IT Sicherheit

In diesem Artikel gehen wir auf das Thema IT Sicherheit ein. Dies ist ein sehr breites Thema und wir werden

blog-post-img

In diesem Artikel gehen wir auf das Thema IT Sicherheit ein. Dies ist ein sehr breites Thema und wir werden nicht in der Lage sein, jeden seiner Aspekte erschöpfend zu beleuchten. Nichtsdestotrotz hoffen wir, Ihnen einen Überblick über dieses doch immens wichtige Thema verschaffen zu können.

Was ist IT Sicherheit?

IT Sicherheit, aus dem Englischen auch als IT Security bezeichnet, umfasst die Strategien und Massnahmen, welche dazu dienen, die IT Systeme einer Organisation zu schützen. Da diese Systeme heutzutage mit dem Internet verbunden sind, wird auch häufig der Begriff Cyber Security verwendet. Der Begriff Informationssicherheit hingegen bezieht sich auf Informationen, welche sowohl in technischen IT Systemen als auch auf simplem Papier gespeichert sein können.

Warum ist IT Sicherheit wichtig?

Mit einer guten IT Sicherheitsstrategie und einer korrekten Implementierung der richtigen Massnahmen können Sie erreichen, dass der Betrieb Ihrer Organisation auch im Falle einer akuten Bedrohung ohne Störungen und sonstige Nachteile weiterläuft. Dass dies wünschenswert ist liegt auf der Hand.

Was beinhaltet das Thema IT Sicherheit?

Sehr grob betrachtet beinhaltet dieses Thema die Identifikation und Erkennung jeglicher Sicherheitsbedrohungen gegen eine Organisation, den Schutz vor diesen, sowie die reagierenden und wiederherstellenden Massnahmen im Schadensfall. Dies können Dokumente zur Planung und Kommunikation, teschnische Massnahmen sowie Prozesse sein.

Was bezwecken IT Sicherheitsbedrohungen?

Es gibt ein sehr breites Spektrum an möglichen Bedrohungen. Hier sollte man als erstes betrachten, welche Ziele böswillige Dritte mit dem Ausnutzen oder Herbeiführen einer IT Sicherheitsbedrohung erreichen wollen. Anschließend betrachten wir im nächsen Abschnitt die einzelnen Bedrohungen im Detail, gefolgt von den gegen sie wirksamen Schutzmassnahmen.

Störung des Betriebs

Manchmal möchte einfach nur böswillig Chaos gestiftet werden. Ein Beispiel hierfür ist das Lahmlegen eines Online-Spiele-Servers am Tag des Erscheinens eines neuen Spiels. Eine Enttäuschung für die Spieler, die sich sehr auf diesen Moment gefreut haben, und eine ressourcenzehrende Aktion für den Spieleentwickler. Einen direkten materiellen Vorteil hat niemand von dieser Aktion.

Anders sieht es aus, wenn eine fremde Macht die kritische oder sonstige Infrastruktur eines Landes sabotieren möchte. Vor dem russischen Angriff auf die Ukraine sahen sich deren Stromnetzbetreiber und Internetdienstanbieter einer Welle von Cyber-Attacken ausgesetzt, um die Stromversorgung und digitale Kommunikation des Landes zu stören.

Ein anderes Beispiel wäre die Verwendung eines massgeschneiderten Computervirus, um das iranische Atomprogramm zu stören, indem es die Steuereinheiten der Zentrifugen, welche zur Anreicherung des Urans verwendet wurden, angriff, die Geräte mechanisch überbelastete und so zerstörte.

Eine Störung des Betriebes kann durch Viren und Malware, welche Daten löschen oder Systeme stören, Ransomware-Angriffe, welche Daten blockieren, und Denial-of-Service-Angriffe, welche Online-Systeme blockieren, erreicht werden.

Datendiebstahl

Hier versuchen Dritte, sensible Daten der Organisation zu entwenden. Dies können Geschäftsgeheimnisse, Mitarbeiterdaten oder Kundendaten sein.

Das Stehlen von Personendaten dient oft dem Identitätsdiebstahl. Hierbei werden die gestohlenen Daten von Dritten genutzt, um die Identität der betroffenen Person anzunehmen. Dies mit der Absicht, weitere Straftaten zu begehen.

