How to break a Hacker’s Heart

Die schlechten Nachrichten vorweg: die 100% IT-Sicherheit gibt es nicht.

„Die Frage ist nicht, ob oder wann wir stolpern, sondern wie schnell wir wieder auf die Beine kommen“, so Stefan Schiebeck, CIS Netzwerkpartner und Produktexperte der ISO 27001. Nur etwa die Hälfte aller Firmen sei ausreichend über ihre IT-Sicherheitsmaßnahmen bzw. ein dahinterstehendes Notfallmanagement informiert.

Die gute Nachricht? Auch Hacker-Angriffe folgen einer gewissen Logik. Mit diesem Wissen und dem ein oder anderen nützlichen Werkzeug können Unternehmen gewappnet in die Zukunft gehen.

Ständig an sich arbeiten

„So wie Cyberattacken bzw. Cyberkriminalität ständig wachsen, müssen auch Unternehmen und deren Abwehrmechanismen laufend weiterentwickelt werden. Wenn man nicht ständig daran arbeitet, besser zu werden, wird man früher oder später links und rechts überholt“, betont Klaus Veselko, CEO der CIS - Certification & Information Security Services GmbH.

Klaus Veselko führt weiter aus: “Die Norm ISO 27001 unterstützt Unternehmen mit mehr als 100 Maßnahmen – sogenannten Controls – dabei, zu überprüfen und dokumentieren, wie ihr Level an Informationssicherheit aussieht. Das Ergebnis ist ein auf Unternehmen und Branchen abgestimmtes Informationssicherheitsmanagementsystem. In Managementsystemen ist der Kontinuierliche Verbesserungsprozess, kurz KVP, dafür verantwortlich, nie stillzustehen und immer besser zu werden.“

Wie kann also eine ganzheitliche Security Strategie aussehen? Wir haben einige Tipps und Tricks für Sie, um Schluss mit Cyberattacken zu machen und eine langfristige Beziehung zu Ihrem allumfassenden Informationssicherheitmanagementsystem (ISMS) aufzubauen.

1. Sich bewusst sein, was man möchte

Für jeden Topf den passenden Deckel: zunächst müssen Unternehmens- und Sicherheitsziele aufeinander abgestimmt sein. Ein Informationssicherheitsmanagementsystem gilt als der Beziehungs-Guide in der IT. Hacker lieben Unsicherheiten und unklare Beziehungen – daher sollten sich die Sicherheitsziele aus den Unternehmenszielen ableiten. Somit sollte man sich von Anfang an wesentliche Fragen stellen, wie etwa:

• Was erwarte ich mir von einem ISMS?
• Welche sind die für mein Unternehmen wertvollsten Werte und IT Assets?
• Gibt es Anknüpfungspunkte in Form von Schnittstellen, Applikationen oder Systemlandschaften, die kritisch zu beachten sind?

„Bei vielen Unternehmen ist es aktuell so, dass Hacker wenige Stunden benötigen, um in ein System einzudringen – dort können sie üblicherweise bis zu einem Jahr unerkannt bleiben und sensible Daten abfließen lassen. Bei Unternehmen mit gut funktionierendem ISMS brauchen Hacker mehrere Tage bis Wochen, um in IT-Landschaften einzudringen und werden dann im Idealfall bereits nach wenigen Minuten erkannt und wieder hinaus befördert. Somit wird erheblicher Schaden in Form von Opportunitäts- und Betriebsstillstandskosten sowie Imageverlusten vermieden. Das gelingt nur, wenn sämtliche Sicherheitsmaßnahmen schon vorab gut durchdacht und geprüft sind“, so Schiebeck

2. Wissen, an wen man sich wann und wie wenden kann

Klaus Veselko rät zudem, Notfall- und Reaktionspläne zurechtzulegen, mit den für das jeweilige Unternehmen bzw. die jeweilige Branche wahrscheinlichsten Angriffen. „Wenn alle Beteiligten wissen, an wen man sich im Ernstfall wenden kann bzw. welche Gestaltungshebel in Kraft gesetzt werden müssen, kann im Schadensfall ad-hoc und effizient gehandelt werden“, unterstreicht Veselko.

Ein Business Continuity Managementsystem bzw. die ISO 22301 skizziert nach dem Plan-Do-Check-Act Zyklus genau diese möglichen Risiken von Betriebsausfällen, erlaubt Notfallübungen und -simulationen und definiert Krisenteams.

