Grundlagen der IT-Sicherheit – Grundsätze, Bedrohungen und Maßnahmen
In einem von Globalisierung und weltweiter Vernetzung geprägten Umfeld hängt die Wettbewerbsfähigkeit der Unternehmen zunehmend von einem sicheren und zuverlässigen Betrieb der Unternehmens-IT ab. Der Schutz sensibler Daten spielt mit der sich verschärfenden Bedrohungslage durch Internetkriminalität und Wirtschaftsspionage eine besondere Rolle.
Inhaltsverzeichnis
Was ist IT-Sicherheit?
Unter IT-Sicherheit versteht man den Schutz von IT-Systemen gegen Schäden und Bedrohungen wie z.B. Abhören, Manipulation oder Zerstörung. Das erstreckt sich von der Hardware über die Software bis hin zu den verarbeiteten Daten.
Dabei steht der Schutz der sensiblen Daten im Vordergrund. Daten und Informationen stellen heutzutage immer mehr die eigentlichen Werte für Unternehmen dar. Gehen diese verloren, drohen erhebliche Störungen im Betrieb oder bedrohen gar die gesamte Existenz eines Unternehmens.
Bei den schützenswerten Daten kann es sich um Kundendaten, Personaldaten oder Patientendaten handeln. Ebenso zählen Informationen wie z.B. Unternehmensstrategien, Konstruktionspläne oder Forschungsergebnisse dazu.
Da viele Daten und auch Dinge (IoT) heutzutage über Netzwerke miteinander und mit dem Internet verbunden sind, kann die Sicherheit nicht mehr isoliert betrachtet werden. IT-Sicherheit schließt heutzutage somit alle auf Netzwerken basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein – und damit auch Infrastrukturen wie Stromversorgung oder Telekommunikation.
Die Grundsätze der IT-Sicherheit
IT-Sicherheit hat somit das Ziel, Daten und Informationen zu schützen, die auf IT-Systemen verarbeitet oder gespeichert werden. Diese sog. Informationssicherheit beruht dabei auf mehreren zu erreichenden Schutzzielen, die durch unterschiedliche Schutzmaßnahmen befriedigt werden können.
-
Vertraulichkeit (engl. Confidentiality)
Vertraulichkeit soll sicherstellen, dass keine unautorisierten Personen oder Prozesse in der Lage sind, übertragene oder gespeicherte Informationen zu lesen. Durch Schutzmaßnahmen wie z.B. einer Zugriffskontrolle kann verhindert werden, dass Unberechtigte auf Informationen zugreifen können.
-
Integrität (engl. Integrity)
Bei der Integrität soll sichergestellt werden, dass übertragene oder gespeicherte Informationen nicht verändert wurden, d.h. noch im Original vorliegen. Durch Maßnahmen wie z.B. einer Prüfsumme kann man erkennen, ob Daten verändert wurden.
-
Verfügbarkeit (engl. Availability)
Verfügbarkeit soll gewährleisten, dass Informationen immer zur Verfügung stehen, wenn auf sie zugegriffen werden soll. Sie können folglich nicht verloren gehen und die nötige Hard- und Software ist permanent funktionsfähig. Durch Schutzmaßnahmen wie z.B. regelmäßige Datensicherung, können verlorengegangene Daten wieder hergestellt und verfügbar gemacht werden.
-
Authentizität (engl.: Authenticity)
Authentizität soll gewährleisten, dass Benutzer oder Daten echt sind, d.h. ihre Identität durch eindeutige Merkmale nachweisen können. Durch Schutzmaßnahmen wie z.B. ein angemessenes Passwort, kann sichergestellt werden, dass ein Benutzer auch derjenige ist, für den er sich ausgibt.
-
Verbindlichkeit (engl.: Non-Repudiation)
Unter Verbindlichkeit versteht man, dass man jederzeit feststellen kann, ob eine beteiligte Stelle Daten gesendet hat. Sie verhindert, dass jemand behaupten kann, er habe eine Nachricht (z.B. eine Überweisung) nicht gesendet, obwohl er es tatsächlich getan hat. Durch Schutzmaßnahmen wir z.B. zertifizierte Zeitstempel kann man Verbindlichkeit gewährleisten.
