Gelebte Sicherheitsstrategie

Viele Unternehmen haben inzwischen eine umfassende Sicherheitsstrategie implementiert. Doch wie lässt sie sich von der grauen Theorie in konkrete Praxis umsetzen? Ein erfolgversprechendes Konzept nennt sich "Operational Security". Es integriert die IT-Sicherheit direkt in den IT-Betrieb.

Die zahlreichen Sicherheitsvorfälle im Jahr 2017 zeigen, dass IT-Attacken immer aggressiver und professioneller werden. Dies ist eine Entwicklung, die sich laut diverser Voraussagen auch 2018 weiter fortsetzen wird. Zum Beispiel ermittelte der Cisco 2018 Annual Cybersecurity Report, dass Cyberkriminelle zunehmend Cloud-Services, IoT-Botnetze und scheinbar vertrauenswürdige Software von Drittanbietern nutzen und dabei durch Verschlüsselung eine Erkennung vermeiden.

Gleichwohl offenbaren viele Unternehmen ein fehlendes Verständnis für die Komplexität moderner Angriffe. Eine weitere Studie macht dies deutlich: Forrester hat jüngst weltweit über 3.600 IT-Verantwortliche zur Absicherung ihrer Systeme befragt. Obwohl sie alle maßgeblichen Anteil an der Planung und Beschaffung von IT-Produkten in ihrem Unternehmen haben, investieren sie nur etwa zehn Prozent ihres Sicherheitsbudgets in die Bekämpfung aktueller Bedrohungen. Vor allem der Bereich Unified Endpoint Management (UEM) wird dabei vernachlässigt, obwohl die Sicherheit der Endpunkte im Kampf gegen Cyber-Attacken an vorderster Front steht.

Denn heute finden laut F5 Networks rund 80 Prozent der Angriffe auf Anwendungsebene statt. Demnach nutzen Cyberkriminelle zunehmend Methoden, welche die Rechenleistung und den I/O auf Layer 7 beeinträchtigen und etwa Web Application Server stören. Phishing oder andere Social-Engineering-Attacken sowie Ransomware greifen letztlich über das Endgerät den Nutzer an, damit dieser auf gefälschte Anhänge oder Links klickt. Daher muss der Schutz des Endgeräts und der Anwendungen inklusive einer entsprechenden Schulung der Mitarbeiter in die umfassende Strategie integriert sein.

Operative Sicherheit

Doch schon die Entwicklung einer solchen ganzheitlichen Sicherheitsstrategie ist alles andere als trivial. Um wirklich sämtliche Aspekte zu berücksichtigen, erfordert sie ein Zusammenwirken aller Unternehmensbereiche. Noch schwieriger gestaltet sich häufig die Umsetzung dieser Strategie in die Praxis. Denn dafür ist eine Transferleistung der aufgestellten Richtlinien in die konkreten Prozesse und Arbeitsabläufe gefordert. Auch hier sind die Mitarbeiter von Anfang an zu integrieren, da sie ja letztlich meist die ersten Betroffenen von möglichen Angriffsversuchen sind.

Ein erfolgversprechendes Konzept ist hier „Operational Security“ (OPSEC). Es geht von der Annahme aus, dass sich IT-Sicherheit unmittelbar in die IT-Betriebskonzepte integrieren muss. Es handelt sich also um einen Ansatz, der IT-Sicherheit grundsätzlich im Betrieb verankert und dort seinen Ausgangspunkt hat, um Sicherheitslücken so früh wie möglich im Prozess zu vermeiden.

Das Konzept stammt ursprünglich aus dem militärischen Bereich. So haben die USA 1966 im Vietnamkrieg ein übergreifendes Sicherheitsteam installiert, um Informationslecks zu vermeiden. Dieser Ansatz konzentriert sich auf die Ermittlung, welche Informationen kritisch sind und ob sie von Spionen genutzt werden können, um die geplanten und durchgeführten Aktionen zu erkennen. Anschließend werden mögliche Gefahren und Schwachstellen analysiert, die Risiken bewertet und geeignete Schutzmaßnahmen eingeführt.

Übersetzt in die IT-Welt lässt sich dieser Ansatz weiter vereinfachen:

1. Informationen identifizieren: Zuerst ist festzustellen, welche Informationen kritisch sind und welche nicht. Auch die Aktivitäten, Fähigkeiten, Begrenzungen, Schwachstellen und Ziele sind hier zu berücksichtigen.
2. Schwächen analysieren: Anschließend ist herauszufinden, ob die Informationen irgendwelche Versuche ermöglichen könnten, die Sicherheit oder den Datenschutz zu beeinträchtigen, und wo die Risiken lauern.
3. Entsprechend reagieren: Schließlich sollten Mitarbeiter anhand der Erkenntnisse und festgelegter Richtlinien wissen, wie sie mit sensiblen Informationen umgehen sollen und welche Gefahren zu vermeiden sind.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Gelebte Sicherheitsstrategie
2. Umsetzung in der Praxis

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler