Ist Cyber-Sicherheit und damit Systemhärtung ein “nice to have”? Nein, ganz bestimmt nicht! Wir liefern Ihnen hier stichhaltige Argumente, warum Sie die sichere Konfiguration von Applikationen und Betriebssystemen auf keinen Fall vernachlässigen dürfen.
“Wie steht es um die Cyber-Sicherheit in Deutschland?”
Um diese Frage zu beantworten, können Sie zum Beispiel den “Bericht zur Lage der IT-Sicherheit in Deutschland 2023” studieren. In der Einleitung der Publikation, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wurde, steht zusammenfassend unter anderem:
“Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.”
Diese Grafik fasst die zahlreichen Erkenntnisse des BSI zusammen:
Andere aktuelle Untersuchungen zeigen, dass die Lage extrem besorgniserregend und heikel ist! So steht im “Cyber Security Report” der Schwarz-Gruppe, dass die IT-Systeme von deutschen Firmen im Durchschnitt 11.000 Sicherheitslücken aufweisen. Hacker und andere Angreifer haben also ein leichtes Spiel.
Doch viele Unternehmen scheinen das Potenzial der Cyber-Sicherheit noch nicht vollständig zu nutzen. Sie behandeln das Thema oft mit wenig Priorität und setzen Maßnahmen nur unzureichend um.
In unserer täglichen Arbeit begegnen uns daher immer wieder ähnliche Fragen. Diese häufigsten haben wir in diesem Beitrag für Sie als FAQ zusammengestellt – und liefern die passenden Antworten gleich dazu.
💬 Schreiben Sie uns eine Mail!
“Warum müssen unsere IT-Systeme geschützt werden?”
Selbst wenn Sie nur oberflächlich die Medien verfolgen, werden Sie schnell feststellen: Es herrscht gerade eine Art Krieg im Internet (der so genannte “Cyber War”). Täglich tauchen Meldungen auf, dass bekannte Unternehmen und Organisationen gehackt, Daten gestohlen und Systeme lahmgelegt wurden.
Die Schäden gehen meist in die Hunderttausende oder Millionen Euro pro Fall. Laut der IBM-Studie “Cost of a data breach” kostet beispielsweise 2021 ein Datenschutzvorfall im Gesundheitswesen durchschnittlich 10 Millionen US-Dollar, über alle Branchen und Industrien hinweg waren es weltweit “nur” rund 4 Millionen Dollar.
Was verschiedene Erhebungen ebenfalls zeigen: Es kann jeden treffen, egal ob Privatperson, Start-up, Mittelständler oder Großkonzern. Die Frage ist somit nicht, ob Ihr Unternehmen erfolgreich angegriffen wird, sondern wann das geschieht.
Das bedeutet: Wer seine IT-Systeme gar nicht oder nur oberflächlich schützt, geht ein sehr hohes Risiko ein. Ein Risiko, das im schlimmsten Fall die Existenz eines Unternehmens gefährden kann!
“Wie können wir unsere IT-Systeme richtig schützen?”
Die kurze Antwort auf diese nicht ganz einfache Frage lautet: Sie brauchen eine Strategie, um die Informationssicherheit und den Datenschutz in Ihrem Unternehmen zu gewährleisten.
Um Ihre Cybersecurity-Strategie umzusetzen, müssen Sie unter anderem in drei Bereichen aktiv werden:
-
- Protection
- Detection
- Response
In den Bereichen “Detection” und “Response” stehen Ihnen zahlreiche leistungsstarke Lösungen zur Verfügung – von Anti-Malware-Suiten über MDR-Systeme bis hin zu SIEM Solutions. Diese beliebten Tools und Frameworks leisten großartige Arbeit, indem sie Angriffe und Kompromittierungen zuverlässig erkennen und darauf reagieren.
Noch effektiver ist es jedoch, wenn Sie vorausschauend agieren und Angreifern von vornherein möglichst wenig Angriffsflächen und Schwachstellen bieten. Hier kommt eine proaktive Schutzmaßnahme ins Spiel: die Systemhärtung (englisch: System Hardening).
“Warum sind New Work und Remote Work ein Cybersecurity-Risiko?”
Mit der Corona-Pandemie hat sich eine moderne und flexible Arbeitsweise durchgesetzt: Remote Work. Arbeitnehmer entwickeln kreative Konzepte während der Zugfahrt, greifen vom Hotelzimmer aus auf das Firmennetzwerk zu, genießen die Vorteile des Homeoffice oder verbinden produktive Arbeitstage mit Strandurlaub (“Workation”).