Digitale Daten können durch Viren, Hacker-Angriffe

Betrug und sonstige finanzielle Bereicherung

In den letzten Jahren haben sich viele Kunden von Online-Shops gewundert, wie gerade auf dem (Online-)Markt gebrachte begehrte Waren in Sekunden ausverkauft sein konnten. Hier waren sogenannte Bots am Werk. Diese Computerprogramme haben praktisch gleichzeitig und in grosser Anzahl Bestellungen für die besagten Produkte aufgegeben. Die Hintermänner dieser Bots konnten die knappe Ware dann zu viel höheren Preisen weiterverkaufen.

Während die Online-Shops zwar nicht direkt finanziell benachteiligt wurden, so wurden seine Kunden doch enttäuscht und nicht wenige werden das Vertrauen in den jeweiligen Online-Shop verloren haben.

Die IT Sicherheitsbedrohungen im Detail

IT-Sicherheitsbedrohungen, können von aussen, als Angriffe, als auch von innerhalb der Organisation kommen. Sie können Fremdsoftware als auch selbst-entwickelte Softwarelösungen mit einbeziehen. Beachten Sie, dass der Begriff “Cyber-Angriff” (Cyber Attack) eher den direkten, gezielten Angriffe auf eine Organisation von aussen bezeichnet und eher im militärischen Jargon verwendet wird. Hier betrachten wir die einzelnen Bedrohungen und erwähnen die gegen Sie wirksamen Massnahmen. Diese werden anschliessend im nächsten Abschnitt erklärt.

Exploits

Mit einem Exploit ist das Ausnutzen einer bereits vorhandenen Sicherheitslücke in einem Anwendungsprogramm oder Betriebssystem gemeint. 

Im Falle von selbstentwickelter Software ist man für das Entdecken und Schliessen von Sicherheitslücken selbst verantwortlich. Hier hilft rigides Testen. Noch besser ist es jedoch, wenn man, mit guter Planung, Entwicklungsdisziplin und den Einsatz von Best Practices, das Auftreten von Sicherheitslücken von vornherein vermeidet.

Wenn man als Entwickler Frameworks nutzt, dann sollte man auf die Kommunikation des Herstellers achten und diese Softwarekomponenten ebenfalls auf dem neuesten Stand halten.

Hacker Angriffe

Der Klassiker, dessen Darstellung in Film und Fernsehen sehr beliebt ist. Hier verschaffen sich eine oder mehrere Personen aktiv den Zugang zu den IT Systemen einer organisation. Heutzutage werden solch manuelle, direkte Angriffe eher selten ausgeführt, da diese einfacher auf den Ausgangsrechner zurückverfolgt werden können.

Computerviren, Malware und Ransomware

Im Gegensatz zu einem Hacker-Angriff übernimmt hier ein Computerprogramm die Arbeit. Die Schadsoftware wird entweder heimlich in das IT System eingeschleust, oder, als vermeintlich harmlose Dateien getarnt, von nichts ahnenden Nutzern auf das System kopiert, beziehungsweise heruntergeladen.

Einmal auf dem System kann die Software die auf diesem gespeicherten Daten löschen (Viren), diese für den Nutzer blockieren und erst gegen Bezahlung freigeben (Ransomware) oder sie an Dritte weiterleiten (Datendiebstahl mittels Malware).

Auch Viren können sich Exploits zu Nutze machen. Ein Virus ist auch in der Lage, sich innerhalb des Netzwerkes zu verbreiten.

Social Engineering

IT Sicherheitsbedrohungen ganz ohne IT. Hier spielen die Manipulation und die Psychologie die Hauptrollen, nämlich wenn Mitglieder der Organisation zur Herausgabe von Zugangsdaten oder anderen am Ende der IT schädlichen Aktionen bewegt werden.

Es gab schon Fälle, in denen ein IT Admin des Nachts von einem vermeintlichen Geschäftsführer oder Manager angerufen wurde, der dann dringend am Telefon sein E-Mail-Passwort zurückgesetzt haben wollte. Am nächsten Tag wunderte sich dann der echte Geschäftsführer, dass jemand mithilfe seines E-Mail-Accounts seine diversen Online-Konten mit neuen Passwörtern versehen hatte…

Gegen einen solchen Angriff hilft die Sensibilisierung aller Mitglieder der Organisation, besonders die, die selbst den geringsten Zugang zu einem IT System besitzen.

Phishing

Bei einem Phishing-Angriff wird per email-gestütztem Social Engineering versucht, an vertrauliche Daten, beispielsweise Passwörter oder Daten, zu kommen. Wie beim Social Engineering helfen hier die Sensibilisierung der Nutzer, die Implementierung von Zwei-Faktor-Authentifizierung sowie wirksame Spam-Filter.

Denial-of-Service Angriffe

IT Systeme, welche über Netzwerke kommunizieren, sind anfällig für Denial-of-Service Angriffe. Ein socher Angriff überflutet das Zielsystem mit solch einer hohen Anzahl eigentlich harmloser Netzwerk-Anfragen, dass es in die Knie geht und für alle anderen “echten” Anfragen blockiert ist. Dies ist ähnlich der Situation in der die Webseite der Apple Stores beim Erscheinen eines neuen iPhones nicht erreichbar ist, weil der Webserver von den unmengen von Seitenaufrufen durch aufgeregte Apple Fans überlastet ist.

Bei einem Denial-of-Service Angriff zählt die Masse; es müssen gleichzeitig sehr viele anfragende Netzwerk-Pakete das Zielsystem erreichen.

Die Versklavung in einem Botnet oder einer Kryptomine

Um die für einen Denial-of-Service Angriff nötige Kapazität aufzubauen sind viele angreifende Rechner nötig. Anstatt diese zu mieten werden heutzutage Rechner zuerst per Malware gekapert und versklavt. Hier genügt es schon, wenn ein kleines Programm während des laufenden Betriebs die anfragenden Pakete an das Ziel verschickt.

Auf demselben Wege werden Rechner gekapert um nach Kryptowährung zu “schürfen”. Die hierfür nötigen Berechnungen sind sehr rechenintensiv.

Beide Angriffe sind von einer guten IT relativ leicht bemerkbar, nämlich wenn die Netzwerk- oder Rechenaktivität einer Maschine ohne erkennbaren Grund plötzlich in die Höhe schiesst.

Wie kann man die IT Sicherheitsrisiken minimieren?

Wie so oft im Leben gilt hier: Vorsicht ist besser als Nachsicht! Man muss also proaktiv sein, statt nur reaktiv. Es müssen also wirksame Schutzmassnahmen implementiert werden, wobei man natürlich den Kosten-Nutzenfaktor beachten muss. 

Es bedarf also einer IT Sicherheitsstrategie, welche auf die IT Sicherheitsbedrohungen, die man in der nahen Zukunft erwarten kann, eingeht. Hierfür sind Analysen der eigenen IT Landschaft, (inklusive Infrastruktur und aller Mitglieder der Organisation) und deren potenziellen Schwachstellen nötig, sowie der zu speichernden Daten (Datenschutz!), der momentanen Bedrohungslage und möglichen Trends, welche auf die Zukunft weisen.

Das Ergebnis fliesst in eine IT Sicherheitsleitlinie, anhande welcher sich die Organisation orientieren kann. Denn wenn man weiss, welchen Bedrohungen man begegnen muss, dann kann man sich für konkrete Massnahmen entscheiden. Auch Notfallpläne müssen samt den nötigen Prozessen entwickelt und kommuniziert werden.

Sensibilisierung der Mitarbeiter und Kunden

Der menschliche Faktor darf niemals vernachlässigt werden. Die Mitarbeiter, inklusive der Führungskrägte, sowie die Kunden der Organisation müssen sich bewusst sein, wie sie die IT Systeme, mit deren Betrieb und Nutzung sie betraut sind, sicher und mit minimalem Risiko einsetzen. Gleichzeitig müssen Sie in der Lage sein, die Manipulationsversuche des Social Engineerings und des Phishings zu erkennen.

Setzen Sie sichere Software ein

Die vielleicht einfachste Massnahme: Halten Sie Ihre Software aktuell. Installieren Sie vor allem Sicherheitspatches sobald der Hersteller diese verfügbar macht. Und testen Sie selbst-entwickelte Softwarelösungen nicht nur auf Funktion, sondern auch auf Sicherheit.