Die drei wichtigsten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit werden im Englischen mit dem Akronym CIA abgekürzt und auch als CIA-Triade bezeichnet. Ebenso werden in der Literatur häufig weitere Schutzziele wie z.B. die Anonymität ergänzt. Die Anzahl der Schutzziele ist somit nicht einheitlich definiert.
Warum ist IT-Sicherheit für Unternehmen wichtig?
Die Kosten für Verstöße gegen die IT-Sicherheit steigen
Datenschutzgesetze wie die Datenschutzgrundverordnung (DSGVO) oder das IT-Sicherheitsgesetz 2.0 können erhebliche Bußgelder für Unternehmen bedeuten, die von IT-Sicherheitsvorfällen betroffen sind. Ebenso drohen bei verlust der Daten Image-Schäden, insbesondere weil Verbraucher heutzutage immer mehr Wert auf den Schutz ihrer persönlichen Daten legen.
Die Schäden durch Datendiebstahl, Industriespionage und Sabotage nehmen zu
Die Bedrohung durch Industriespionage hat sich in den letzten Jahren für die Unternehmen geändert. Wirtschaftsspionage ist nicht mehr nur ein Betätigungsfeld der Geheimdienste, sondern leider auch zunehmend ein gebräuchliches Mittel der Konkurrenz oder die Rache eines verschmähten Mitarbeiters. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro.
Cyberkriminalität ist ein großes Geschäft
Laut der Studie The hidden costs of cybercrime von McAfee aus dem Jahr 2020 entsteht der Wirtschaft global ein Schaden von über 1 Billionen Dollar. Auch politische, ethische und soziale Motive treiben die Angreifer immer stärker an. Dabei werden die Angriffe immer raffinierter, und die Angreifer nutzen eine immer größere Vielfalt an Techniken. Dazu gehören Social Engineering, Malware und Ransomware.
Die größten Bedrohungen der IT-Sicherheit für Unternehmen
Denial-of-Service (DoS) Angriffe
Bei einem Denial-of-Service Angriff versucht der Angreifer einen Computer oder ein ganzes Netzwerk lahmzulegen, indem er es mit einer großen Menge an unsinnigen Anfragen überflutet. Dies führt dazu, dass das Zielsystem überlastet ist oder abstürzt und nicht mehr auf reguläre Anfragen antworten kann. Manchmal dient ein DoS-Angriff auch als Ablenkmanöver oder als Druckmittel für einen anderen Angriff.
Distributed Denial-of-Service (DDoS) Angriffe
Hierbei handelt es sich um einen verteilten Denial-of-Service Angriff. Bei einem solchen Angriff versuchen mehrere Rechner gleichzeitig das Zielsystem oder -Netz lahm zu legen. In jüngster Vergangenheit waren fast alle größeren DoS-Angriffe auch Distributed DoS-Angriffe, bei denen mehrere hundert bis tausend Rechner gleichzeitig einen Angriff durchführen. Häufig übernehmen Angreifer zuvor ungesicherte Server oder IoT-Geräte, laden dort ihre DoS-Software und starten dann mit diesen Geräten einen koordinierten DoS-Angriff auf das Zielsystem.
Malware
Malware (von Malicious Software), oder Schadprogramme, ist ein Oberbegriff für jegliche Art von Software, die Computersystemen absichtlich Schaden zufügt. Für den Benutzer ist es häufig nicht ersichtlich, dass ein solches Schadprogramm überhaupt läuft. Zur Malware gehören Computerviren, Würmer, Trojaner, Ransomware und andere Programme, die dazu bestimmt sind, Ressourcen eines Rechners für schädliche Zwecke zu nutzen.
