IT-Sicherheit ist ein komplexes Thema. Mit steigender Verwendung von Mobilgeräten und neuen Technologien in der digitalen Transformation verschwimmen auch traditionelle Grenzen und Gefahrenübergänge. In diesem Artikel finden Sie drei schnell umsetzbare Tipps, um damit verbundene Sicherheitslücken zu reduzieren.
Firmen sind breit vernetzt, müssen Mitarbeitern zeitgemäße Technologien, Geräte und Anwendungen bereitstellen und den Entwicklungen immer einen Schritt voraus sein. Dabei ist es nun mehr denn je auch die Aufgabe der IT-Administration, den rechtlichen Voraussetzungen gerecht zu werden. In der Summe eine Mammutaufgabe.
Ziel dieses Artikels ist es nicht, bekannte IT-Security-Handlungsempfehlungen wiederzukäuen oder Auditing-Strategien vorzustellen. Ebensowenig soll hier in den Chor der unsäglichen Tradition einiger IT-Security-Anbieter eingestimmt werden, die durch überzogene Risikobewertungen die Lösung von Problemen anbieten, die keine sind, und den Fokus von der eigentlichen Crux ablenken.
Dieser Artikel möchte neue Denkanstöße geben, wie Sie heute Handlungspotenzial erkennen und systemische Sicherheitslücken reduzieren können, um mit wenig Aufwand bei allen Aufgaben der modernen IT-Administration voranzukommen.
1. Sicherheitsrisiko Mitarbeiter: Sensibilisierung statt Holzhammer
Erinnern Sie sich an diese Szene in „Krieg der Sterne: Eine neue Hoffnung“? Eine trotzige Leia Organa baut sich vor dem dunklen Großmoff Tarkin auf. „Je brutaler Euer Zugriff wird, Tarkin, umso mehr Sternensysteme werden durch Eure Finger schlüpfen!“ Eine fast schon schaurig präzise Beschreibung für die Resultate von Holzhammer-IT-Sicherheitsmaßnahmen.
Und wie auch im weiteren Verlauf der Heimatplanet der wehrhaften Prinzessin Leia im Visier der (angeblich fehlerlosen) Superwaffe des Imperiums in einer Wolke aus Feuer und Trümmern am Firmament vergeht, so vergeht auch das Vertrauen, die Produktivität und Kooperationsbereitschaft der Mitarbeiter unter der allzu stählernen Hand der IT-Administration sehr schnell. Nicht ohne Konsequenzen – das Ende des Todessterns sollte bekannt sein. Beflügelt durch die Brutalität des Imperiums war es schließlich eine kleine Gruppe von Rebellen, die wiederum das Kontrollwerkzeug des Imperiums in Sternenstaub verwandelten.
Es ist nicht leicht, wenn die Administration den eigentlich Gefährdeten zum Gefährder brandmarkt und seine wertvollen Ressourcen gegen seinen eigentlich engsten Verbündeten einsetzen möchte. Phishing und Social Engineering sind mitunter die größten Risiken, denen sich Firmen gegenüber sehen. Gefälschte Handlungsanweisungen an ahnungslose Mitarbeiter waren schon für Millionenschäden verantwortlich.
Solche Angriffe sind oft lukrativer als klassisches Hacking und doch herrscht unerklärlicherweise immer noch in so manchen IT-Köpfen die Meinung vor, dass noch eine Firewall, noch ein Virenscanner und noch ein Passwort mehr bessseren Schutz bieten, als mit dem Mitarbeiter zu besprechen, was man gemeinsam besser machen kann, um diesen Bedrohungen entgegenzutreten.
Wenn für die IT-Administration aus dem Endnutzer der Endgegner wird, dann wartet hinter der nächsten Sicherheitsmaßnahme garantiert nicht das Elysium der Sicherheit, sondern sehr wahrscheinlich bald die bittere Erkenntnis, dass allzu sehr geknechtete Mitarbeiter sehr ideenreich und fantasievoll sind, wenn es darum geht, sich unsanktionierte Parallelstrukturen aufzubauen, die keiner mehr in den Griff bekommt.
Handlungsempfehlung: Ihr IT-System kann noch so ausgeklügelt sein – so lange sich die Belegschaft der Gefahren von Cyberattacken nicht bewusst ist, öffnet sie potentiellen Angreifern Tür und Tor. Bevor Sie also den nächsten Euro in ein neues Sicherheitskonzept investieren, setzen Sie eine Schulung auf, die Mitarbeitern zeigt, wie sie eine gefälschte E-Mail oder Website erkennen. Gehen Sie in sich und überlegen Sie, wie eine geplante Sicherheitsmaßnahme dem Mitarbeiter helfen kann, seine Arbeitsprozesse sicherer (d.h. auch weniger komplex (!)) zu gestalten. Setzen Sie sich mal mit den Endnutzern zusammen, die von den Plänen betroffen sind, und reden Sie mit den Leuten.
