Geh@ckt: Wie Angriffe aus dem Netz uns alle bedrohen. Ein Agent berichtet (German Edition)
entwickelt. Doch Unternehmen könnten durch Datenflusslandkarten, die über einen längeren Zeitraum erstellt werden, gut beobachten, welche Wege Firmendaten für gewöhnlich nehmen. Abweichungen ließen sich dadurch identifizieren. Auch hierbei kann eine Klassifizierung helfen. Denn sind bestimmte Daten mit einer «Farbe» eingesprüht worden, sind sie in der Masse gut zu erkennen. Sollten markierte Daten nämlich ihren gewöhnlichen Weg verlassen, kann dies einfach entdeckt werden.
Eine derartige Netzwerkkontrolle ist aber nicht das Einzige, was neben den herkömmlichen Maßnahmen in Gang gesetzt werden kann. Angreifer verstecken die zu stehlenden Informationen vor dem Versand gern in verschlüsselte Päckchen, die im Netz nicht kontrolliert werden können. Was man zusätzlich braucht, ist ein Verfahren, um die Aktivitäten auf den einzelnen Arbeitsplätzen (Clients) zu beobachten, weiterhin eines, das die Möglichkeit zur gezielten Suche nach typischen Verhaltensweisen und Werkzeugen der Angreifer bietet, sogenannte Pattern.
Dabei brauchen Unternehmen die Hilfe von externen Dienstleistern, die ihnen Pattern oder Indicator of Compromise ( IOC s) zur Verfügung stellen. Dieser externe Dienstleister muss ein Informationsbroker sein, der Erkenntnisse anonymisiert anderen Unternehmen zur Verfügung stellt.
Eine alte Frage lautet: Wer überwacht eigentlich die Überwacher? Eine neuere müsste heißen: Wer berät eigentlich die Berater?
Firmen kaufen Sicherheitslösungen, weil IT -Berater und Hersteller sagen, sie bräuchten das. Noch bessere Produkte, innovativerer Schutz, höher, schneller, weiter. Es werden Sicherheitsprodukte in den IT -Abteilungen angehäuft – und dennoch brennt es teilweise lichterloh in der IT deutscher Industrieunternehmen. Ein Widerspruch. Ein Grund dafür sind falsche, schlechte oder Sicherheitsprodukte, die lediglich ein Gefühl der Sicherheit vermitteln (Anbieter von Sicherheitssoftware werben stets damit, dass mit dem Einsatz
Ihres
Produkts alle Probleme gelöst seien). Nicht, dass man auf den Einsatz von Sicherheitsprodukten verzichten sollte, ganz im Gegenteil. Aber wer ist in der Lage, ein solches Produkt wirklich zu hinterfragen oder gar zu überprüfen? Für gewöhnlich werden IT -Security-Experten erst zu Penetrationstests und Sicherheitsüberprüfungen hinzugezogen, wenn Produkte schon im Einsatz sind. Sinnvollerweise sollte das schon vor dem Einsatz getan werden, ansonsten entsteht gefühlte anstelle echter Sicherheit.
Entnetzung wird in vielen Medien als ein wirksames Mittel gegen zu hohe Komplexität genannt, doch vermutlich wird sich dieser Wunsch kaum umsetzen lassen. Schon heute sind zu viele Geräte mit dem Internet verbunden, Abertausende kommen täglich hinzu. Sinnvoll ist es jedoch, einzelne Netze zu trennen. Gibt es beispielsweise einen Rechner, der nur dazu da ist, Bewerbungen entgegenzunehmen, der also nicht mit dem Produktionsnetz verbunden ist, läuft ein Angriff über ein verseuchtes Bewerbungsschreiben automatisch ins Leere. Arbeitsbereiche, in denen Dokumente geöffnet werden müssen, auch wenn ihnen der Absender nicht bekannt ist, sollten besonders abgesichert im Netz arbeiten. Ist die Anlagensteuerung eines Kraftwerks nicht mit den Büroanwendungen verbunden, können die Maschinen der Anlagensteuerung nicht über Lücken in Microsoft Office angegriffen werden. Oft ist es auch fraglich, ob Maschinen einen Fernwartungszugang benötigen.
Dort, wo es möglich ist, sollte Komplexität reduziert werden. Unternehmen benötigen überschaubarere Systeme, sie benötigen weniger Funktionen, dafür aber mehr Kontrolle über die Dinge, die sie einsetzen. Es darf nicht sein, dass ein Konzern oder eine Behörde den Überblick über die eigenen IT -Systeme verliert. Anders formuliert: Es muss dringend daran gearbeitet werden, die Übersicht über die vorhandenen Systeme, Netze und Anwendungen zurückzuerhalten. Es geht darum, sie zu konsolidieren und zu vereinfachen. Sicherheit muss sich auf allen Ebenen der IT ausbreiten. Dies beginnt bei der Hardware, geht weiter über die Protokolle bis hin zu den Anwendungen. Bestenfalls schließt sie sogar die Herstellung und den Nutzer mit ein.
Unternehmerisches Handeln beinhaltet stets Risiken, deshalb ist ihre bewusste Bewertung auch so wichtig. IT -Risiken werden von der Geschäftsleitung jedoch häufig unterschätzt. In manchen Fällen wird sogar davon ausgegangen, dass die IT -Abteilung die Risiken
über
schätzt oder
Weitere Kostenlose Bücher