Endpoint Security und Network Intrusion Detection

Das eigene Netzwerk der Organisation muss bestens geschützt werden. Hier ist die erste Verteidigungslinie eine gute Firewall-Appliance, die richtig konfiguriert wurde. Diese kann sowohl Einbruchsversuche als auch Denial-of-Service Angriffe abwehren.

Nicht nur die eingehenden Datenströme sollten auf verdächtige, dem Angriff dienende Pakete überwacht werden, sondern auch die nach aussen gehenden Pakete müssen auf mögliche Datenlecks hin kontrolliert werden.
Ein System zur Network Intrusion Detection überwacht zusätzlich das Netzwerk selbst auf verdächtige Aktivitäten. Verdächtige Maschinen können dann netzwerktechnisch isoliert und genauer überprüft werden.

Antimalware und Antivirus Lösungen

Antimalware und Antivirus Lösungen greifen gegen Malware, Viren und Ransomware. Hier gibt es einmal dedizierte Appliances als teil der Endpoint Security, also dedizierte Hardware, welche an Endpoints, sprich dem Eingangstor Ihres Netzwerks, angeschlossen werden, um die eingehenden Datenströme zu überwachen. Des weiteren gibt es Lösungen, welche den E-Mailserver überwachen und E-Mails mit verdächtigen Anhängen in Quarantäne schieben. Als letztes gibt es, als letzte Verteidigungslinie, Software, welche auf den Endgeräten läuft.

In diesen Zeiten beispielloser Cyberangriffe sollten Unternehmen ihre Anstrengungen und Ressourcen darauf verwenden, die Sicherheitsrisiken zu minimieren, indem sie entweder einen IT-Berater beauftragen oder die Sicherheitsbedrohungen mit Hilfe geschulter Mitarbeiter bewältigen.

information sicherheit

Verschlüsselungstechnologien

Um die Sicherheit von gespeicherten Daten und Daten, welche übertragen werden, zu garantieren, helfen sichere Verschlüsselungstechnologien. Auch hier gibt es mehrere Ansatzpunkte: 

  • Die Verschlüsselung von Datenströmen durch Network-Appliances (Endpoint Security).
  • Das Verschlüsseln einzelner Dateien auf Rechnern mittels entsprechender Software.
  • Das Verschlüsseln von ganzen Speichermedien in (mobilen) Endgeräten oder NAS Servern.
  • Die Verschlüsslung von E-Mails.

Mobile Device Management

Das mobile Gerätemanagement betrifft die Sicherheit von mobilen Endgeräten, wie Smartphones und Tablets. Neben dem betanken der Geräte mit den nötigen Enterprise Apps ermöglichen solche Lösungen auch das aktivieren von Sicherheitsrichtlinien und das Fernlöschen der Geräte im Falle des Geräteverlustes.

Daten-Backups

Die Sicherung von Daten, besonders kritische, für das Fortlaufen des Betriebs notwendige Daten, sollte regelmässig und in kurzen Abständen durchgeführt werden. Dies schützt nicht nur vor Ausfällen, sondern auch effektiv gegen Virenschäden und Ransomwareangriffen.

Die IT Sicherheitscheckliste für Ihr Unternehmen

  • Haben Sie eine aktuelle Sicherheitsstrategie, die zu Ihrer Organisation passt?
  • Sind Sie selbst, alle anderen Mitarbeiter sowie Ihre Kunden für das Thema IT Sicherheit sensibilisiert?
  • Ist Ihr Netzwerk gegen Einbrüche und Störungsversuche von außen und innen geschützt?
  • Sind alle Ihre (mobilen) Endgeräte mit den richtigen Sicherheitsrichtlinien ausgestattet?
  • Sind Ihre (mobilen) Endgeräte gegen Viren und Malware geschützt?
  • Werden kritische Daten verschlüsselt gespeichert und übertragen? Ist Ihre digitale Kommunikation abgesichert?
  • Haben Sie entsprechende Notfallpläne und -prozesse implementiert?

