Sergio Delle Vedove | shutterstock.com
Schlechte Angewohnheiten abzustellen (oder bessere zu entwickeln), ist ein Prozess, der Geduld, Selbstbeherrschung und Entschlossenheit erfordert. Das gilt sowohl auf persönlicher als auch auf Security-technischer Ebene.
In diesem Artikel haben wir sieben Sicherheitspraktiken für Sie zusammengestellt, deren Haltbarkeitsdatum schon eine ganze Weile abgelaufen ist.
1. Perimeter-Sicherheit für ausreichend halten
Die meisten Arbeitsumgebungen sind heute Cloud-basiert – in vielen Fällen mit Remote-Anteil. Das beobachtet auch Amit Basu, CIO und CISO bei International Seaways, einem Transportdienstleister für Erdölprodukte. Seine Schlussfolgerung: “Die alte Praxis, eine fest definierte Grenze abzusichern, funktioniert einfach nicht mehr in hybriden und Cloud-First-Arbeitsumgebungen. Weil sich Benutzer und Daten sowohl innerhalb als auch außerhalb des traditionellen Perimeters befinden, sind Unternehmen, die ausschließlich auf Perimeter-Sicherheit setzen, gefährlichen Bedrohungen ausgesetzt.”
Dazu gehören dem Sicherheits- und IT-Entscheider zufolge etwa Ransomware-Angriffe. Die bessere, zeitgemäßere Lösung sei es, auf Zero Trust zu setzen.
2. Security an der Compliance ausrichten
In den Augen von George Gerchow, CSO beim Security-Dienstleister Bedrock Security, lassen sich zu viele Teams von Compliance leiten, wenn es darum geht, Sicherheitsprogramme auf die Beine zu stellen. Das laufe letztlich nur darauf hinaus, Checklisten abzuarbeiten, statt Herausforderungen im Bereich Cybersecurity zu lösen: “Diese GRC-orientierte Mentalität ist veraltet und dysfunktional.”
Wie Gerchow ausführt, vermittle eine Compliance-orientierte Security ein falsches Gefühl der Sicherheit und binde Ressourcen, die eigentlich für tatsächliche Bedrohungen eingesetzt werden sollten: “Das kann dann dazu führen, dass große GRC-Teams ihre Arbeitszeit damit verbringen, Kundenfragebögen zu beantworten oder sich an Audits abzuarbeiten. Stattdessen käme es eher darauf an, Daten zu schützen, Zugriffskontrollen zu managen und neue Bedrohungen im Blick zu behalten.”
Deshalb ist der CSO überzeugt, dass Unternehmen zu den grundlegenden Prinzipien der IT-Sicherheit zurückkehren müssen. Abbilden lässt sich das seiner Meinung nach über einen Zero-Trust-Ansatz sowie Continuous Monitoring, beispielsweise mit dem CARTA-Ansatz (Continuous Adaptive Risk and Trust Assessment).
3. Legacy-VPNs beibehalten
Veraltete VPN-Instanzen können ineffizient und schwerfällig sein, was zu erheblichen Ausfallzeiten führen kann und es diffiziler gestaltet, sie zu managen. Auch Buck Bell, Leiter der globalen Sicherheitsstrategie beim IT-Dienstleister CDW, ist kein “Fan”: “Legacy-VPNs können die Anforderungen des modernen Arbeitsplatzes nicht erfüllen. Insbesondere weil Führungskräfte heute einen nahtloseren und flexibleren Zugriff auf Ressourcen für ihre Teams benötigen – unabhängig davon, ob diese im Büro oder remote arbeiten.”
Zudem seien solche Legacy-Systeme nicht skalierbar, weil sie mit den sich verändernden Sicherheitsanforderungen wachsender Unternehmen nicht Schritt halten können, meint Bell: “Das führt mit zunehmender Angriffsfläche zu Herausforderungen. Dass veraltete VPNs oft nicht mehr regelmäßig mit Aktualisierungen und Patches versorgt werden, vergrößert das Risikopotenzial noch weiter.”
Ein besserer Ansatz: auf Secure Access Service Edge (SASE) umsteigen und sich dem Zero-Trust-Ansatz verschreiben. Das kann auch Security-Experte Bell nur wärmstens empfehlen: “Diese Strategien erhöhen das Sicherheitsniveau, indem sie jeden Benutzer und jedes Gerät überprüfen, das auf Netzwerkressourcen zugreifen möchte.”