- Computervirus
Ein Computervirus ist ein Schadprogramm, das sich vervielfältigt, indem es sich in andere Programme oder Dokumente einfügt. Ein Programm oder Dokument, in das sich ein Virus eingefügt hat, ist infiziert und wird als Wirt des Virus bezeichnet. Wird dieser Wirt nun gestartet oder geöffnet, so wird auch das Virus gestartet, welches wiederum neue Wirtsdateien zumeist auf dem lokalen System sucht und auch diese infiziert. Dieser Vorgang bleibt meist so lange unbemerkt, bis das Virus zu einem bestimmten Zeitpunkt seine Schadroutine startet und damit z.B. Dateien löscht. - Würmer
Im Gegensatz zu einem Computervirus, benötigt ein Wurm kein Wirtsprogramm um zu laufen und sich zu verbreiten. Es ist ein eigenständiges Schadprogramm, das sich selbst verbreitet, indem es Sicherheitslücken der Zielsysteme ausnutzt. Der Wurm schlüpft sozusagen durch die Sicherheitslöcher. Die Verbreitung geschieht meist aktiv über lokale Netzwerke oder das Internet. - Trojanisches Pferd – “Trojaner”
Ein Trojanisches Pferd oder Trojaner ist ein Schadprogramm, das sich als legitime Anwendung tarnt. Neben den gewünschten Funktionalitäten weist es häufig unerwünschte, schädliche Funktionen auf. Das kann z. B. ein Tool sein, das angeblich den Rechner schneller macht, aber nebenbei späht es Passwörter aus und übermittelt sie ins Internet. Der Benutzer installiert das Schadprogramm somit bewusst und arbeitet womöglich auch damit. Im gegensatz zu Viren und Würmern, verbreitet sich ein trojanisches Pferd in der Regel nicht selbst. Dazu verlässt es sich auf die Mithilfe der Benutzer.
Ransomware
Ransomware ist ein Schadprogramm, das die Zahlung eines Lösegelds (engl. ransom) an einen Erpresser erfordert, damit die infizierte Partei keinen Schaden erleidet. Häufig werden dabei die Daten des Opfers durch das Schadprogramm verschlüsselt und ein Lösegeld gefordert, damit die Daten wieder entschlüsselt werden. Ob das Versprechen des Erpressers hingegen eingehalten wird, ist ungewiss.
Phishing
Phishing ist eine der häufigsten Arten von Social-Engineering-Angriffen. Dabei wird versucht, ein Opfer dazu zu bringen, wichtige Informationen preiszugeben. In der Regel geschieht das per E-Mail. Ein Angreifer versucht sich dabei häufig als eine echte Person oder Organisation darzustellen und bietet eine Belohnung oder ein Problem, das der Empfänger zu lösen hat. Dies könnte z.B. eine E-Mail sein, die so aussieht als wäre sie von der Hausbank des Empfängers. In dieser wird er aufgefordert einen Link zu klicken und dort die Zugangsdaten einzugeben. Der Link führt aber nicht zur Seite der Hausbank, sondern zu einer täuschend ähnlichen Website unter der Kontrolle des Angreifers. Sobald sich der Benutzer dort anmeldet, gelangen seine Zugangsdaten in die Hände von Unbefugten.
Man-in-the-Middle-Angriff
Bei einem Man-in-the-Middle-Angriff sitzt ein Unbefugter inmitten einer Kommunikation zwischen dem Opfer und dem eigentlichen Empfänger. Anstatt dass der Datenverkehr direkt zu dem Empfänger geleitet wird, geht dieser zuerst zum Angreifer und umgekehrt. Beispielsweise könnten falsche Schlüssel oder infizierte Software untergeschoben, vertrauliche Daten belauscht und Datenpakete unterdrückt oder neue eingefügt werden.
Das Schlimmste an diesen Angriffen ist, dass sie für das Opfer nur sehr schwer zu erkennen sind. Für den Betroffenen scheint alles korrekt abzulaufen.
Diebstahl von Passwörtern und Zugangsdaten
Angreifer können auf verschiedene Art und Weise an die Passwörter und andere Zugangsdaten ihrer Opfer gelangen.
