Auch wenn über Cybersicherheit immer mehr gesprochen wird, so sollte man doch bedenken, dass selbst die unschönsten Vorfälle, die über die Medien ins öffentliche Bewusstsein gelangen, immer noch nur die Spitze des Eisbergs bilden. Cyberangriffe befinden sich in einem konstanten Wachstumstrend und sind zu einem täglichen Bestandteil der immer mühsameren Arbeit von IT-Systemmanagern geworden.

Aus der Sicht eines Endnutzers bedeutet Cybersicherheit die Verwendung sicherer Passwörter, eine Zwei-Faktor-Authentifizierung, Grundkenntnisse in Cyberhygiene, Aufmerksamkeit dafür, wo und wie man die eigenen Daten teilt, Wissen darüber, wie man zwischen sicheren und unsicheren Geräten und Umgebungen unterscheidet usw. Das ist schon eine ganze Menge, aber es macht nur einen kleinen (wenn auch sehr wichtigen) Teil der Cybersicherheit insgesamt aus. Am anderen Ende des Spektrums finden wir verschiedene Dienstleistungsanbieter, wie z. B. IT-Unternehmen, die sich mit Infrastrukturlösungen befassen. Die genauen Zuständigkeiten eines Infrastrukturanbieters hängen von dessen genauem Aufgabenbereich ab, aber im Falle von Cloud-Lösungen sind Infrastrukturanbieter nicht nur für die Sicherheit von Räumen und Hardware verantwortlich, sondern auch für die Virtualisierungsschicht, die internen Netzwerke, die Sicherstellung der notwendigen Rechenleistung und so weiter.

Zwischen diesen beiden Enden des Spektrums liegt der wichtigste Teil, nämlich das Unternehmen, welches einen bestimmten IT-Dienst „besitzt“, sei es die Website des Unternehmens, einen E-Mail-Dienst, einen Online-Shop, eine CRM-Lösung oder sonst etwas. Die Entscheidungen dieses Unternehmens sind ausschlaggebend dafür, inwieweit die von beiden Enden des Spektrums her unternommenen Anstrengungen in Richtung Cybersicherheit überhaupt etwas bringen.

Die Infrastrukturanbieter befinden sich hier in der besten Position, da sie den besten Überblick haben, was wiederum bedeutet, dass sie tagtäglich mit verschiedenen Angriffen und anderen Sicherheitsproblemen konfrontiert sind. Gleichzeitig hat dies zu aber dem Missverständnis geführt, dass, wenn denn ein Infrastrukturanbieter nur genug beiträgt und eine sichere Umgebung schafft, schon alles in Ordnung sein wird und somit alle Systeme automatisch sicher sind. Tatsächlich ist das leider nicht der Fall, denn diese Verantwortung ist bei jedem Service geteilt – sowohl der Infrastrukturanbieter als auch der Endbenutzer können sich selbst oder den von ihnen angebotenen Service nur bis zu einem gewissen Grad schützen. Insofern bringt es nur wenig, dass sich der Endbenutzer sicher verhält, wenn der e-Service, über den er dies tut, die Sicherheit seiner IT-Systeme nicht gewährleistet.

Missverständnisse und Hoffnungen

Jeden Tag entstehen mindestens 300.000 Fälle neuer Malware (Viren, Ransomware, Spyware, Trojaner usw.), werden 30.000 Websites gehackt, alle 39 Sekunden wird ein neuer Cyberangriff durchgeführt, es werden neue Sicherheitsprobleme in bereits implementierten Systemen entdeckt und die Angriffsvektoren werden zunehmend intelligenter. Und dabei dauert das Finden und Beheben einer Schwachstelle durchschnittlich 314 Tage: Sieben Monate, um sie zu finden und vier Monate, um sie zu beheben. Aber mit immer intelligenteren Angriffsvektoren können die Angreifer ihre Arbeit zunehmend automatisieren – die häufigsten Schwachstellen werden nicht mehr von Menschen ausgenutzt, sondern von automatisierten Bots, die erstellt wurden, um rund um die Uhr riesige Mengen von IT-Systemen zu scannen und alle gefundenen Schwachstellen sofort auszunutzen. Und meistens merken die Opfer noch nicht einmal sofort, dass da etwas passiert, weil das frisch übernommene System auf dem Schwarzmarkt zum Verkauf angeboten wird, einem riesigen Botnetz hinzugefügt wird oder sogar beides. Insofern ist es nicht überraschend, dass einige Schwachstellen über Jahre nicht behoben werden.

Diese zum Nachdenken anregenden Statistiken betreffen nicht nur große und reiche Unternehmen (2019 zielten 47 % aller Cyberangriffe auf kleine Unternehmen ab), und sie zeigen eine steigende Tendenz. Warum ist das so, obwohl das Thema Cybersicherheit zusammen mit neuen Warnungen immer mehr in aller Munde ist? Unserer Erfahrung nach ist eine der häufigsten Ursachen für Cyber-Vorfälle ein falsches Verständnis des Lebenszyklus von IT-Lösungen. Allzu oft sehen wir Unternehmen, die neue Lösungen einführen oder die Entwicklung einer solchen Lösung in Auftrag geben, und sobald diese Lösung implementiert ist, hört die Arbeit einfach auf. Aber genau an diesem Punkt sollte die Arbeit an der Sicherheit erst richtig anfangen!

