. Diese Situation macht ein IT-Sicherheitsmanagement in allen Organisationen erforderlich. Dieses Management ist wichtig für die Organisation der IT Sicherheit und dem Erreichen und Einhalten der definierten Schutzziele. Wer nicht über die Ressourcen verfügt, selbst einen IT Security Plan zu erstellen und das IT-Sicherheitsmanagement zu übernehmen, kann auf externe Dienstleister oder den IT-Grundschutz-Katalog des BSI zurückgreifen. Nur mit einem professionellen Sicherheitsmanagement ist es möglich, die Gefahr durch Advanced Persistent Threats, Ransomware-Attacken und ähnliche Cyberbedrohungen deutlich zu minimieren.