Kommentar: Unternehmenssicherheit
Vom sicheren Umgang mit der Unsicherheit
Die Unternehmensleitung verlangt von der IT die Offenlegung von Parametern beziehungsweise Metriken, die einen Überblick über den derzeitigen Zustand der Sicherheit gewährleisten. Anhand der folgenden Metriken, lässt sich diese Anforderung umsetzen.
Das Thema Sicherheit ist inzwischen auch in die Vorstandsetagen eingezogen und gehört zur festen Agenda jeder Unternehmensführung. Daher werden die Sicherheitsexperten in den Unternehmen dazu aufgefordert, den Chefs entsprechende Informationen zu liefern, die den aktuellen Stand der Unternehmenssicherheit darstellt. Die Fragestellung der IT-Sicherheit reduziert sich auf dieser Ebene nach der Auswahl der richtigen Parameter.
Das Problem besteht jedoch darin, dass die Geschäftsleitung oft nicht weiß, welche richtigen Fragen zu stellen sind. Meist fokussiert sich der Sicherheitsaspekt auf die reine Prävention und vernachlässigt den Aspekt der Schadensbegrenzung. Berechnungen wie beispielsweise die Durchschnittskosten eines Sicherheitsvorfalls oder die von der Firewall gestoppten Angriffe machen wahrscheinlich für einen Laien in Sachen Sicherheit gehörigen Eindruck, aber bringen das Sicherheitsprogramm eines Unternehmens nicht wirklich voran. Stattdessen empfehlen die Experten sich auf eine Mischung aus aktuellem Verhalten und Strategie zu konzentrieren.
Sicherheitsmetrik 1: Beteiligungs- und Akzeptanzquote
Wie hoch ist die Beteiligung der Mitarbeiter im Unternehmen an den Sicherheitsmaßnahmen? Es lässt sich sehr einfach feststellen, wie viele und in welchen Abteilungen sogenannte Penetrationstests durchgeführt wurden oder auf wie vielen Endgeräten durch automatisierte Patch-Maßnahmen die IT-Systeme regelmäßig aktualisiert werden. Auf Basis dieser grundlegenden Informationen können Unternehmen beurteilen wie die Sicherheitsmaßnahmen im Unternehmen auf den einzelnen Ebenen angenommen werden und welche möglichen Sicherheitslücken noch bestehen.
Sicherheitsmetrik 2: Dauer der Attacken
Die Verweilzeit der Hacker im Firmennetz liefert wertvolle Einblicke in die derzeitige Sicherheitslage. Eine Abschätzung der Angriffsdauer birgt viele Informationen aus denen ein Sicherheitsexperte ableiten kann, wie man sich gegen Bedrohungen schützen kann und wie sich mögliche Schäden minimieren lassen. Einschlägige Umfragen haben gezeigt, dass Angreifer im Durchschnitt mehrere Monate innerhalb des Netzwerks eines Unternehmens verbringen, bevor deren Aktivitäten entdeckt werden. Während dieser Zeit lernen die Eindringlinge die Infrastruktur kennen, beobachten die Abwehrmaßnahmen der Unternehmens-IT und bereiten alle notwendigen Maßnahmen vor, um die gewünschten Informationen möglichst unbemerkt abfließen zu lassen.
Es gilt die Verweilzeiten der Hacker in den Unternehmensnetzwerken so weit wie möglich zu reduzieren, so dass die Angreifer weniger Gelegenheit haben, an die wichtigen Unternehmensdaten zu gelangen.
Sicherheitsmetrik 3: Problembereiche im Code
Die Anzahl der gefundenen Probleme beziehungsweise Problembereiche in den genutzten Softwarecodes ist eine Möglichkeit zur Beurteilung der Sicherheitspraktiken von Entwicklungsteams. Weist eine Anwendung in einem frühen Entwicklungsstadium eine hohe Fehlerdichte auf, dann muss man sich die Fragen stellen, ob all die gefundenen Fehler bis zum endgültigen Release beseitigt werden können. Ziel ist es, mit jedem neuen Patch die Schwachstellen weiter zu beseitigen, damit die Anwendung im Laufe der Zeit immer sicherer wird.
Sicherheitsmetrik 4: Fenster der Verwundbarkeit
Ein Fehler in einer Anwendung kann von den Sicherheitsexperten im Unternehmen zwar identifiziert, aber unter Umständen nicht beseitigt werden. Das „Fenster der Verwundbarkeit“ ist ein militärstrategischer Ausdruck. Es entsteht, wenn ein Verteidigungssystem vorübergehend unzureichend ist und dem Gegner eine erfolgversprechende Angriffsmöglichkeit eröffnet. In der IT beschreibt das Fenster der Verwundbarkeit, wie viele Tage pro Jahr eine Anwendung oder ein System für bekannte Exploits und ernsthafte Probleme anfällig ist. Das Ziel jeder Sicherheitsstrategie sollte es sein, das Fenster der Verwundbarkeit auf so wenig wie mögliche Tage im Jahr zu reduzieren.
- Vom sicheren Umgang mit der Unsicherheit
- Irreführende Indikatoren
Lesen Sie mehr zum Thema