Manchmal bleibt der Lebenszyklus einer Lösung aus Unwissenheit stecken, manchmal aus dem Wunsch heraus, die Kosten niedrig zu halten. In letzterem Fall, wird oftmals nicht über die Kosten nachgedacht, die im schlimmsten Fall anfallen würden. Und leider sind diese immer größer, als sämtliche Investitionen in die Sicherheit je sein könnten. Und eigentlich stellt sich die Frage gar nicht, ob überhaupt etwas Unerwartetes passieren wird. Dass es passiert, sieht man tagtäglich in Nachrichten und Berichten. Die eigentliche Frage ist eher, wann etwas passieren wird.

Hintergrundarbeit und ständige Wartung

Man sollte IT-Lösungen als einen ständigen Prozess betrachten, der erst dann beendet ist, wenn das System seinen Zweck erfüllt hat und abgeschaltet wird. Während dieser ganzen Zeit muss sichergestellt werden, dass die Software, der Inhalt der Server, die sie beherbergen, und die Infrastruktur um sie herum alle auf dem neuesten Stand sind und nach den neuesten bewährten Verfahren verwaltet werden. Dies ist zwar nicht unbedingt kostspielig oder kompliziert, doch es erfordert ein Verstehen der Umgebung, in der Menschen und IT-Systeme arbeiten, und wie sich alles, was uns umgibt, auf uns auswirken kann.

Im Risikomanagement sind verschiedene Methoden in Betracht zu ziehen, zu überprüfen und umzusetzen, angefangen bei der Infrastruktur, die ein untrennbarer Bestandteil jedes IT-Systems ist. Bevor man eine solche implementiert, sollte man sich zuerst immer überlegen, welche Infrastruktur die risikoärmste ist. Es ist klar, dass man, um mit Sicherheitsbedrohungen Schritt halten zu können, sowohl in Hard- und Software als auch in das Systemmanagement investieren muss. Insofern sollte man als erstes herausfinden, ob ein Infrastrukturanbieter überhaupt in der Lage ist, diese Investitionen zu tätigen, und ob er in der Lage ist, dies nachzuweisen. Wenn eine Organisation beispielsweise vor der Wahl zwischen dem Aufbau eines eigenen Servers (oder eines ganzen Serverparks) und dem Kauf des Dienstes bei einem erfahrenen und erfolgreich erprobten Dienstleister steht, dann steht außer Zweifel, dass man mit den Investitionsvolumina großer globaler Anbieter (so investiert Microsoft beispielsweise jährlich eine Milliarde Dollar in die Sicherheit seiner Cloud-Technologie) und den strengen Sicherheitsaudits, die diese regelmäßig durchführen, nicht konkurrieren kann.

Sobald eine Infrastruktur ausgewählt wurde, besteht der nächste Schritt in deren Vorbereitung. Auch wenn die genaue Liste der Arbeiten von der Infrastruktur abhängt, so sollte die Liste neben der technischen Arbeit auch die Einrichtung aller Prozesse umfassen: wie wird die Infrastruktur und die Lösung, die sie beherbergen soll, in Zukunft überwacht und verwaltet und wer ist dafür verantwortlich. Wie bei jeder anderen Art von Sicherheit ist es wichtig, alle Glieder in der Kette zu kennen und sicherzustellen, dass sie alle zusammenarbeiten.

Neben der Infrastruktur ist auch die Software zu inspizieren. Sowohl fertige Paketlösungen als auch einzigartige Lösungen, die von einem Unternehmen erstellt wurden, sollten mit scharfer Aufmerksamkeit für Details betrachtet werden. Natürlich wird Software immer auf Grundlage der jeweiligen Geschäftsanforderungen ausgewählt, das sollte aber niemals bedeuten, dass man bei der Sicherheit Kompromisse eingehen muss. Ich empfehle immer, erst die Hausaufgaben zu machen und verschiedene Software nicht nur im Hinblick auf die Funktionalität, die sie bietet, sondern auch unter dem Gesichtspunkt der Sicherheit zu vergleichen. Es lohnt sich zum Beispiel zu prüfen, wie aktiv der technische Support ist, wie und wie schnell der Ersteller der Software zuvor auf Cybervorfälle reagiert hat, oder ob die Software einer Sicherheitsüberprüfung durch eine vertrauenswürdige dritte Partei unterzogen wurde. Im Falle freier Software sollten Sie auch untersuchen, wie aktiv die Gemeinschaft, die die Software entwickelt, und deren Leitfiguren sind.