2. IT-Komplexität prüfen: Wofür war diese Firewallregel nochmal?
Die stetig steigende IT-Komplexität korreliert exponentiell negativ mit Sicherheit. Administratoren stehen vor der Herausforderung, die Kontrolle über die Prozesse zu behalten und Performance-Einschränkungen zu vermeiden. Laut einer aktuellen Studie von dynatrace verbringen IT-Teams in Deutschland 28% ihrer Zeit mit der Behebung von Performance-Problemen.
Um den Überblick nicht zu verlieren, ist Dokumentation sehr wichtig. Alle Änderungen in der IT-Infrastruktur sollten lückenlos dokumentiert werden und die Dokumentation an einem sicheren Ort aufbewahrt werden. (Es nützt nichts, die dokumentierten Änderungen an einem Server auf eben diesem Server abzulegen…). Doch auch Dokumentation hat praktische Grenzen. Werden zu viele Infrastrukturkomponenten erfasst, kann es schnell unübersichtlich und so insbesondere für Vertretungen die Strukturen schwer nachvollziehbar werden.
Infrastrukturkonsolidierung sollte regelmäßig durchgedacht werden. Können gewisse Dienste mit einem statt zwei Produkten bereitgestellt werden? Brauchen wir die zweite Firewall wirklich oder können wir die erste – ggf. mit Hilfe einer Produktschulung – besser einstellen und ihr Potential vollumfänglich ausschöpfen?
Wenn Sie in einer mittelständischen Firma arbeiten, die über kein dediziertes IT-Sicherheitsteam verfügt, sollte Einfachheit das oberste Ziel sein. Halten Sie Ihre Umgebung simpel: weniger Server, kürzere Strecken, tiefere Expertise und Einblicke in die Komponenten, die Sie einsetzen.
Lassen Sie sich vernünftig schulen – nicht nur als Quereinsteiger und nicht nur für beliebige Zertifikate. Und zwar so, dass Sie sich nachher fit fühlen, um Ihr Sicherheitskonzept voll und ganz (technisch ebenso wie konzeptionell) verstehen und erklären zu können.
Handlungsempfehlung: Schalten Sie noch heute einen Server/Dienst ab, den Sie nicht mehr brauchen. Für das Thema, in dem Sie sich fachlich noch nicht sicher genug fühlen, suchen Sie nach einer Schulung und eliminieren Sie hier Ihre Wissenslücken.
3. Legacy IT: Insane in the Mainframe
Legacy-Systeme oder monolithische Infrastrukturkomponenten kommen wohl in allen Firmen in irgendeiner Ausprägung vor. Eine Entschuldigung gibt es für diese Altsysteme, die oft nicht mehr upgedated oder erneuert werden dürfen oder können, allerdings selten. Man sollte sich ordentlich schuldig fühlen, wenn man diese Fußketten schon lange mitschleppt, und seine Gründe dafür häufig hinterfragen.
IT-Sicherheit ist ein schnelllebiges und dynamisches Pflaster. Alles was statisch und unveränderlich ist, passt nicht in das Konzept und sollte – besser früher als später – ersetzt werden. Unverzeihlich ist es allerdings, Legacy-Geräte oder -Systeme aus Kostengründen nicht zu ersetzen. Denken Sie doch mal daran, was los wäre, wenn das System morgen ausfallen würde? Was wenn die Informationen auf diesem System morgen in den falschen Händen landen würde? Können Sie den Schaden dadurch tatsächlich beziffern? Sie sollten hier auch weiterdenken: Welche Chancen entgehen uns dadurch, dass wir alte Geräte/Systeme einsetzen?
Handlungsempfehlung: Wenn Sie direkt an ein Legacy-System oder -Gerät bei Ihnen gedacht haben, dann setzen Sie sich hin und schreiben Sie die Gründe nieder, wieso Sie dieses System/Gerät beibehalten müssen, und beantworten Sie die Fragen aus dem vorherigen Absatz. Wiegen die Gründe für ein Festhalten an dem alten System/Gerät wirklich schwer genug?
Fazit
Ich hoffe, diese drei Denkanstöße helfen Ihnen bei der Suche nach Sicherheitslücken, die man oft nicht in Marketingmaterialen für Sicherheitslösungen referenziert findet. Das Geschäft mit der Angst durchdringt den Markt. Teilweise ist aggressive Sensibilisierung durchaus berechtigt, allerdings werden wir oft mit prominent beschriebenen, jedoch häufig unwahrscheinlichen und konstruierten Angriffsvektoren davon abgelenkt, dass die gefährlichsten Sicherheitslücken oftmals nicht auf irgendwelchen Servern klaffen, sondern in unseren Konzepten.
Es muss klar sein, dass IT-Sicherheit kein Ort ist, an dem man ankommen könnte, sondern eine Reise, auf welche man sich besser Hand in Hand mit seinen Kollegen, mit einem klaren Fahrplan und ohne schwere Altlasten im Gepäck begibt.