- Diebstahl von Benutzerdatenbanken
Stiehlt ein Angreifer eine ganze Datenbank z.B. eines Online-Shops, ist jeder, dessen Zugangsdaten in der Datenbank auftaucht, dem Risiko ausgesetzt, dass sein oder ihre Zugangsdaten kompromittiert werden. - Social Engineering
Bei einem Social-Engineering-Angriff versucht ein Angreifer, jemanden durch arglistige Methoden zu bestimmten Handlungen zu bringen, bei denen dem Opfer nicht bewusst ist, dass es sich um einen Betrug handelt. Die bekannteste Form ist das Phishing. - Direkter Angriff auf die Zugänge
Bei diesen Angriffen versucht der Angreifer direkt in die Systeme einzudringen, indem er durch technische Mittel versucht, richtige Zugangsdaten zu erzeugen. Dazu gehören z.B. das automatisierte ausprobieren aller möglichen Passwörter oder Passwörter aus einer Liste, bis zufällig das richtige den Zugang gewährt. Erfolgversprechend ist dieses Verfahren nur, wenn möglichst viele Passwörter schnell hintereinander ausprobiert werden können.
Was können Unternehmen gegen Bedrohungen der IT-Sicherheit tun?
Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen. Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar. Nutzt ein Angreifer eine solche Schwachstelle oder Verwundbarkeit zum Eindringen in ein IT-System, so sind ggf. die IT-Sicherheitsprinzipien der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität oder Verbindlichkeit bedroht.
Einführung eines IT-Sicherheitsmanagements
Da jede mögliche Bedrohung ein Risiko für das Unternehmen darstellt, sollte durch eine Risikobewertung die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe bestimmt werden. Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen IT-Systeme können IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens ausgewählt, eingeführt und überwacht werden. Diesen Prozess steuert das IT-Sicherheitsmanagement.
Verwendung von IT-Sicherheitsstandards
Im Rahmen des IT-Sicherheitsmanagements kann auch die Auswahl und Umsetzung normierter Vorgehensweisen erfolgen. Diese IT-Sicherheitsstandards versuchen mit anerkannten Regeln die Komplexität des IT-Sicherheitsmanagements zu reduzieren und ein angemessenes Maß an IT-Sicherheit herzustellen. Die ISO/IEC 2700 Normenreihe und der IT-Grundschutz des BSI sind die bekanntesten Standards im Bereich der IT-Sicherheit in Deutschland.
Awareness: Schulung und Sensibilisierung der Mitarbeiter
Irrtum und Nachlässigkeit eigener Mitarbeiter sind Hauptursache für Schäden. Entsprechend sind die häufigsten Ursachen von Datenlecks Social-Engineering, Phishing und Unachtsamkeit. Deshalb können Mitarbeiter und die vielen Risiken, die sie für die IT-Sicherheit mitbringen, für Unternehmen zu einem großen Problem werden.
Für Unternehmen ist es somit besonders wichtig, die eigenen Mitarbeiter durch Schulungen für IT-Sicherheit zu sensibilisieren. Dazu sollte ein auf die Bedrohungslage des Unternehmens abgestimmtes Schulungskonzept erstellt und die Schulungen der Mitarbeiter entweder intern oder durch Schulungsanbieter durchgeführt werden. Wichtig ist auch die Überwachung der Wirksamkeit der Schulungsmaßnahme. Dies kann z.B. auch im Rahmen einer Übung geschehen, in dem ein IT-Sicherheitsvorfall simuliert wird.
Sicherheit der Infrastruktur
Auch die Gebäude, in dem sich ein Unternehmen befindet, sollten angemessen geschützt werden. Dazu zählen der Schutz vor Umwelteinflüssen, technischen Störungen und auch eine angemessene Zugangssicherung. Nichts ist schlimmer, als wenn die IT z.B. durch einen Wasserschaden längere Zeit ausfällt oder unberechtigte Personen einfach Hardware stehlen. Zu den typischen Sicherheitsmaßnahmen zählen u.a. Brandschutzkonzepte, Notstromversorgung, angepasste Sicherungseinrichtungen, regelmäßige Wartungen und eine Zutrittsregelung für schutzbedürftige Gebäudeteile.
