11.05.2016

Cyber-Sicherheits-Check: Achten Sie auf die Sicherheit Ihrer IT?

Achten Sie auf die Sicherheit Ihrer IT? Bestimmt, werden Sie jetzt hoffentlich sagen – vielleicht haben Sie sich dabei sogar an die für den deutschsprachigen Raum vorbildlichen Empfehlungen des bundesdeutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehalten. Vor allem dessen IT-Grundschutz-Katalog erfreut sich hoher Popularität.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Cyber-Sicherheits-Check

BSI Leitfaden

Allerdings hapert es zum Einen oftmals an eher praktischen Empfehlungen – und zum Anderen ist das Studieren, Verstehen und Umsetzen der Vorgaben aus dem IT-Grundschutz-Katalog nicht jedermanns Sache; mal davon abgesehen, dass es oftmals auch an der finanziellen oder personellen Ausstattung dafür fehlt. Nun existiert mit dem Cyber-Sicherheits-Check des BSI seit einiger Zeit ein Leitfaden, der stark an der Praxis orientiert ist und IT-Verantwortlichen, Administratoren und IT-Sicherheitsbeauftragten die Arbeit erleichtert.

Gestiegene weltweite Bedrohung – Bedrohung Ihres Netzwerks

Nicht nur gefühlt hat die weltweite Bedrohung der IT-Sicherheit in letzter Zeit zugenommen – wobei vor allem einige spektakuläre, erfolgreiche Angriffe auf Webseiten dieses Bild bestimmt haben. Einer der populärsten Coups von Internet-Hackern war sicher die erfolgreiche Kaperung des Internetauftritts der französischen Sendergruppe TV5Monde. Solche Angriffsziele sind für Hacker natürlich populär, da bei einem «Erfolg» eine «gute Presse» beinahe schon garantiert ist.  

Weshalb kann es trotz eines ständig gestiegenen Aufwands, der für die Sicherheit von IT-Systemen betrieben wird, immer wieder zu solchen und anderen, zwar weniger spektakulären, aber nichtsdestotrotz schwerwiegenden Pannen kommen? Befragt man IT-Experten, lautet die Antwort oftmals, dass, «je mehr internetgestützte Technik zum Einsatz kommt, desto mehr Fläche (…) man für Angriffe aus dem Cyberraum» freigibt, so etwa ein Sprecher des erwähnten BSI (Quelle: t-online.de, siehe Links). Und in der Tat sind heutzutage die Systeme weltweit dermassen miteinander vernetzt, dass es kaum mehr nachvollziehbar ist, aus welcher – geografisch gesehen – hinterletzten Ecke des Internets ein Hacker versucht, auf die in Ihrem lokalen Netzwerk verborgenen Interna zuzugreifen.  

Die guten wie leider auch bösen Bewegungen im weltweiten Internet werden nicht nur immer schneller – zudem werden die Internetanbindungen immer leistungsfähiger. Mehr Bandbreite erfreut nicht nur den Ingenieur, der seine Konstruktionszeichnungen per PDF verschickt, sondern eventuell auch den Hacker, der sich genau diese Zeichnungen unbefugter Weise aneignen möchte. Und wenn sich der Privatanwender begeistert zeigt, dass seine DSL-Leitung zuhause das Herunterladen diverser Unterhaltungsmedien erleichtert und beschleunigt, so hat der Cyber-Angreifer daran ebenso Freude – nur unter anderen Vorzeichen.  

Dass unsere Welt also beinahe durchgängig vernetzt und IT-gestützt ist, machen sich die bösen Buben (und Damen) der virtuellen Unterwelt zunutze. Vermutlich landen die Angreifer früher oder später auch in Ihrem Unternehmens-Netzwerk – entweder durch einen Angriff von Aussen oder von Innen heraus. Das Thema Social Engineering, was hier eines der wichtigsten Angriffsszenarien darstellt, haben wir auf Weka.ch ja bereits öfters und ausgiebig behandelt, ebenso wie Bedrohungen der IT-Sicherheit durch eingeschleppte Schadsoftware, vergessene Updates oder mangelhaft implementierte Abwehrtechniken wie Anti-Virenprogramme und ähnliches.  