4. Nur auf EDR setzen
Endpoint Detection and Response (EDR)-Lösungen stellen ohne Zweifel einen erheblicher Fortschritt gegenüber herkömmlicher Antivirus-Software dar. Allerdings reicht dieser Ansatz allein in der heutigen Bedrohungslandschaft nicht mehr aus, wie Michel Sahyoun, Chief Solutions Architect beim Security-Anbieter NopalCyber, erklärt: „EDR eignet sich hervorragend, um Aktivitäten an Endpunkten zu überwachen, darauf zu reagieren und komplexe Angriffe zu erkennen. Allerdings umgehen Angreifer Endpunkte zunehmend und nehmen stattdessen Cloud-Umgebungen, Netzwerkgeräte und eingebettete Systeme ins Visier.“
Eine übermäßige Abhängigkeit von EDR könne deshalb dazu beitragen, dass kritische Sicherheitslücken unbeachtet bleiben. Im schlimmsten Fall ermögliche das Cyberkriminellen, sich über längere Zeit unbemerkt im Unternehmensnetzwerk einzunisten, warnt der Manager: “Die Angreifer könnten beispielsweise OAuth-Token ausnutzen, um sich unbefugten Zugriff auf Cloud-Plattformen zu verschaffen – ohne jemals mit einem Endpunkt zu interagieren, der über EDR-Software abgesichert ist.”
In ähnlicher Weise stellten Netzwerk- und IoT-Devices in vielen Fällen blinde Flecken dar – auch weil diese oft keine robusten Monitoring- und Forensik-Funktionen aufwiesen: “Cloud-Umgebung erschweren die Detection zusätzlich aufgrund begrenzter Logging- sowie kostenpflichtiger Visibility-Funktionen. Weil sich die Angriffe zunehmend darauf verlagern, Trust-Beziehungen, Identitäten und APIs auszunutzen, ist ein Endpoint-zentrierter Ansatz allein unzureichend”, konstatiert Sahyoun.
5. SMS für 2FA nutzen
Die SMS-basierte Zwei-Faktor-Authentifizierung galt einst als enormer Fortschritt in Sachen Security (verglichen mit der Authentifizierung per Passwort). Doch auch dieses Verfahren ist inzwischen veraltet – und risikobehaftet.
Aparna Himmatramka, Senior Security Assurance Lead bei Microsoft, erklärt: “Leider wurde die TK-Infrastruktur nicht mit Blick auf Sicherheitsaspekte konzipiert. Darüber hinaus verwenden Mobilfunknetze auch heute noch veraltete Protokolle, die ausgenutzt werden können – und der Prozess der Übertragung von Telefonnummern zwischen Netzbetreibern erfolgt in vielen Fällen ohne strenge Identitätsprüfung. Das öffnet SIM-Swapping-Angriffen Tür und Tor.”
6. On-Premises-SIEMs einsetzen
Lokal installierte SIEM-Tools sind Security-Manager Gerchow ebenfalls ein Dorn im Auge. Denn sie führten oft zu einer Flut von Warnmeldungen und seien zudem in vielen Fällen nicht Cloud-fähig.
“Das zwingt Unternehmen entweder dazu, enorme Datenmengen unter hohen Kosten zu verschieben und zu speichern – oder das Risiko einzugehen, wichtige Protokolle zu übersehen, die essenziell sind, um Cloud-Deployments abzusichern”, mahnt Gerchow. Er fügt hinzu: “Viele Unternehmen halten an lokalen SIEM-Installationen fest, weil sie sich scheuen, sensible Daten in der Cloud zu speichern. Aber seien wir ehrlich: Dieser Zug ist abgefahren – es ist Zeit, weiterzuziehen.”
7. Passivität zulassen
Kaum jemand sieht sich selbst als potenzielles Opfer eines Phishing-Angriffs – dennoch fallen jeden Tag wieder viele Menschen auf Social-Engineering-Taktiken herein.
Kevin Sullivan, Principal Technology Consultant beim Softwareanbieter XTIUM, ist überzeugt, dass eine aktive Sicherheitskultur die Lösung ist, um das im Unternehmensumfeld zu verhindern: “Die richtigen Sicherheits-Tools und -Praktiken sind für jedes Unternehmen wichtig. Entscheidend sind dabei jedoch gute Security-Awareness-Programme, die die Belegschaft aufklären und dazu befähigen, Daten, Systeme und Geschäftsprozesse aktiv zu schützen.”
Unternehmen, die ein kontinuierliches Engagement für Weiterbildung vermissen ließen, sabotierten sich selbst, so der Berater – in diesem Fall würden auch erhebliche Investitionen in Security-Tools und -Strategien ins Leere laufen: “Eine gut geschulte und gut vorbereitete Benutzerbasis ist die erste und stärkste Verteidigungslinie.”
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.