Cyber Attacken oder Angriffe sind leider ein Dauerthema und aktueller denn je. Zwar könnte man dieses Thema Monat für Monat aufgreifen, da es immer wieder neuen Fälle gibt, nur ob sich dadurch wirklich was ändert ist eher sehr unwahrscheinlich. Denn das ganze Thema IT Security hat bei immer noch zu vielen nicht den Stellenwert, den es aber haben müsste.
Wie sagt mein Kollege immer, für uns haben die Nachrichten über erfolgreiche Cyber Angriffe sehr oft Gesichter. Denn Cyber Angriffe sind nicht einfach nur Nachrichten in den Medien, die sowieso nur die Anderen betreffen, sondern betreffen jeden. Die Gefahr ist real und sie ist omnipräsent, vor allem nützt es nichts, davor die Augen zu verschließen und so zu tun, als ginge einen dies alles nichts an. Dazu kommt noch erschwerend hinzu, dass es mehr als nur ausreichende Hinweise und Informationen gibt, wie man sich besser schützen kann. Aber die Umsetzung wird nicht angegangen, es werden alle möglichen Argumente in Feld geführt bis hin zur Bequemlichkeit, weil IT Security in manchen Fällen dieser zuwiderläuft. Nur komme diese Bequemlichkeit auch den Angreifern zu Gute. Im Grunde genommen ist es aber nicht wirklich “rocket science” eine im Verhältnis gut abgesicherte IT Umgebung aufzubauen und zu betreiben. Die Maßnahmen dafür sind überschaubar und vor allem auch umsetzbar, wenn man es denn will.
Führt man sich nur mal kurz vor Augen, wie die uns bekannten Cyber Angriffe abgelaufen sind, ergibt sich immer wieder ein sehr ähnliches Muster, um nicht zu sagen das Gleiche. Dazu zeichnen die Berichte aus den Medien sehr oft ein gleiches Bild oder gar ein identisches. Dies spiegeln auch die Meldungen der Security- und Monitoring-Systeme wider, die ebenfalls eine eindeutige Sprache sprechen, was in der wirklichen (IT-) Welt passiert. Wer das immer noch nicht wahrhaben möchte, dem steht es natürlich frei alternative Fakten heranzuziehen oder in einer idealisierten Welt zu leben, für alle anderen ist dieser Artikel, um den Blick auf das Thema der Cyber Security zu schärfen.
Um es gleich auf den Punkt zu bringen, das BSI hat recht und die Publikationen des BSI, wie den IT Grundschutz, die Empfehlungen, die Hinweise oder auch die Vorgaben, sowie die Einschätzung der Lage passen und sind eine gute Grundlage die eigene IT sicher zu betreiben. Dabei ist das BSI nicht die einzige Basis, an der man sich orientieren kann, es gibt auch andere, die sich dann im Detail unterscheiden, jedoch ist die Basis der empfohlenen Maßnahmen mehr oder weniger immer gleich. Daher orientiert sich dieser Beitrag hier im Blog am BSI und auf die simplen Kernpunkte, die aber ein hohes Maß an Verbesserungen bieten und die Cyber Security deutlich erhöhen. Für all diejenigen, die sich bei den Basismaßnahmen wiederfinden, sind bereit für den nächsten Schritt. Für allen anderen soll dieser Artikel als Denkanstoß dienen, die eigene Infrastruktur entsprechend zu hinterfragen, ob nicht eine Anpassung nötig ist, um sich durch die Erkenntnisse bekannter Cyber Attacken besser zu schützen.
Der allerwichtigsten Punkt ist ein funktionierendes Patch-Management der gesamten IT Infrastruktur. Dabei kann ein Patch-Management auch bedeuten, dass Systeme die bedingt durch ihre Anforderungen, zum Beispiel in der Produktion, nicht aktualisiert werden können, isoliert gehören. Auch für diese Fälle bietet das BSI entsprechende Leitfäden und Hinweise. Das Patch-Management bringt gleich mehrere Aufgaben mit, um es überhaupt sinnvoll durchführen zu können. Es wird ein Asset-Management und eine entsprechende Risikobewertung benötigt. Zudem ist es sehr wichtig, die Abhängigkeiten der Systeme untereinander zu kennen. Diese Punkte sind sehr wichtig, da man ohne dieses Wissen gar nicht weiß, welche Systeme aktualisiert werden müssen, welchen Risiken diese ausgesetzt sind und auch welche Abhängigkeiten bestehen, was wiederum Einfluß auf das Aktualisieren selbst hat. Dieses Wissen hat aber einen Synergieeffekt, auf den nächsten Punkt der Cyber Security, der Segmentierung selbst. Um eine passende Segmentierung durchzuführen, muss man wissen welche Systeme es gibt, in welche Risikokategorien diese gehören und auch wieder muss man die Abhängigkeiten der Systeme untereinander kennen. Hintergrund ist hier, dass eine Segmentierung auch immer den Einsatz von Firewalls zur Abschottung der Segmente untereinander bedeutet. Dies wird u.a. vom BSI gefordert, welches zum Beispiel in der Basisanforderung IT Grundschutz mindestens einen statusbehafteten Paketfilter zwischen Client und Servern fordert.
