Die Gefährdungslage bei der Cybersicherheit in Deutschland hat sich in den vergangenen Monaten weiter verschärft und ist zudem vielschichtiger geworden, heißt es im aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Vor allem die Kombination aus neuer Angriffsqualität durch WannaCry, Not-Petya, Efail oder Spectre/Meltdown und zunehmender Digitalisierung und Vernetzung von IT-Systemen, Alltagsgegenständen und Industrieanlagen hebe die Gefährdungslage auf ein neues Niveau. Der „Bericht zur Lage der IT-Sicherheit in Deutschland 2018“ ist auf der Webseite des BSI verfügbar.
Weltweit sieht es nicht anders aus, wenn man sich die zurückliegenden Aktivitäten krimineller Hacker rund um den Globus vor Augen führt:
- Hacker erbeuten bis zu 143 Millionen Kundendaten des US-Finanzdienstleisters Equifax. Zu den Informationen gehören demnach Namen, Sozialversicherungsnummern, Geburtsdaten und Adressen.
- Die WannaCry-Ransomware betrifft mehr als 150 Länder, in denen veraltete Windows-Software zum Einsatz kommt. Mindestens 300.000 Rechner werden lahm gelegt.
- Der Hackerangriff auf Yahoo ist noch deutlich umfangreicher gewesen als ursprünglich angenommen: Betroffen sind nicht eine Milliarde, sondern drei Milliarden Nutzerkonten.
Es wäre ein leichtes, diese Liste um dutzende weitere Beispiele zu ergänzen, die weltweit für unangenehme Schlagzeilen gesorgt haben. Nicht zuletzt durch diesen Blog sind Sie sich aber ohnehin der Risiken bewusst, die durch kriminelle Hacker und (möglicherweise unbeabsichtigte) Sicherheitsverletzungen durch Insider drohen, wenn vertrauliche Informationen verloren gehen, Gesetzesanforderungen nicht erfüllt und die Reputation eines Unternehmens beschädigt wird.
In jedem Fall dürfte klar sein, dass die klassischen Sicherheitsmaßnahmen an ihre Grenzen gestoßen sind. Die Zeiten sind vorbei, als die IT im wesentlichen auf Antivirensoftware und eine Unternehmensfirewall setzen konnte, und sich ansonsten auf das Einspielen von Updates beschränkte, um das Sicherheitsniveau aufrecht zu erhalten. Was Sie im modernen Unternehmensumfeld zur Durchsetzung der notwendigen Sicherheitskontrollen beachten müssen, zeigen die folgenden fünf Empfehlungen gegen Sicherheitsverstöße:
(Ex)-Mitarbeiterzugriffe stoppen
Niemals geht man so ganz: Verlässt ein IT-Administrator ihr Team, bedeutet das nicht, dass dieses Kapitel wirklich geschlossen wurde. Die Entlassung eines Mitarbeiters betrifft nicht nur die Personalabteilung, sondern sollte auch die IT-Abteilung auf den Plan rufen. Besonders bei personellen Wechseln müssen sofort die jeweiligen Zugriffsrechte auf IT-Systeme im Unternehmen aufgehoben werden. Achten Sie insbesondere auf privilegierte Zugriffsrechte auf Konten, die das IT-Team für die Installation von Applikationen, für Konfigurationsänderungen und für Administrationsaufgaben in der gesamten IT-Infrastruktur nutzen kann. Das damit verbundene Risiko ist nur ein Beispiel, was bei einer versäumten Begrenzung der Zugriffsrechte von Mitarbeitern droht.
Zugriffspunkte dokumentieren
Das Wissen darüber, alle Zugriffsrechte von ehemaligen Mitarbeitern und Dienstleistern aufheben zu müssen, ist eine wichtige Erkenntnis. In der Praxis müssen sie für die Umsetzung dieser Erkenntnis wissen, welche Dienste im einzelnen abzuschalten sind. Privilegierte Accounts gibt es auf den unterschiedlichsten IT-Systemen, branchenspezifischen Applikationen, Web-Services und Hardware-Geräten. Da geht der Überblick schnell verloren, zumal es in großen Organisationen tausende dieser Konten gibt. Und mit Sicherheit finden Sie dort viele Accounts an, die über die Zeit vergessen wurden oder von deren Existenz Sie gar nicht erst wussten. Jedes dieser Konten stellt aus IT-Sicherheitssicht aber eine potentielle Schwachstelle für das gesamte Netzwerk dar, so dass Sie alle aufspüren müssen. Bei diesem Vorgang helfen wir Ihnen gerne unentgeltlich weiter – Sie müssen nur das Bomgar Discovery Tool herunterladen.
Passwortmanagement erweitern
Sicherlich haben Sie Unternehmensvorgaben für die Passwortvergabe bei Nutzer-Logins – Vorgaben an die Komplexität, Wechselfrequenz und mehr. So weit, so gut. Werden privilegierte Zugangsdaten (also die Anmeldedaten für Administratorkonten mit weitreichenden Befugnissen) aber nicht richtig verwaltet, lassen sich die zu Anfang geschilderten Sicherheitsverletzungen professioneller Angreifer kaum verhindern. Sie müssen detailliert dokumentieren können, wo Accounts mit Nutzerprivilegien in Ihrer IT-Infrastruktur lagern. Und Sie müssen auch sicherstellen, dass jedes Konto über individuelle, kryptographisch komplexe Kennwörter verfügt, die regelmäßig ausgetauscht werden.
Beweisführung protokollieren / Protokolle vorhalten
Wie können Sie überwachen, wer auf privilegierte Accounts im Unternehmen zugreift? — Mit detaillierten Berichten, die aufzeigen, welche IT-Administratoren sich wann und zu welchem Zweck eingewählt haben. Diese Transparenz bei privilegierten Zugriffen gewährleistet, dass die Fehlnutzung von administrativen Konten unterbunden werden kann. Für jede Einwahl lässt sich auch eine präzise Auditierung des Gesamtvorgangs durchführen. Die Reports sollten sowohl dem IT-Management als auch der Unternehmensführung zur Verfügung stehen. Und auf Anfrage sollten sie auch bei Fragen gesetzlicher Compliance-Vorgaben umgehend verfügbar sein.
Link-Verfügbarkeit begrenzen / Sichtbarkeit einschränken
Halten Sie die Passwörter privilegierter Konten den jeweiligen Nutzern nur bei Bedarf vor und protokollieren Sie alle Aktivitäten. Unter Einhaltung des Least-Privilege-Prinzips sorgen zeitlich begrenzte Zugriffsmöglichkeiten und häufig wechselnde Zugangsdaten für ein hohes Sicherheitsniveau — vor allem im Vergleich zum Einsatz statischer Kennwörter, die schriftlich am Arbeitsplatz notiert werden, in Excel-Listen lagern oder eingeprägt werden müssen. So vermeiden Sie, dass einzelne IT-Mitarbeiter unbemerkt Zugangsdaten abgreifen und im Netzwerk für unbefugte Aktivitäten einsetzen können.