Cybersicherheit braucht einen breiten Schutzschirm

11. Dez. 2023 Audit

Die Kehrseite der digitalen Vernetzung von Unternehmen, Maschinen, Verwaltungs-, Service- und Beschaffungsprozessen ist die Cyberattacke. Im ersten Halbjahr 2023 registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchschnittlich 250.000 neue Schadprogramme – pro Tag. Sie installieren sich häufig über E-Mail-Anhänge, Verlinkungen in E-Mails oder über gefälschte Links auf Internetseiten. Die hohe Dynamik und Professionalisierung der Angriffsmethoden fordern jede Organisation heraus, die Sicherheit ihrer IT- und Informationsinfrastruktur aktiv zu gestalten, um die Risiken und Folgen eines Datendiebstahls oder einer Manipulation so gering wie möglich zu halten.

Die digitale Transformation ist auch die Zeit für Cyberkriminelle, indem sie bei den Anwendern Unsicherheiten leichter ausnutzen können als in einem gewohnten Umfeld. Während Detektionsmethoden für bekannte Schadprogramme bestehen, sind neue maliziöse Varianten unmittelbar nach ihrem Auftreten noch nicht erfasst. Sie sind daher für nicht ausreichend gesicherte IT-Infrastrukturen, Systeme und Geschäftsabläufe besonders bedrohlich.
Nach einer erfolgreichen Attacke können Daten für Lösegeldforderungen verschlüsselt (Ransomware), sensible personenbezogene Daten ausgelesen oder Schadprogramme installiert werden. Besorgniserregend ist, dass nach der Verschlüsselung großer Datensätze durch Trojaner häufig keine funktionsfähige Datensicherung mehr zur Verfügung steht, weil eine entsprechende Back-Up-Policy oder ein Disaster Recovery nicht richtig umgesetzt und organisatorisch nicht überwacht wurde.
Cyberbedrohungen: weit verbreitet und professionell
DoS-Angriffe
Denial-of-Service-Angriffe, um die Verfügbarkeit von Internetseiten, Diensten, Systemnetzen zu stören.
Identitätsdiebstahl
Exploit
Emotet
Malware
Password-Spraying
Phishing
Ransomware
Social Engineering/CEO-Fraud
Allein die Vielfalt und Dynamik der Angriffsmethoden zeigt: es reicht nicht aus, den Sicherheitsfokus nur auf die Hard- und Software der technischen Sicherungssystemen zu richten. Der Rundumblick über den gesamten Unternehmenskontext ist notwendig, über alle Produktionssysteme, Betriebsstätten, Geschäftsabläufe und Lieferbeziehungen.

Informationssicherheit als Leitlinie

Mit dem Konzept der Informationssicherheit erlangen unternehmen eine hohe Widerstandsfähigkeit gegenüber Cyberbedrohungen. Der risikobasierte Ansatz ist nicht nur auf die IT-Systeme (IT-Sicherheit) begrenzt. Weit gefasste Schutzziele sind die Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher Informationswerte sowie die Prozesse der Datenverarbeitung, Geschäftsabläufe, das Wissensmanagement und Know-how der Mitarbeitenden bis hin zur Absicherung der physischen und virtuellen Standorte und Arbeitsplätze. Erst wenn die technischen und organisatorischen Schutzziele ineinandergreifen, können Unternehmen gerade in agilen und disruptiven Zeiten ein hohes Sicherheitsniveau aufbauen.
  • Was nützen IT-Sicherheitsmaßnahmen, wenn sie in der Organisation nicht bekannt sind oder nicht gesteuert werden können? Beispiel: nicht kommunizierte Richtlinien oder Maßnahmenpläne. Personalwechsel in der IT-Abteilung oder beim externen Dienstleister.
  • Was nützen reine IT-Sicherheitsmaßnahmen, wenn physische Umgebungsrisiken nicht berücksichtigt sind? Beispiel: Eine Verkettung von Ereignissen: Stromausfall im Rechenzentrum durch Ausfall des Notstromaggregats (Fehlermeldungen bei der Dieselzufuhr).
Den geeigneten Umsetzungsrahmen bietet ein Informationssicherheits-Managementsystem (ISMS). Der Aufbau richtet sich vor allem an der internationalen Norm ISO/IEC 27001:2022 aus und im deutschsprachigen Raum auch am IT-Grundschutz des BSI. Mittlerweile sind die meisten IT-Sicherheitsstandards aus der ISO 27001 abgeleitet.