Bei maßgeschneiderter Software sollte die Zusammenarbeit mit dem Entwicklungspartner nicht mit der Softwareübergabe enden. Vielmehr sollte die Zusammenarbeit in Form von regelmäßigen Wartungsarbeiten fortgesetzt werden, die sowohl die Aktualisierung der Softwarekomponenten als auch die Bereitschaft umfassen, bei einer Aktualisierung der Infrastruktur auch gleich die gesamte Software zu aktualisieren. Dies ist notwendig, weil fast alle modernen Anwendungen Dutzende und Hunderte von Komponenten von Drittanbietern verwenden, was einerseits zwar nützlich ist, wenn es darum geht, gut funktionierende Software zu einem vernünftigen Preis zu erstellen, andererseits aber auch erhöhte Sicherheitsrisiken mit sich bringt: 98 % der Verwundbarkeit der weltweit populärsten Content-Management-Software WordPress stammen aus deren Plugins. Anders gesagt: Alle Komponenten von Drittanbietern, die in einer Lösung implementiert wurden, müssen ständig überwacht werden, und ein Unternehmen muss bereit sein, gegebenenfalls operativ zu reagieren.

Alles andere ist genauso wichtig

Zwischen den beiden Blöcken Infrastruktur und Software gibt es noch eine ganze Reihe anderer kritisch wichtiger Dinge. Und auch diese Dinge bedürfen eines ständigen Managements: Netzwerkschichten, Betriebssysteme, verschiedene Unterstützungsdienste und Anwendungen, die notwendig sind, damit eine bestimmte IT-Lösung funktionieren kann. Leider wird dieser Teil oft außer Acht gelassen, obwohl genau dies der Grund dafür war, dass sich 2017 die Lösegeldforderung WannaCry, die die Arbeit in großen Unternehmen, Krankenhäusern, staatlichen Institutionen usw. lahm legte, so leicht verbreiten konnte. Der dadurch verursachte Schaden wird mittlerweile auf Hunderte Millionen, wenn nicht gar Milliarden geschätzt.

Um Sicherheit zu gewährleisten, müssen die sich verändernden Angriffsvektoren überwacht und vorbeugende Verteidigungsmaßnahmen dagegen ergriffen werden. Zum Glück lassen sich diese Aktivitäten teilweise automatisieren, aber der menschliche Faktor ist nach wie vor sehr wichtig – es muss jemanden geben, der auf dem Laufenden darüber ist, was gerade getan wird und was für die Zukunft geplant ist, der Infrastruktur, Dienste und Anwendungen überwacht und Aktivitäten durchführt, die die Sicherheitsrisiken verringern.

Bei einfacheren Lösungen kann der Auftraggeber dies selbst tun. So werden z. B. WordPress, Magento und andere Freeware-Anwendungen, die keine spezielle Funktionalität haben, in der Regel auf gemeinsam genutzten virtuellen Servern gehostet (wobei die Betriebsschicht ebenfalls vom Dienstanbieter verwaltet wird), und es ist der Dienstanbieter, der sich bemühen muss, die Sicherheit der Systeme „unterhalb“ der Software zu gewährleisten. Und der Kunde ist auch für die Sicherung der Anwendung verantwortlich. Das Mindeste, was in solchen Fällen getan werden sollte, ist, sich regelmäßig in die Verwaltungsschnittstelle einzuloggen und zu überprüfen, ob auch wirklich alles aktualisiert wurde.

Bei komplexeren Lösungen sollte vereinbart werden, wer für die regelmäßige Überwachung und Verwaltung der Lösung verantwortlich ist und somit auch bereit ist, rund um die Uhr auf etwaige Zwischenfälle zu reagieren. Natürlich gibt es Unternehmen, die die Fähigkeit haben, dies selbst zu tun, aber das ist eher die Ausnahme, nicht die Regel. Diese Art von Kapazität zu schaffen und dann erfolgreich am Ball zu bleiben, ist meist keine vernünftige wirtschaftliche Entscheidung. Hinzu kommt, dass man in solchen Fällen oft versucht ist, mögliche Risiken zu ignorieren und zu hoffen, dass „mir das schon nicht passiert“. Doch anstatt sich auf ihr Glück zu verlassen, sollten Unternehmen diese Risiken ernst nehmen und einen Partner finden, der das Management der Lösung übernimmt und dabei hilft, Risiken zu vermeiden und zu reduzieren.

 

Klemens Arro
Geschäftsführer
ADM Cloudtech

Erschienen in:https://digipro.geenius.ee/rubriik/uudis/klemens-arro-turvahoiatus-suhtumine-et-vaevalt-et-see-minuga-juhtub-maksab-katte/

ADM Interactive

E-mail: info@adm.ee
Registernummer: 10474271
Steuernummer: EE100046715

Tallinn

Kultuurikatel, Põhja pst 27a, Tallinn, 10415
Phone: +372 617 7600

London

124 City Road, London, EC1V 2NX, United Kingdom
Phone +44 7451 213604

Berlin

Schulstr. 13, 13507 Berlin
Phone: +49 15221906415