Datensicherung und Notfallvorsorge
Ein Notfall ist ein Schadensereignis, bei dem wesentliche Abläufe eines Unternehmens über das Ausmaß einer Störung hinaus nicht, wie vorgesehen, funktionieren. Ein geplantes und organisiertes Vorgehen garantiert eine optimale Notfallvorsorge und Notfallbewältigung. Insbesondere bei Verlust von Daten ist es wichtig, dass die Verfügbarkeit zügig wieder hergestellt wird. Daher sollten alle wichtigen Daten regelmäßig durch ein “Backup” gesichert werden, damit man sie nach einem Schadensereignis wieder herstellen kann.
Sichere Konfiguration und Wartung der IT-Systeme
Häufig kommt es durch fehlerhafte Konfiguration von Hard- und Software oder durch veraltete Programme zu Schwachstellen in IT-Systemen. Bekannte Sicherheitslücken werden häufig von Angreifern für das eindringen in IT-Systeme verwendet. Daher ist es unerlässlich die verwendete Software ständig auf dem Laufenden zu halten. Ebenso sollten kritische Hard-und Softwarekomponenten immer von erfahrenen Administratoren konfiguriert werden.
Einsatz sicherer Passwörter und Authentifizierungsmethoden
Durch Authentifizierung soll die Authentizität eines Beteiligten festgestellt werden. Ein Benutzer kann dies z.B. durch die Eingabe eines Passworts (geheime Information), den Einsatz einer Chipkarte (Verwendung eines Besitztums) oder durch biometrische Merkmale (Fingerabdruck) seine Echtheit Nachweisen. Insbesondere der Einsatz von unsicheren Passwörtern, die zu kurz und einfach durch technische Mittel zu erraten sind, sollte vermieden werden. Durch den Einsatz sicherer Authentifizierungsmethoden wie z.B. Chipkarten oder durch die Verwendung von Passwortrichtlinien und sicheren Passwörtern kann ein vernünftiges Sicherheitsniveau erreicht werden. Auch der Einsatz von Software für das sichere Verwalten und Vorgeben von Passwörtern sollte in Erwägung gezogen werden.
Schutz vor Schadprogrammen und Software-Schwachstellen
Schadprogramme (Malware) nehmen Platz 2 in der Rangliste der Sicherheitsgefährdungen von Unternehmen ein. Waren in der Vergangenheit ungerichtete Computerviren und Würmer, welche ihr Zerstörungswerk meist zufällig absolvierten, die Regel, so ist in letzter Zeit eine Zunahme von Angriffen mit ganz konkreten Zielen – oft auch als Auftragsarbeit – zu verzeichnen. Die wesentliche Schutzmöglichkeit besteht im Einsatz von sog. Antivirensoftware, welche Schadsoftware in der Regel mit Hilfe von Erkennungsmustern aufspüren. Sicher erkannt werden können über ihre Signaturen allerdings nur bereits bekannte Viren und andere Schadprogramme. Viele Schadprogramme nutzen auch Schwachstellen in Programmen, um in IT-Systeme einzudringen. Deshalb ist es wichtig, diese immer aktuell zu halten.
Was ist bei einem IT-Sicherheitsvorfall zu tun?
Trotz aller Bemühungen um den Schutz der IT-Systeme und Informationen, kann es dennoch zu einem IT-Sicherheitsvorfall kommen. Ein IT-Sicherheitsvorfall ist ein negatives Ereignis, bei dem sehr wahrscheinlich der Geschäftsbetrieb gefährdet ist, d.h. die IT-Sicherheit ist in ihren grundlegenden Schutzzielen bedroht.
Erkennen von IT-Sicherheitsvorfällen
Wichtig ist hier zunächst das Monitoring und das eigentliche Erkennen, ob ein Ereignis überhaupt stattgefunden hat und wenn ja, wie schwerwiegend es sich auf die IT-Sicherheit auswirkt.
