IT-Risikomanagement optimieren: Was Sie jetzt tun sollten

IT-Risikomanagement: Bei größeren Unternehmen verursacht eine Security-Verletzung meist eine hohe Geldstrafe, den Ausfall von Geschäftsprozessen und manchmal auch einen großen Imageschaden. Für mittelständische Unternehmen, die rund 99 Prozent aller Unternehmen in Deutschland ausmachen, kann das schnell zur Aufgabe ihrer Geschäftstätigkeit führen.

Ins IT-Risikomanagement zu investieren lohnt sich!

Das bestätigt eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI): Eine von vier Cyberattacken haben schwere oder existenzbedrohende Folgen für den Mittelstand. Der Data Breach Investigation Report zeigt zudem, dass inzwischen kleinere Unternehmen bis 1.000 Mitarbeiter bei der Anzahl der verifizierten Sicherheitsverletzungen (1.037) die größeren Unternehmen mit mehr als 1.000 Mitarbeitern (819) deutlich übertreffen. Die Bedrohungslage ist daher für alle Unternehmen kräftig gestiegen, Zeit, etwas dagegen zu unternehmen

Unternehmen sollten umgehend eine Inspektion der Sicherheitsprotokolle, des IT-Risikomanagements und des Sicherheitsequipments vornehmen und in die IT-Sicherheit investieren. Auch sollten die Arbeitsrichtlinien überprüft und ggf. neue eingeführt werden. Die Kernfrage jedoch lautet: Gibt es eine schriftlich fixierte IT-Security-Strategie und ein dezidiertes Risk Management, um mögliche Unterbrechungen des Betriebsablaufs durch Cyberangriffe zu verhindern oder um eine schnelle Erholung einzuleiten? Wenn das nicht der Fall sein sollte, dann können die nachfolgenden Schritte eine erste Orientierung geben.

Zwei Analyseaufgaben stehen als erstes an: Die Cyberri­siken verstehen lernen und definieren, wo sich die Stellen mit hohem Risiko im Unternehmen befinden. Denn das ist zugleich die Grundlage dafür, die Betriebsabläufe im Krisenfall fortzuführen. Leider sind diese Analysen große und zeitaufwändige Aufgaben. Eine gute Hilfe bieten die Vorschriften und Rahmenwerke, die industriespezifische nationale Organisationen zur Verfügung stellen, zum Beispiel Regulierungsstandards wie ISO 27001, IEC 62443 und die NIST-Rahmenwerke. Ähnliches bietet auch die nationale Sicherheitsbehörde wie das BSI.

Benutzerkonten schützen durch Reduktion der Angriffsoberfläche

Benutzerkonten sind bevorzugte Angriffsziele. Einen privilegierten Zugang mit Zugriff auf kritische Anwendungen und Systeme haben häufig externe Dienstleister und interne Administratoren. Genau hier setzen die Cyber-Attacken (Stichwort Identitätsdiebstahl) gerne an. Mit nur einem dieser Zugänge kann der Angreifer unternehmensrelevante Daten extrahieren, manipulieren, verschlüsseln und tief in die Infrastruktur und den Betrieb eindringen. Das muss unbedingt verhindert werden – mit geeigneten Prozessen. Die Zugangsdaten zu kritischen Systemen sollten beispielsweise den Benutzern nicht bekannt sein, sondern stattdessen in einer sicheren „Password Vault“ aufbewahrt und regelmäßig geändert werden. Zur sicheren Benutzer-Authentifizierung gibt es Schutzmechanismen wie die Multi-Faktor-Authentifizierung (MFA). Dank der Verwaltung aller privilegierten Konten über eine zentralisierte Lösung ist die MFA ein großer Schritt zu einer soliden Cyber-Sicherheit.

Das Prinzip der geringsten Privilegien

Dieses System ist noch wirkungsvoller und radikaler als die MFA. Das Prinzip ist im Grunde einfach: Damit Benutzer die Infrastruktur nicht schädigen können, werden ihnen alle Privilegien auf Benutzer-, Applikations- oder Prozessebene entzogen (principle of least privilege) und anschließend neu ausgerichtet. Basierend auf Benutzer- und Systemprofilen werden jedem Berechtigten nur die Privilegien erteilt, die für seine Arbeit erforderlich sind. Hier muss im Vorfeld zum Beispiel durch die Personal­abteilung in Zusammenarbeit mit der IT und den relevanten Führungskräften exakt definiert werden, auf welche jeder Dokumente und Arbeitstools der Benutzer zugreifen darf. Alle anderen Anwendungen, Tools und Daten werden für ihn ausgeblendet. Sie sind für ihn nicht sichtbar – und damit auch nicht für den Angreifer, falls er dennoch Zutritt bekommt. Denn was er nicht sehen kann, kann er nicht angreifen.

Damit wird das Risiko erheblich reduziert. Diese drastische Maßnahme kann erhebliche Auswirkungen auf die Produktivität der Benutzer haben, wenn die Zugriffsberechtigungen auf wichtige Ressourcen nicht sorgfältig geplant werden. Doch mit den richtigen Sicherheitsmaßnahmen, einem effizient IT-Risikomanagement und der richtigen Vorgehensweise wird die Produktivität eines Mitarbeiters in keiner Weise einschränkt.

IT-Risikomanagement: Wirklich niemandem vertrauen

Kombiniert wird dies in der Regel mit Zero Trust. Dieses Prinzip besagt, dass niemandem, auch nicht den einst privilegierten Benutzern, automatisch vertraut werden darf. Selbst Mitarbeiter mit hohen Privilegien können falsche Befehle auf kritischen Systemen ausführen. Oftmals können sie gar nichts dafür, da sie beispielsweise auf ausgeklügelte Phishing-Maßnahmen reingefallen sind, die immer schwerer zu entdecken sind.
Darüber hinaus gibt es immer wieder Mitarbeiter, auch wenn zahlreiche Unternehmen das nicht wirklich wahrhaben möchten, die sich an der Firma rächen wollen, weil sie sich mit dem Vorgesetzten gestritten haben oder nicht befördert worden sind. Gründe hierfür gibt es untzerschiedliche. Diese stellen oft das größte Sicherheits­risiko dar. Deswegen gilt grundsätzlich: Benutzer müssen immer sicher identifiziert werden und sich an die Hausordnung halten.

Der Autor Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix.

Lesen Sie auch: Cyberabwehr: Wie KI mehr Sicherheit schaffen kann