Security «in den Griff bekommen»

Ein Beitrag zur Informationssicherheit

12. August 2019

Einer komplexen Themenwelt in der Praxis begegnen

1. Schwierige Ausgangslage

Es ist längst keine Übertreibung mehr zu sagen, dass die Digitalisierung unterdessen in allen Wirtschaftszweigen angekommen ist. Wahrscheinlich ist es auch nicht übertrieben zu behaupten, dass alle Wirtschaftszweige in irgendeiner Form von digitalen Werkzeugen nahezu existentiell abhängig sind. Umso besorgniserregender ist somit die Tatsache, dass all diese Mittel Schwachstellen aufweisen, welche Missbrauch ermöglichen. Eine Firma muss sich heute mit Risiken auseinandersetzen, welche vor nicht allzu langer Zeit schlicht nicht existiert haben. Erschwert wird die Situation zusätzlich durch die Vielseitigkeit und den enormen Wandel digitaler Produkte. Lösungsansätze zur Verminderung der Risiken sind so individuell wie die Produkte und deren Schwachstellen selbst. Wie soll in einer solchen Realität eine KMU eine Chance haben, sich gegen Angriffe effektiv zu schützen?

2. Teile und herrsche

Komplexe Probleme, die nicht ignoriert oder umgangen werden können, sind in fassbare Teile zu zerlegen. Oft muss dieser Vorgang mehrfach wiederholt werden, besonders bei vielgestaltigen Problemen wie Informationssicherheit.
In einem ersten Schritt gilt es diese Problemstellung in folgende Bereiche zu unterteilen:


Planen, schützen, erkennen und reagieren.

Planen: hier gilt es festzustellen , welche Komponenten zu schützen sind (Inventar), welche Angriffsformen auf diese Komponenten zugeschnitten sind (Threat Intelligence) und wie der jeweilige Schutz der Komponenten gegenüber dieser Angriffsformen aussieht (Risikoanalyse).

Schützen: hier soll aus der Planung gelernt werden. Es gilt, festgestellte Schwachstellen abzusichern ((Updates, Virenschutz, Firewall oder spezifischere Lösungen wie WAF (Web Application Firewall) usw.)).

Erkennung: dabei geht es darum, zweckmässige Mittel einzusetzen um die Schutzmassnahmen laufend zu prüfen und Angriffe überhaupt erst zu erkennen (Intrusion Detection, Logging, Monitoring usw.).

Reagieren: schlussendlich muss auf – trotz aller getroffener Massnahmen – dennoch erfolgreiche Angriffe reagiert werden (Digital Forensic, Incidence Response). Dies führt in aller Regel zu neuen Erkenntnissen, welche wiederum in die Planung einfliessen und entsprechend berücksichtigt werden müssen. Dieser Zyklus ist keineswegs nur reaktiv. In allen Quadranten sollen auch proaktive Aspekte aufgenommen werden.

Dieser Ansatz ist unabhängig von Industrie und eingesetzten Produkten. Der darin abgebildete Zyklus stellt sicher, dass das Problem ganzheitlich angegangen wird und ermöglicht, Veränderungen (neue Angriffe, neue Schwachstellen) zu registrieren und diesen zeitnah und wirkungsvoll zu begegnen. Aus dieser abstrakten Ebene gilt es, schrittweise abzutiefen und den einzelnen Quadranten konkretere Schritte und Massnahmen zuzuweisen. Ein erster Durchlauf wird dabei lange nicht alle Schwachstellen abdecken. Aber die kontinuierliche, wiederkehrende Anwendung zeigt in der Praxis Erfolg.

3. Security Assessments

Gerade am Anfang besteht die Herausforderung innerhalb des Vorgestellten sinnvoll und richtig zu priorisieren. Die Resultate, welche in Planungsschritten gewonnen werden, zeigen häufig Schwachstellen auf, welche in ihrer Menge oder Grösse kaum auf einmal angegangen werden können. Ein typisches Hilfsmittel zur geeigneten Fokussierung ist ein Security Assessment. Besonders für KMUs ist es ratsam, dies mit einem professionellen Partner anzugehen. Ein solches Assessment muss nicht per se teuer sein. Zum Start reicht es oft schon, mittels gezielten Interviews und Stichproben die wirklich relevanten Verbesserungsschritte herauszufiltern. Dies dient der Unternehmung dann auch in der Budgetierung. Der vorgestellte Zyklus ist zwar nicht starr, aber in der Praxis zeigt sich, dass er oft dann wirksam wird, wenn Planungsschritte, welche auf das Budget Einfluss nehmen (wie eben ein Assessment) irgendwo im dritten Quartal des Jahres platziert werden und somit in Budgetrunden bereits klar ist, was im nächsten Jahr bezüglich Informationssicherheit unternommen werden sollte.

Security Assessment Paket

Die Unico Data AG kann Sie hier kompetent unterstützen mit ihrem skalierbaren Security Assessment Paket. Egal ob Sie sich gerade erst auf den Weg machen, das Thema professionell anzugehen oder ob Sie bereits mitten in der Thematik stecken, wir können Ihnen mit unserem Knowhow und unserer Erfahrung Unterstützung leisten.