- Offensichtliche IT-Sicherheitsvorfälle
Am einfachsten sind Sicherheitsvorfälle zu erkennen, bei denen der Angreifer mitteilt, dass ein Angriff stattgefunden hat und einen Beweis dafür liefert. Ransomware teilt häufig durch Meldungen am Bildschirm mit, dass Daten verschlüsselt wurden und weist zugleich auf die Möglichkeit der Zahlung eines Lösegeldes hin. Manchmal nehmen Angreifer sogar direkt Kontakt auf und belegen den Angriff z.B. durch Nachweis mit Datenauszügen. - Verborgene IT-Sicherheitsvorfälle
Während einige Sicherheitsvorfälle offensichtlich als solche zu erkennen sind, sind die meisten Ereignisse tatsächlich ziemlich schwer zu erkennen. Sicherheitsvorfälle sind manchmal so schwer zu erkennen, dass einige Unternehmen jedes Jahr Millionen von Dollar für spezielle Erkennungssysteme ausgeben. Dennoch bleiben manche Angriffe unentdeckt – manchmal sogar über Jahre hinweg!
Symptome an Geräten, die auf einen verborgenen Sicherheitsvorfall hindeuten:
- Der Computer läuft langsamer als gewohnt.
- Die Internetverbindung oder der Netzwerkverkehr sind deutlich verlangsamt.
- Die Geräteeinstellungen sind plötzlich verändert.
- Das Gerät sendet oder empfängt merkwürdige E-Mails.
- Auf dem Gerät ist neue Software installiert, die niemand willentlich installiert hat.
- Der Akku des Gerätes ist schneller verbraucht als gewöhnlich.
- Das Gerät wird im Betrieb heißer als gewöhnlich.
- Inhalte von Dateien wurden geändert oder ganze Dateien fehlen.
- Webseiten erscheinen anders als gewohnt.
- Anwendungen oder Apps funktionieren nicht mehr einwandfrei.
- Sicherheitsprogramme (z.B. Anti-Viren-Software) wurden deaktiviert.
- Das Gerät stürzt immer wieder unerwartet ab.
- Das Passwort des Gerätes wurde geändert.
- Popup-Fenster mit ungewöhnlichen Warnungen werden eingeblendet.
Verhalten bei einem Sicherheitsvorfall
Wenn Sie festgestellt haben, dass bei Ihnen eine IT-Sicherheitsvorfall aufgetreten ist, sollten sich alle Beteiligten an folgende Verhaltensregeln halten:
- Bewahren Sie Ruhe und ergreifen Sie keine übereilten Maßnahmen.
- Informieren Sie alle, die intern von diesem Vorfall wissen müssen: IT-Sicherheitsverantwortlicher, Datenschutzbeauftragter, IT-Abteilung, Geschäftsleitung etc.
- Organisieren Sie einen Krisenstab oder eine Projektgruppe. Verteilen Sie Rollen und Zuständigkeiten.
- Sammeln Sie möglichst schnell und möglichst viele Informationen, um fundierte Entscheidungen treffen zu können.
- Leiten sie die Krisenkommunikation ein: Pressesprecher, Interne Kommunikation, Prüfen Sie Meldepflichten (z.B. Meldung von Datenschutzverstößen), Vertragliche Informationspflichten ggü. Stakeholdern oder Kunden.
- Prüfen Sie, ob eine externe Unterstützung benötigt wird: Industrie- und Handelskammer, Handwerkskammer, Liste geeigneter Dienstleister.
- Nachbereitung: Lernen Sie aus dem IT-Sicherheitsvorfall und bereiten sie sich auf den nächsten vor.
Im Zweifel immer professionelle Firmen für IT-Sicherheit beauftragen
So, wie man bei körperlichen Beschwerden einen Arzt aufsuchen oder bei rechtlichen Fragen einen Anwalt konsultiert, so sollten Unternehmen im Idealfall professionelle Unterstützung durch auf IT-Sicherheit spezialisierte Firmen in Anspruch nehmen. Die meist langjährige Erfahrung dieser Unternehmen und die technische Expertise können den Schaden häufig minimieren.
Foto/Thumbnail: ©istockphoto/ismagilov
Kommentare