In Zeiten der New-Work-Bewegung sind Mitarbeiter deutlich flexibler in der Wahl Ihres Arbeitsortes und bei der Wahl der Arbeitsmittel. Dank BYOD (“Bring Your Own Device”) ist es erlaubt, dass Firmenanwendungen auf Freizeit-Notebooks oder Business-Apps auf dem privaten Smartphone laufen.
Schöne, neue Welt – vor allem für Hacker und andere Cyber-Kriminelle. Sie haben nun viel mehr potentielle Systeme, die sie angreifen und infiltrieren können!
Eine sichere Konfiguration, auch Härtung genannt, schiebt vielen Malware-Programmen einen Riegel vor. Selbst gefürchtete Tools wie Mimikatz verlieren so ihren Schrecken. Hier der Beweis:
“Wie lassen sich versteckte Cyber-Attacken besser erkennen?”
Wenn es den so genannten “Cyber-Gangstern” gelungen ist, in Ihre Systeme einzudringen, bedeutet das nicht unbedingt, dass sie sofort großen Schaden anrichten. Oft bewegen sich die Angreifer durch die Netzwerke, um sich einen Überblick zu verschaffen, Hintertüren einzubauen oder um kleinere Datenmengen zu stehlen.
Fühlen sich die Hacker sicher, lassen sie zunehmend brisante Geschäftsinformationen abfließen. Oft werden diese in kleinen Datenpaketen versteckt, damit der “Einbruch” nicht auffällt.
Unternehmen, die Systeme zur Anomalieerkennung installiert haben, bemerken früher oder später die Kompromittierung. Zur besseren Analyse, wo sich die Schwachstellen befinden (gerne sind das vergessene oder selten genutzte Inhouse-Server) und wie diese ausgenutzt werden können, ist es hilfreich, wenn es eine “System-Inventarliste” gibt.
Die Härtung von Systemen kann eine fundierte Unterstützung der schnelleren Erkennung von Anomalien sein. Hier helfen beispielsweise Tools wie das AuditTAP, das alle sicheren und unsicher konfigurierten Systeme protokolliert.
“Lassen sich nach einer Cyber-Attacke die Schwachstellen finden?”
Kommt es zu einem “Data Breach”, müssen die Ursachen dafür so schnell wie möglich gefunden werden. Dann schlägt die Stunde der IT-Forensiker. Die Experten suchen nach Spuren, anhand derer sie nachvollziehen, wie die Hacker eindringen, Daten stehlen oder Systeme verschlüsseln konnten.
Solche Spuren finden sich unter anderem in Log-Dateien und Audit-Protokollen. Wurden IT-Systeme nicht auf den aktuellen Stand der Technik gebracht, etwa durch Updates und sichere Konfigurationen, erkennt das der Forensiker anhand der vorhandenen Daten.
Gibt es nur wenige Versäumnisse und Schwachstellen, weil die Systeme vor dem Angriff entsprechend gehärtet wurden, erleichtert das die IT-Forensik-Arbeit. Die Rekonstruktion des Vorfalls erfolgt dadurch schneller und günstiger als üblich. Mehr dazu in diesem Video:
“Welche Mindestanforderungen haben Cyber-Versicherungen an die IT-Security-Maßnahmen?”
Ihr Unternehmen möchte sich gegen Schäden durch Cyber-Vorfälle versichern? Eine gute Idee. Allerdings haben Sie aktuell das Problem, dass einerseits die Prämien massiv steigen. Andererseits wird es für Unternehmen immer schwieriger, überhaupt noch eine Cyber-Versicherung zu bekommen.
Woran liegt das? Viele Unternehmen tun zu wenig für ihre IT-Sicherheit und werden so zu leichten Opfern. Für die Cyber-Versicherer ist das ein Minusgeschäft. Dementsprechend straffen sie ihre Angebote. Will Ihr Unternehmen eine Cyber-Versicherung abschließen – und das zu einem akzeptablen Preis -, muss es die strengen Anforderungen der Versicherer erfüllen.
In vielen Verträgen gehört eine Systemhärtung zu den Mindestanforderungen. Verständlich, denn die sichere Konfiguration der IT-Landschaft zählt zu den besten Maßnahmen, um Einfallstore deutlich zu reduzieren.
“Wie können wir unser SOC-Team entlasten?”
