Operational Security
Gelebte Sicherheitsstrategie
Fortsetzung des Artikels von Teil 1
Umsetzung in der Praxis
In der Praxis ist OPSEC wie ein Muskel: Je häufiger er trainiert wird, desto stärker wird er. Für die operative Sicherheit bedeutet das: Mitarbeiter müssen den Umgang mit den Richtlinien in Schulungen lernen und täglich üben. Dabei muss klar sein, dass nicht nur bekannte Bedrohungen abzuwehren sind, sondern ständig auch neue Gefahren lauern. Daher sollten Mitarbeiter immer die Themen Security und Datenschutz im Hinterkopf haben sowie im Zweifel vorsichtig sein und den Sicherheitsbeauftragten informieren.
Wie sieht das konkret aus? Ein Beispiel ist ein kostenloser USB-Stick als Werbegeschenk einer unbekannten Firma. Schritt 1 (Informationen identifizieren) bedeutet, dass keine Informationen darüber vorliegen, welche Anwendungen sich auf dem USB-Stick befinden.
Er kann harmlos sein, aber auch gefährliche Programme enthalten, die sich nicht durch einfaches Löschen entfernen lassen. Schritt 2 (Schwächen analysieren) heißt in diesem Fall: Da der Anbieter unbekannt ist, kann der USB-Stick durchaus Malware aufweisen, die möglicherweise Unternehmenssysteme angreift oder ausspioniert. Schritt 3 (Entsprechend reagieren) führt dann zu einem ungeprüften Entsorgen des USB-Sticks.
Ein weiteres einfaches Beispiel bildet der Empfang einer neuen E-Mail. Zuerst ist zu identifizieren, von welchem Absender sie stammt, welche Betreffzeile sie hat und – falls der Text in der Vorschau angezeigt wird – was drin steht. Geht es um eine Rechnung von einem Anbieter, bei dem man noch nie etwas bestellt hat, oder sind die erwähnten Namen völlig unbekannt, handelt es sich wahrscheinlich um Spam. Bei Schritt zwei fallen eventuell unklare Link-Bezeichnungen oder aufdringliche Kontaktwünsche auf, die zu gefälschten Webseiten und der Installation von Schadprogrammen führen können. In Schritt 3 empfiehlt sich das sofortige Löschen der Mail, ohne auch nur irgendetwas anzuklicken.
Entsprechende Tools nutzen
Natürlich können sich Unternehmen nicht allein auf die Vorsicht der Mitarbeiter verlassen, da diese auch Fehler machen können. Daher sind entsprechende Tools einzusetzen, die Informationen auf diversen Sicherheitsebenen schützen. Dies dürfen jedoch keine Einzellösungen sein. Operational Security ist daher auch so zu verstehen, dass von Anfang an eine zusammenhängende Tool-Landschaft eingeführt wird, die IT-Sicherheit auf den unterschiedlichen Schichten gewährleistet. Dazu gehören zum Beispiel System- und Patch Management, Anwendungs- und Gerätekontrolle, Benutzerverwaltung, Antivirus und Unified Endpoint Management. Dieser ganzheitliche Ansatz aus mehreren Schichten führt nicht nur zu höherer Sicherheit im Vergleich zu Einzellösungen, sondern auch zu einer gesteigerten Effizienz im IT-Betrieb.
Auch aus Unternehmenssicht sind die drei Schritte des OPSEC durchzuführen. Bei der Identifizierung von Informationen geht es nicht nur um kritische Daten, sondern auch um die genutzten Geräte. Schließlich setzen heute immer mehr Mitarbeiter ihre privaten Smartphones und Tablets ein, um mit Kollegen oder Kunden zusammenzuarbeiten. Dabei werden auch immer häufiger Cloud-Anwendungen verwendet. Diese Schatten-IT muss ein Unternehmen in den Griff bekommen, denn schließlich kann es nur das schützen, von dem es auch weiß.
Mit einer durchgängigen Inventarisierung von Hardware und Software erhält es ein vollständiges Bild der eigenen IT-Landschaft. Diese reicht von Servern und Clients über Cloud-Komponenten bis hin zu den privaten Mobilgeräten der Mitarbeiter. Auf dieser Basis können Unternehmen ermitteln, welche Anwendungen tatsächlich genutzt werden und welche Programme veraltet sind oder gar nicht mehr zum Einsatz kommen. Viele Unternehmen unterschätzen dabei die Gefahr. Denn auch wenn die Software nicht mehr genutzt wird, können ihre Schwachstellen ein mögliches Einfallstor für Cyber-Kriminelle bieten.
Um dieses Risiko zu minimieren, ist ein weitgehend automatisiertes Patch-Management für die gesamte Client- und Serverinfrastruktur einzusetzen. Zudem sollte ein umfassendes Konfigurations- und Rechtemanagement genutzt werden. Insbesondere Adminrechte sind dabei auf ein Minimum zu beschränken. Zudem sollten die Zugriffsrechte von ausscheidenden Mitarbeitern möglichst frühzeitig eingegrenzt werden, um bewussten Missbrauch zu vermeiden.
Entsprechend sind gemäß dem Center for Internet Security die fünf wichtigsten Sicherheitsmaßnahmen:
- Inventarisierung von autorisierten und unautorisierten Endgeräten
- Inventarisierung von autorisierter und unautorisierter Software
- Sichere Konfiguration
- Kontrolle von Administrationsrechten
Ständige Analyse von Schwachstellen und regelmäßiges Patchen Damit lassen sich 80 bis 95 Prozent der Angriffe abwehren.
Zusammenarbeit nötig
Um eine wirklich umfassende Strategie zu entwickeln, müssen aber die Abteilungen IT-Betrieb und IT-Sicherheit eng zusammenarbeiten. So wird die Expertise im technischen Management der IT-Infrastruktur mit dem breiteren Blick auf die möglichen Sicherheitsgefahren und die Geschäftsprozessebene kombiniert. Nur dann lassen sich die Security-Funktionalitäten bereits in den IT-Prozessen verankern und die Kontrollen soweit wie möglich automatisieren, um eine echte Operational Security zu erreichen.
Bernhard Steiner ist Director PreSales EMEA Central bei Ivanti
- Gelebte Sicherheitsstrategie
- Umsetzung in der Praxis
Lesen Sie mehr zum Thema