Unterscheidung: primäre und sekundäre Assets

Die Inventarisierung sämtlicher Assets und Informationswerte bildet das Fundament der Sicherheitspolitik, um so auch komplexe und versteckte Risikolagen (Silent Cyber) erkennen, fortlaufend zu bewerten und anpassen zu können. Zu unterscheiden sind die primären und sekundären Assets, die je nach potenziellem Schadensereignis und Eintrittswahrscheinlichkeit in Schutzklassen eingeteilt werden (Risikomatrix).
Als primäre Assets gelten beispielsweise das spezifische Know-how zur Erstellung der Services oder Produkte, Geschäftsbeziehungen und Kundendaten. Sie sind für den Unternehmenserfolg am wertvollsten und eng an Informationen und Daten gebunden. Die technische Infrastruktur wie Maschinen und IT-Systeme werden als die sekundären Assets geführt.

Maßnahmen für eine hohe Sicherheitskultur

Nach Inventarisierung der Informationswerte ist die Voraussetzung geschaffen, um gezielte Aktivitäten zur Steigerung der Informationssicherheit abzuleiten. Hierfür sind im Annex A der 2022 revidierten 27001-Norm 93 Referenzmaßnahmen (zuvor 114 Maßnahmen) aus vier Kategorien genannt: mit organisatorischen, personenbezogenen, physischen und technischen Maßnahmen.
Im Mittelpunkt der Norm steht weiterhin die Verbesserung des Risikobewusstseins, des Risikomanagements und der organisatorischen Abläufe. Denn zahlreiche IT-Angriffe legen häufig Schwachstellen offen, die nicht nur durch unzureichende technische Sicherungen, sondern vor allem durch das Fehlen geeigneter Maßnahmen aus einem Managementsystem entstanden sind.
Ein gelebtes ISMS hilft in der Praxis vor allem den Mitarbeitern und Führungskräften, akute und potenzielle Risiken zu erkennen, Sicherheitsmaßnahmen bewusst am Arbeitsplatz zu integrieren und die Schutzziele aktiv zu unterstützten. So schätzt die revidierte Norm eine vorausschauende kontinuierliche Verbesserung höher ein als eine nachträgliche Behebung von Nichtkonformitäten. Hierfür ist die Informationssicherheitsrichtlinie ein wesentliches Instrument. Das Masterdokument enthält die konkreten Vorgaben des Unternehmens zur Informationssicherheit, wie die Sicherheitspolitik, die Sicherheitsziele, die Struktur der Organisation, die relevanten Abläufe, Verantwortlichkeiten sowie das Vorgehen zur Implementierung des ISMS.
Um auf die digitale Entwicklung zu reagieren, wurden mit der Revision der Norm einige Sicherheitsmaßnahmen im Annex gestrichen und elf neue – wie z.B. für die Nutzung von Cloud-Diensten – aufgenommen.

Weitere Sicherheitsmaßnahmen in der revidierten Norm:

1. Informationen über die Bedrohungslage
2. Informationssicherheit für die Nutzung von Cloud-Diensten
3. IKT-Bereitschaft für Business Continuity, Wiederherstellungsmaßnahmen
4. Physische Sicherheitsüberwachung, Einbruchalarmierung
5.Anonymisierung, Pseudonymisierung von Daten
6. Verhinderung von Datenlecks
7. Proaktives Monitoring von abweichenden Aktivitäten
8. Webfilterung, Entfernen gefährlicher Internetseiten, die Malware verbreiten
9. Sicheres Coding, Beseitigung von Schwachstellen für Angriffe
10. Konfigurationsmanagement mit korrekten Einstellungen der Sicherheitsmaßnahmen
11. Löschung von Informationen in Übereinstimmung mit DSGVO und GDPR
Insgesamt wird deutlich: eine hohe und flexible Widerstandsfähigkeit basiert auf einer Sicherheitskultur, die alle Anwender für die kritischen IT-Prozesse und die externen Bedrohungspotenziale sensibilisiert. Mit einem integrierten Managementsystem und der Erarbeitung von Verfahren und Regeln sind Organisationen in der Lage, die jeweilige Informationssicherheit fortlaufend für die speziellen Markt- und Kundenanforderungen zu definieren und die Risikobehandlung gezielt darauf auszurichten.
Das Ergebnis ist ein breiter Schutzschirm aus Technik und Organisation, der nicht nur hochsensible Vermögenswerte schützt. Unternehmen stärken dadurch auch ihre Liefersicherheit: ein immer wertvollerer Wettbewerbsfaktor, je fragmentierter, digitaler und verletzlicher die Produktionsketten werden.