Wenn Ihr Unternehmen über ein internes oder externes Security Operations Center, kurz SOC, verfügt, kennen Sie wahrscheinlich die Situation: Die Kollegen sind meist extrem gestresst und genervt. Denn täglich müssen sie Dutzenden oder gar Hunderten von Meldungen nachgehen, von denen sich viele als Falschmeldungen herausstellen.
Um das Arbeitsklima und die Arbeitsqualität zu verbessern, ist es eminent wichtig, die Anzahl der (Falsch-)Meldungen zu reduzieren.
Weniger Vorfälle können auftreten, wenn Betriebssysteme und Anwendungen weniger anfällig sind – was durch eine bessere Konfiguration erreicht werden kann. Sie sehen: Systemhärtung und SOC-Entlastung gehen Hand in Hand.
“Wie erstellt man einfach einen Report über den Stand der IT-Sicherheit?”
Wenn Sie IT-Systeme betreiben, besonders im Bereich der Kritischen Infrastrukturen (KRITIS), müssen Sie regelmäßig Nachweise erbringen, dass Sie diese schützen. Derartige Dokumentationen und Protokolle können Sie im Rahmen Ihres System Hardenings gleich mitliefern.
Zum Beispiel erstellt der Enforce Administrator beim Härten automatisch die erforderlichen Reports, womit Sie die gesetzlichen Nachweispflichten erfüllen.
Das heißt: Dank guter Hardening-Tools sehen Sie auf einen Blick, ob Ihre Systeme den internen Compliance-Vorgaben und den Konfigurationsempfehlungen des BSI und anderer Organisationen entsprechen.
“Ist Systemhärtung gesetzlich oder regulatorisch vorgeschrieben?”
Sicherlich kennen Sie die DS-GVO. Haben Sie sich auch schon mit NIS2 beschäftigt? Wissen Sie, was die überarbeitete ISO 27001 mit sich bringt? Oder kennen Sie branchenspezifische Standards wie TISAX, DORA, WLA-SCS, PCI-DSS 4.0, BAIT, B3S und die SEWD-Richtlinie IT SKIII?
Nein? Dann sollten Sie diese Wissenslücken schnellstmöglich schließen! Es gibt derzeit zahlreiche Verordnungen, Gesetze, Regularien und Normen, die eine Systemhärtung fordern. In den kommenden Monaten und Jahren wird es einige Verschärfungen in Form von neuen Auflagen geben.
Unternehmen, die sich nicht an die Vorgaben halten, müssen mit harten Konsequenzen rechnen. Und das ist auch gut so! Angesichts der Bedrohungslage müssen private und geschäftliche Daten besser denn je geschützt werden – unter anderem mit einer professionellen Systemhärtung bzw. Secure Configuration.
______
Lesetipp: Möchten Sie wissen, wie Sie Abweichungen bei einem ISO 27001 Audit vermeiden können? Dieser Ratgeber hilft Ihnen weiter: Configuration Management gemäß ISO 27001:2022
______
“Was geschieht, wenn das Upper Management die Cyber-Sicherheit vernachlässigt?”
Sie sind immer noch nicht überzeugt, warum Ihr Unternehmen eine Systemhärtung durchführen sollte? Dann geben wir Ihnen eine alte Weisheit mit auf den Weg: “Unwissenheit schützt vor Strafe nicht!” Dieser Grundsatz gilt auch im Bereich der IT-Sicherheit.
Denn Geschäftsführer, Vorstände und ähnlich hochrangige Entscheidungsträger können für eine vernachlässigte IT-Sicherheit haftbar gemacht werden! So schreibt das GmbH-Gesetz vor, dass Geschäftsführer Schaden von ihrem Unternehmen abwenden müssen. Tun sie dies nicht oder nur unzureichend, drohen ihnen empfindliche Strafen bis hin zu Freiheitsstrafen.
Mit anderen Worten: IT-Sicherheit ist Chefsache! Das Top-Management muss gemeinsam mit den IT-Sicherheitsexperten dafür sorgen, dass die Systemlandschaft bestmöglich geschützt wird. Dazu gibt es viele Methoden. Eine davon ist die Härtung durch eine dauerhaft sichere Konfiguration aller eingesetzten Systeme.
Fehlt Ihnen eine wichtige Frage?
Dann nehmen Sie Kontakt mit uns auf! Unsere Experten für Systemhärtung erläutern Ihnen gerne in einem Gespräch die Risiken und Chancen. Und wir unterstützen Sie bei der Umsetzung eines nachhaltigen, automatisierten System Hardenings.
💬 Schicken Sie uns Ihre Fragen oder Ihr Anliegen!
Bilder: Pixabay, BSI, IBM, FB Pro