Und dass diese Schilderungen keine unbegründeten Schreckens-Szenarien sind, beweist ein Blick in die Statistik: So hat sich in der vergangenen Dekade die Zahl der gemeldeten Software-Sicherheitslücken weltweit tatsächlich wieder stark erhöht. Nach einer wissenschaftlichen Analyse des bundesdeutschen Hasso-Plattner-Instituts (HPI) waren Ende 2014 gut 6500 Schwachstellen veröffentlicht, womit der Wert im 15-Jahresvergleich nur knapp unter den Höchstständen aus den Jahren 2006 und 2008 liegt: Seinerzeit hatte es immerhin 7000 veröffentliche Hinweise auf die sogenannten «Vulnerabilities» gegeben. Wie das HPI auf der CeBIT in Hannover mitteilte, nahmen vor allem die mittelschweren Software-Schwachstellen deutlich zu und erreichten 2014 ihren absoluten Höchststand (zit. n. www.presseportal.de, siehe Links) – es ist also nicht nur ein gefühltes Unbehagen angesichts spektakulärer Webseiten-Hacks. Die Bedrohungen Ihrer IT kommen nicht als surrealer Cyber-War aus dem Nichts, sondern zielen als reale Gefahr genau auf Ihren «Cyber-Raum». Um diesen Cyber-Angriffen wirksam zu begegnen, ist laut BSI nicht nur «eine intensive Kooperation von Staat, Wirtschaft und Verbänden erforderlich. Es gilt, vorhandenes Wissen zu bündeln, um angesichts neuer Angriffsszenarien vorbereitet zu sein» (Quelle: www.allianz-fuer-cybersicherheit.de/, siehe Links).  

Und weiter heisst es dort, dass es «inzwischen jedem IT-Anwender bewusst» ist, «dass Angriffe auf IT-Systeme tatsächlich stattfinden und auch vermeintlich weniger attraktive Ziele in den Fokus von Angreifern geraten. Daher sollten besonders professionelle Anwender, die mit vernetzten IT-Systemen arbeiten, neben den selbstverständlich gewordenen Absicherungsmassnahmen auch IT-Sicherheitstests durchführen, die darauf spezialisiert sind, Angriffsmöglichkeiten zu entdecken» (zit. n. ebd.).  

Das ist jetzt gut gesagt – aber wie es umsetzen? Der klassische KMU-Administrator hat oftmals kaum Zeit, die Alltagsaufgaben zu bewältigen. Und da kein Nutzer es lange hinnehmen würde, wenn sein Monitor oder der Drucker ausfällt, stehen solche Aufgaben naturgemäss mit oberster Priorität auf der To-Do-Liste. Die essentiell wichtigen Sicherheitsmassnahmen hingegen – Updates, Sicherheits-Checks, Logbeobachtung usw. – sind geduldig und bleiben dann zu oft auf der Strecke.

Cyber-Sicherheits-Check effektiviert Sicherheitsprüfung

Wie lässt sich dieses Dilemma lösen, wenn weder der Arbeitstag des IT-Personals beliebig ausgeweitet noch externer Support zugekauft werden kann oder soll? Genau an dieser Stelle greift das Werkzeug des Cyber-Sicherheits-Checks.

Der Cyber-Sicherheits-Check wurde aufgrund von Praxiserfahrungen durch Sicherheitsexperten aus Wirtschaft und Verwaltung entwickelt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI), welches den Cyber-Sicherheits-Check ausgearbeitet hat und kostenlos zum Download zur Verfügung stellt, soll er als Leitfaden für die Beauftragung von IS-Penetrationstests dienen und Rahmenbedingungen bei der Durchführung erläutern. Er ist also:

  • Ein Praxis-Leitfaden für IS-Penetrationstests
  • Eine praxisorientierte Vorgehensweise zur Beurteilung der Cyber-Sicherheit in Unternehmen und Behörden
  • Ein praxisnaher Handlungsleitfaden mit konkreten Vorgaben und Hinweisen zur Durchführung eines Cyber-Sicherheits-Checks
  • Eine Anleitung und Vorgabe für die anschliessende Berichtserstellung  

Als besonders interessanten Mehrwert stellen BSI und ISACA darüber hinaus eine Zuordnung der zu beurteilenden Massnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS) zur Verfügung.  

Ein IT-Sicherheits-Check erledigt sich anhand des Cyber-Sicherheits-Check-Leitfadens nicht von alleine – das ist klar. Die dazu notwendigen Massnahmen können aber gebündelt und anhand der Vorgaben abgearbeitet und geprüft werden. Gleichgültig, ob ein solcher Check durch qualifiziertes, eigenes Personal oder durch externe Dienstleister durchgeführt wird, sollte er auf Grundlage des Cyber-Sicherheits-Checks erheblich effizienter ablaufen.

Fazit

Der «Cyber-Sicherheits-Check» hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Grundlage eines jeden Cyber-Sicherheits-Checks sind die vom BSI veröffentlichten Basismassnahmen der Cyber-Sicherheit. Der CSC stellt mithin eine praxisorientierte und somit leicht umsetzbare Hilfe zur Selbsthilfe dar. Das BSI bietet darüber hinaus für Interessierte sogar eine Zertifizierung zum Cyber-Security-Practitioner.

Links

www.allianz-fuer-cybersicherheit.de  

www.t-online.de

www.allianz-fuer-cybersicherheit.de

www.presseportal.de

Wer sich die hier statistisch benannte Verschärfung der IT-Gefahrenlage auch grafisch vor Augen führen möchte, findet eine entsprechende Grafik unter: www.presseportal.de

MaLiWi IT

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Moderne Kommunikation in der Arbeitswelt

    Moderne Kommunikation in der Arbeitswelt

    So punkten Sie mit Briefen, Mailings und Facebook

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 05. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos