Blog
Hard Facts der IT-Sicherheit
- ein Kommentar von Georg Rasch
Alleine am Montag dieser Woche schlugen mir zuerst beim Frühstück in der FAZ ein großer Hackerangriff in Deutschland gegen Mediamarkt und Saturn (externer Link) und gleich danach auf der Titelseite bei Heise ein weiterer Hackerangriff gegen Medatixx (externer Link) und ein Systemausfall bei Datev (externer Link) entgegen.
Für mich sind diese gehäuften Schlagzeilen ein Anlass, ein paar Punkte aus meiner Erfahrung als IT-Sicherheitsberater aufzulisten. Hard Facts, die eigentlich jeder kennt, die trotzdem meist ignoriert werden!
Natürlich könnte man eine ewig lange Liste zusammenschreiben. Aber ich glaube, dass folgende Punkte die allergrößten Sicherheitsrisiken in Unternehmen darstellen:
1. ISMS nach ISO 27001 ist nur ein Teilgebiet der IT-Sicherheit
- es deckt weder architektonische noch technische Sicherheitslücken ab
Wir halten Information Security Management Systeme (ISMS) für sehr wichtig und sinnvoll. Man muss als Mittelständler aber nicht direkt ISO 27001 oder BSI IT-Grundschutzkonformität anstreben. Die BSI Basis-Absicherung reicht für KMUs meist völlig aus (Ausnahmen bestätigen bekanntlich die Regel). Technische Härtung der Systeme, Netzwerk-Architektur, Microservice basierte Softwareentwicklung usw. sind gerade für KMUs – aber auch für große Unternehmen – Grundpfeiler der Sicherheit. Wenn es dort Schwachstellen gibt, nützt auch ein ISO-Zertifikat nichts.
2. Alles was glänzt, ist keine IT Security
- GUI (grafische Oberflächen) und viele Add-ons sind Schwachstellen
Jedes zusätzliche Stück Software, jede zusätzliche Schnittstelle bedeutet ein zusätzliches Risiko. Effektive Sicherheitssysteme haben eine einzige Aufgabe, für die sie zuständig sind. Eine einzige Software, die alles kann, ist eben auch ein Single Point of Failure und bringt zusätzlich erhöhte Risiken mit sich.
Für kleine Firmen sind Allround-Lösungen mit grafischer Benutzeroberfläche natürlich nützlich. KMUs können sich kein großes Budget für Sicherheitsmaßnahmen leisten und mit solchen Fertiglösungen kann der Admin nebenbei zumindest die größten Sicherheitslücken schließen. Das ist auch solange unproblematisch, wie keine größeren oder expliziten Angriffe zu erwarten sind.
Allerdings sollte sich der Mittelstand hier nicht täuschen lassen! Gerade weil Angreifer wissen, dass KMUs sich keine dedizierte IT-Sicherheit leisten können, sind sie ein sehr beliebtes Ziel von Cyberattacken. Mit dem Wachstum des Unternehmens (Faustregel: spätestens ab 20 datenverarbeitenden Mitarbeitern) sollte sich die Geschäftsführung ernsthaft überlegen, ein ausreichendes Budget für die Sicherheit ihrer IT zur Verfügung zu stellen. Es ist im jeden Fall teurer, später eine organisch gewachsene Infrastruktur komplett umzurüsten. Um am teuersten – und schnell den Ruin einer Firma bedeutend – ist ein erfolgreicher Hackerangriff.
3. Blockchain, KI und Quantencomputing sind Schlagworte im Marketing
- Sie nützen nur, wenn man sie auch versteht
Verstehen Sie mich nicht falsch: Blockchain, KI, Quantencomputing sind sehr sinnvolle und zukunftsweisende Technologien!
Aber sie sind für Spezialbereiche konzipiert und nur dort sinnvoll. Blockchain sichert die Beweisbarkeit der Korrektheit einer Abfolge (Chain) von zu Blöcken zusammengefassten Transaktionen (Blocks). Das ist sehr sinnvoll, wenn man zum Beispiel Datentransfers auf transparente Weise manipulationssicher gestalten möchte. Für andere Einsatzzwecke brauchen Sie keine Blockchain.
Analog benötigen Sie kein Quantencomputing, wenn die Superposition von Quantenzuständen (QBits) kein Vorteil bringt. Und Sie sollten keine (echte) KI einsetzen, wenn beispielsweise eine Fehlerquote von über 10% (aktuelle Fehlerrate von DeepSpeech) für Sie nicht akzeptabel ist. Wenn 10% der Hackangriffe auf Ihre durch KI gesicherten Systeme erfolgreich sind, ist das nicht gut!
4. Monitoring und Trending sind sinnvoll
- Aber nicht auf den Sicherheitssystemen!
System-Monitoring ist eine Grundanforderung an die Sicherheit Ihrer Systeme (Verfügbarkeitskontrolle). Und bei den heute üblichen Wachstumsraten von Last und Datenvolumen muss eine Trend-Analyse eigentlich immer sein.
Aber das sollte auf einer separierten Time Series-Datenbank auf einem separaten System geschehen. Und das grafische Front-End zur Auswertung sollte nach Möglichkeit in einem abgeschotteten Netzwerksegment installiert sein und nur Leserechte auf die Time Series Data Base haben.
5. Sicherheit ist dezentral
- Trennungsgebot vs. Benutzerfreundlichkeit?
Klar, der Benutzer findet ein System am besten, das alles kann. Der Angreifer allerdings auch. Rollen- und Berechtigungskonzepte sind notwendige aber nicht hinreichende IT-Sicherheitsmaßnahmen. IT-Sicherheit ist immer ein Schalen- oder Kettenmodell, in dem verschiedene Maßnahmen mit verschiedenen Sicherheitsstufen zusammenwirken zu einem funktionierenden Schutzschild.
Deswegen fordert zum Beispiel der Datenschutz das Gewährleistungsziel Nicht-Verkettbarkeit, welches entsprechend des Schutzbedarfes des jeweiligen Systems über die Maßnahmen der Trennungskontrolle/des Trennungsgebots erreicht wird. Und die wichtigsten Maßnahmen sind hier eben logische Mandantentrennung und physikalisch getrennte Speichersysteme und Netzwerksegmente.
Oder um es zu veranschaulichen: Sie wollen Ihre Geschäftsgeheimnisse sicher nicht in der DMZ liegen haben 😉
6. IT-Sicherheit ist keine Nebensache
- Der Sysadmin hat keine Zeit für Security
Natürlich: jeder Informatiker, auch Programmierer, Software-Architekten und allen voran System-Admins haben grundsätzlich geschulte Augen für IT-Sicherheit. Aber das alleine reicht leider nicht aus. Das Thema ist hinreichend komplex, dass nicht einmal ein einziger dedizierter Sicherheitsexperte alle Facetten abdecken kann. Üblicherweise macht man also eine Risikoanalyse und weiß dann, wie viel man in welchen Bereich der Sicherheit investieren muss (bzw. müsste).
Außerdem soll der Sysadmin ja die Server am Laufen halten, der Programmierer soll Software coden, der Support soll sich um Probleme kümmern etc. Jetzt kommt Punkt 2 mit ins Spiel: Anstatt sich beispielsweise eine professionelle, maßgeschneiderte Firewall einzurichten, wird häufig eine Out-of-the-Box-Firewall für ein paar tausend Euro gekauft, wo der Sysadmin mit ein paar Mausklicks auf der grafischen Oberfläche die Regeln hin klickt. Viel günstiger. Aber eben auch mit so einigen Sicherheitsrisiken behaftet. Das gilt analog für alle anderen Sicherheitssysteme…
Mein Fazit
Es nützt der IT-Sicherheit nichts, sich eine Horde Berater ins Haus zu holen, die Buzzwords um sich werfen, aber nur geringes technisches Verständnis mit sich bringen. Ebenso wenig nützt es, wenn sich der Firewall-Experte um strukturelle Maßnahmen kümmern soll. Ein hybrides Team aus Analysten und Technikern ist am sinnvollsten!
Klar, es kann sich nicht jedes Unternehmen ein dediziertes IT-Sicherheitsteam leisten.
Nach meiner täglichen Erfahrung hilft es bei KMUs dennoch schon sehr viel, zumindest ab und zu einen externen Sicherheitsexperten mit den eigenen Sysadmins zusammen auf die IT-Infrastruktur gucken zu lassen. Wir finden immer die eine oder andere größere Schwachstelle, die der Sysadmin dann beheben kann.
Und je größer das Unternehmen wird, umso mehr muss man in den Bereich investieren. Je größer das Unternehmen, umso detailliertere Maßnahmen sind nötig. Sicherheit kostet, da führt leider kein Weg dran vorbei.
(Kommentar von G. Rasch)
Dieses Werk von DSS IT Security GmbH ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz (externer Link). Beruht auf dem Werk unter https://it-security.gmbh/2021/11/12/hard-facts-der-it-sicherheit-ein-kommentar/.