Die organisatorischen Aufgaben sind daher ebenso wichtig, wie der technische Betrieb der IT und egal wie man es dreht oder wendet, das Wort heißt Dokumentation und konsequenterweise ISMS.
Ein weiterer Punkt ist der Einsatz einer Multifaktor Authentifizierung (MFA), ein passendes Berechtigungskonzept nach dem Minimalprinzip und auch wieder eine Dokumentation, wer welche Rechte besitzt und was für Risiken bestehen bzw. eintreten können.
Der nächste Punkt ist das Backup und wie dieses aufgestellt ist. Bei den aktuellen Cyber Attacken sollte immer von dem Fall ausgegangen werden, dass ein Angriff erfolgreich sein wird und das Backup die letzte Bastion ist, die am Ende des Tages zur Verfügung stehen muss! Da aber die Angreifer um die Wichtigkeit des Backups wissen, wird dieses ebenfalls angegriffen, um zu verhindern, dass dem Opfer dieses zur Verfügung steht. Aus diesem Grund ist es existenziell, das Backup entsprechend aufzustellen und gegen Angriffe jeglicher Art zu schützen.
Ein passendes Monitoring der IT Infrastruktur ist ebenfalls existenziell, nur gehört zum Monitoring auch eine Auswertung und vor allem auch eine Bewertung der gewonnen Erkenntnisse. Es nützt nichts, wenn die Systeme Anomalien melden aber keiner sie wahrnimmt. Hier muss man sich im Klaren sein, dass es in den allermeisten Fällen von Cyber Angriffen entsprechende Hinweise gab und die Angreifer in der Zeit der Vorbereitung der eigentlichen Cyber Attacke Spuren hinterlassen haben, die nicht erkannt wurden.
Da das Thema HomeOffice und die damit verbundenen Risiken bzw. der dadurch veränderte Angriffsvektor spielt ebenfalls eine wichtige Rolle in der benötigten Cyber Security. Ist ein Client im Unternehmen wird dieser durch vorzugsweise durch eine Multilayer Security geschützt, mit entsprechenden am Perimeter und im Campus LAN. Wenn er dann unterwegs oder im HomeOffice ist, dann soll eine Fritz!Box OK sein? Hier gibt es entsprechenden Handlungsbedarf und es braucht die passenden Konzepte, mobile Geräte hinreichend gut zu schützen.
Damit die Komplexität für die ersten Schritte in überschaubaren Grenzen bleibt, sind es genug der Punkte, über die es nachzudenken gilt. Diese stehen auch nur stellvertretend für alle hier nicht aufgeführten Punkte, die sich ergeben, wenn das Projekt kontinuierliche Cyber Security angegangen wird. Grundsätzlich gilt festzuhalten, dass es nicht “die” Maßnahme oder “dass” Produkt gibt, welches man kauft und alles ist für immer gut. Es ist ein ganzes Maßnahmenpaket notwendig, um somit eine Multilayer Security aufzubauen. Diese muss so angelegt sein, dass, wenn ein Layer versagt oder überwunden ist, die nächste Ebene des kompensiert. Sicherheit ist ein Prozess und keine (einmalige) statische Angelegenheit und wer glaubt, dass einmal angeschaffte Produkte dies bereitstellen, hat schon einen weiteren großen Fehler begangen, indem die Gefahr völlig unterschätzt und die Augen vor der Realität verschlossen werden. Wer aber nicht weiß, wo er anfangen soll, dem bietet das BSI eine sehr gute Hilfestellung mit seinen zahlreichen und wichtigen Publikationen und wir stehen natürlich auch zur Verfügung.