Die Schweizer IT Sicherheitsstandards

Die Schweizerische Eidgenossenschaft hat den IKT-Minimalstandard verabschiedet. Dieser Standard dient in erster Linie als Empfehlung für die Betreiber von kritischen Infrastrukturen, ist jedoch grundsätzlich für jede Organisation anwendbar.
Als Dokument zusammengefasst bekommt man mit dem Standard IKT Sicherheitstechnische Grundlagen als Nachschlagwerk vermittelt. Desweiteren erhält man einen Massnahmen-Katalog mit den Themen “Identifizieren, Schützen, Detektieren, Reagieren und Wiederherstellen”. Auch ein Leitfaden und Excel-Tool zum Self-Assessment ist enhalten.

Die Wichtigkeit von IT Sicherheitsmanagement Systemen im Unternehmen

Ein IT Sicherheitsmanagement System ist kein technisches System, sondern eine Aufstellung von Regeln und Verfahren, die es einer Organisation ermöglichen, die eigene Informationssicherheit erfolgreich zu implementieren.

Die generellen Ziele und Eigenschaften eines IT Sicherheitsmanagement Systems lassen sich wie folgt definieren:

  1. Das Festlegen der Verantwortlichkeiten und Befugnisse für das Thema IT Sicherheit.
  2. Das Vergeben von erreichbaren und messbaren Zielen, welche verbindlich festgelegt werden.
  3. Das Verabschieden von Sicherheitsrichtlinien, durch welche der sichere Umgang mit der gesamten IT Infrastruktur, sowie den gespeicherten Daten, festgelegt wird.
  4. Bei dem Einstellen und Schulen von Mitarbeitern, sowie der Beendigung von deren Arbeitsverhältnis, müssen die Anforderungen der IT Sicherheit berücksichtigt werden.
  5. Das Wissen in der Organisation, in Bezug auf das Thema IT Sicherheit, muss aktuell gehalten werden.
  6. Die Mitarbeiter der Organisation müssen qualifiziert, ausreichend im Thema IT Sicherheit geschult und für die IT Sicherheitsbedrohungen sensibilisiert sein.
  7. Das angestrebte Niveau der IT Sicherheit muss forlaufend optimiert und an die aktuelle und zukünftige Bedrohungslage angepasst werden. Stichwort Agilität.
  8. Die Organisation ist mit Notfallplänen und -prozessen auf mögliche Vorfälle und Störungen vorbereitet.

Best Practices für gute IT Sicherheit

Viele Best Practices sind eigentlich einleuchtend, jedoch werden sie oft vergessen.

  1. Seien Sie sich den Bedrohungen für die IT Ihrer Organisation bewusst, und sensibilisieren Sie Ihre Mitarbeiter.
  2. Folgen Sie den Empfehlungen des IKT-Minimalstandards (siehe oben) und bauen Sie auf diesem auf.
  3. Führen Sie regelmässig IT Security Assessments Ihrer Organisation und deren IT Landschaft durch.
  4. Entwickeln Sie mit diesem Ergebnis eine IT Sicherheitsstrategie und eine IT Sicherheitsleitlinie, welche auf Ihre Organisation angepasst ist.
  5. Implementieren Sie geeignete Sicherheitsmassnahmen und führen Sie bei (Kosten-)Zweifel eine Kosten-Nutzen-Analyse durch.
  6. Lassen Sie Ihre IT Umgebung von externen Experten mittels Penetration-Testing (Pen-Testing) auf Schwachstellen überprüfen.
  7. Halten Sie Ihre Software aktuell und installieren Sie zeitig Sicherheitspatches.
  8. Achten Sie bei der Entwicklung eigener Software Applikationen auf sicheres Design und sichere Frameworks. Testen Sie Ihre Software ausgiebig, auch auf deren Sicherheit hin.

Welches Web Application Framework kann für eine gute IT Sicherheit empfohlen werden?

Web Applications sind in unserer heutigen IT Welt allgegenwärtig. Da Web Applications lokal nur einen Webbrowser benötigen fallen lokale Installationen komplett weg. Somit sind diese zentralisierten Lösungen entsprechend einfach zu warten, auch aus der Sicht der IT Sicherheit. Vaadin ist eines der besten Beispiele für eine sichere Applikation.

Nichtsdestotrotz muss die Web Application und deren Backend IT sicherheitstechnisch bombensicher sein. Hier muss man schon bei dem Design und der Wahl des Web Application Frameworks ansetzen. In diesem Artikel betrachten wir die IT Sicherheitaspekte gängiger Web Application Frameworks.