Plan – Was kann getan werden?
Do – Ausprobieren geht über Studieren
Check – ist der gewünschte Output entstanden?
Act – Für die Zukunft mitnehmen

Gleichzeitig gilt es nach dem Need-to-Know Prinzip Verantwortlichkeiten und Zuständigkeiten zu definieren, um im Ernstfall alle Abteilungen rasch informieren zu können – sowohl über den Vorfall als auch über das weitere Vorgehen. „Wer schneller zumindest zu einem eingeschränkten Betrieb kommt, kann die Krise rasch bewältigen und wieder zum Normalzustand kommen“, so Veselko.

Auch Schiebeck betont: „Es gilt sämtliche Endpunkte laufend zu monitoren. Es sind vermehrt Clients, die über Browser-Exploits, Malware oder Phishing-Mails angegriffen werden. Sämtliche Sicherheitsvorfälle müssen protokolliert und nachverfolgt werden, sonst passieren die gleichen Fehler wieder und wieder.“

3. Teamwork / alle ziehen an einem Strang

Was nützt jedoch ein System, wenn die Mitarbeitenden selbst ein Sicherheitsrisiko darstellen? Auch auf personeller Ebene müssen weitgehende Sicherheitsmaßnahmen gesetzt werden – angefangen von den Auszubildenden bis hin zur obersten Führungsetage. Eine offene Kommunikation, das Miteinbeziehen Aller genauso wie das Transportieren der wichtigsten Unternehmens-Assets und Beweggründe kann enorm helfen, damit alle Mitarbeiter das Thema Informationssicherheit verinnerlichen und leben.

4. Aufrüsten und aus Fehlern lernen

Erhöhen Sie Ihre Sicherheitsvorkehrungen, monitoren Sie weiterhin laufend die Netzwerke und führen Sie beispielsweise eine Zwei-Faktor-Authentifizierung – insbesondere für remote Zugriffe auf das Unternehmensnetzwerk – ein. Zertifizierte Unternehmen reagieren auf ständig wechselnde Anforderungen proaktiv und binden Sicherheitsmaßnahmen in den kontinuierlichen Verbesserungsprozess (KVP) ein.

Gleichzeitig zeigt ein KVP, dass ein ISMS ein „lebendes System“ ist – es gilt an den Prozessen und sich zu arbeiten, Maßnahmen zu überdenken und sich laufend zu verbessern. Der betriebliche Ist-Zustand muss stets an einen revidierten Soll-Zustand angepasst werden, um am technischen und organisatorischen sprichwörtlichen „Ball“ zu bleiben. Also nicht auf spontane Dates einlassen - langfristige Beziehungsarbeit zahlt sich aus.

5. Schritt für Schritt

Wieso alles alleine erarbeiten, wenn es doch schon viele andere gibt, die das gleiche durchgemacht haben? Support-Gruppen gegen Hacking-Kummer sind gut – den Kummer aber bereits vorweg zu verhindern, noch besser.

Wie eingangs erläutert, ist es wichtig, dass alle Beteiligten wissen, welche Prozesse und Maßnahmen relevant sind bzw. wann was passieren soll. Hier kann ein Informationssicherheitmanagementsystem (ISMS) auf Basis der ISO 27001 helfen, da es mit der Definition von Prozessen und Richtlinien für mehr Informationssicherheit sorgt. Die CIS als akkreditierte Zertifizierungsorganisation ist bereits seit vielen Jahren auf Themen wie Informationssicherheit, Datenschutz, Cloud Computing, IT-Services, Rechenzentren sowie auf Business Continuity Management spezialisiert und punktet somit durch wertvolles, langjähriges Know-How. „Viele Unternehmen weisen zwar technische Sicherheitsmaßnahmen, wie etwa Firewalls, auf, verfolgen aber kaum dahinterstehende Strukturen oder Prozesse“, so Veselko.

Die ISO 27001 beschreibt wiederum die Maßnahmen, mit denen die Informationssicherheit verbessert werden kann. Die Norm umfasst nicht nur technische Sicherheitsmaßnahmen, sondern auch organisatorische, personelle und physische Aspekte – wie etwa das Bewusstsein der Mitarbeitenden und die kontinuierliche Weiterbildung dieser. Informationssicherheit beginnt am eigenen Schreibtisch und endet bei einem ausfallsicheren Rechenzentrum.

Ansprechpersonen