11.05.2016

Cyber-Sicherheits-Check: Achten Sie auf die Sicherheit Ihrer IT?

Achten Sie auf die Sicherheit Ihrer IT? Bestimmt, werden Sie jetzt hoffentlich sagen – vielleicht haben Sie sich dabei sogar an die für den deutschsprachigen Raum vorbildlichen Empfehlungen des bundesdeutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) gehalten. Vor allem dessen IT-Grundschutz-Katalog erfreut sich hoher Popularität.

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

Cyber-Sicherheits-Check

BSI Leitfaden

Allerdings hapert es zum Einen oftmals an eher praktischen Empfehlungen – und zum Anderen ist das Studieren, Verstehen und Umsetzen der Vorgaben aus dem IT-Grundschutz-Katalog nicht jedermanns Sache; mal davon abgesehen, dass es oftmals auch an der finanziellen oder personellen Ausstattung dafür fehlt. Nun existiert mit dem Cyber-Sicherheits-Check des BSI seit einiger Zeit ein Leitfaden, der stark an der Praxis orientiert ist und IT-Verantwortlichen, Administratoren und IT-Sicherheitsbeauftragten die Arbeit erleichtert.

Gestiegene weltweite Bedrohung – Bedrohung Ihres Netzwerks

Nicht nur gefühlt hat die weltweite Bedrohung der IT-Sicherheit in letzter Zeit zugenommen – wobei vor allem einige spektakuläre, erfolgreiche Angriffe auf Webseiten dieses Bild bestimmt haben. Einer der populärsten Coups von Internet-Hackern war sicher die erfolgreiche Kaperung des Internetauftritts der französischen Sendergruppe TV5Monde. Solche Angriffsziele sind für Hacker natürlich populär, da bei einem «Erfolg» eine «gute Presse» beinahe schon garantiert ist.  

Weshalb kann es trotz eines ständig gestiegenen Aufwands, der für die Sicherheit von IT-Systemen betrieben wird, immer wieder zu solchen und anderen, zwar weniger spektakulären, aber nichtsdestotrotz schwerwiegenden Pannen kommen? Befragt man IT-Experten, lautet die Antwort oftmals, dass, «je mehr internetgestützte Technik zum Einsatz kommt, desto mehr Fläche (…) man für Angriffe aus dem Cyberraum» freigibt, so etwa ein Sprecher des erwähnten BSI (Quelle: t-online.de, siehe Links). Und in der Tat sind heutzutage die Systeme weltweit dermassen miteinander vernetzt, dass es kaum mehr nachvollziehbar ist, aus welcher – geografisch gesehen – hinterletzten Ecke des Internets ein Hacker versucht, auf die in Ihrem lokalen Netzwerk verborgenen Interna zuzugreifen.  

Die guten wie leider auch bösen Bewegungen im weltweiten Internet werden nicht nur immer schneller – zudem werden die Internetanbindungen immer leistungsfähiger. Mehr Bandbreite erfreut nicht nur den Ingenieur, der seine Konstruktionszeichnungen per PDF verschickt, sondern eventuell auch den Hacker, der sich genau diese Zeichnungen unbefugter Weise aneignen möchte. Und wenn sich der Privatanwender begeistert zeigt, dass seine DSL-Leitung zuhause das Herunterladen diverser Unterhaltungsmedien erleichtert und beschleunigt, so hat der Cyber-Angreifer daran ebenso Freude – nur unter anderen Vorzeichen.  

Dass unsere Welt also beinahe durchgängig vernetzt und IT-gestützt ist, machen sich die bösen Buben (und Damen) der virtuellen Unterwelt zunutze. Vermutlich landen die Angreifer früher oder später auch in Ihrem Unternehmens-Netzwerk – entweder durch einen Angriff von Aussen oder von Innen heraus. Das Thema Social Engineering, was hier eines der wichtigsten Angriffsszenarien darstellt, haben wir auf Weka.ch ja bereits öfters und ausgiebig behandelt, ebenso wie Bedrohungen der IT-Sicherheit durch eingeschleppte Schadsoftware, vergessene Updates oder mangelhaft implementierte Abwehrtechniken wie Anti-Virenprogramme und ähnliches.  

Und dass diese Schilderungen keine unbegründeten Schreckens-Szenarien sind, beweist ein Blick in die Statistik: So hat sich in der vergangenen Dekade die Zahl der gemeldeten Software-Sicherheitslücken weltweit tatsächlich wieder stark erhöht. Nach einer wissenschaftlichen Analyse des bundesdeutschen Hasso-Plattner-Instituts (HPI) waren Ende 2014 gut 6500 Schwachstellen veröffentlicht, womit der Wert im 15-Jahresvergleich nur knapp unter den Höchstständen aus den Jahren 2006 und 2008 liegt: Seinerzeit hatte es immerhin 7000 veröffentliche Hinweise auf die sogenannten «Vulnerabilities» gegeben. Wie das HPI auf der CeBIT in Hannover mitteilte, nahmen vor allem die mittelschweren Software-Schwachstellen deutlich zu und erreichten 2014 ihren absoluten Höchststand (zit. n. www.presseportal.de, siehe Links) – es ist also nicht nur ein gefühltes Unbehagen angesichts spektakulärer Webseiten-Hacks. Die Bedrohungen Ihrer IT kommen nicht als surrealer Cyber-War aus dem Nichts, sondern zielen als reale Gefahr genau auf Ihren «Cyber-Raum». Um diesen Cyber-Angriffen wirksam zu begegnen, ist laut BSI nicht nur «eine intensive Kooperation von Staat, Wirtschaft und Verbänden erforderlich. Es gilt, vorhandenes Wissen zu bündeln, um angesichts neuer Angriffsszenarien vorbereitet zu sein»  

Und weiter heisst es dort, dass es «inzwischen jedem IT-Anwender bewusst» ist, «dass Angriffe auf IT-Systeme tatsächlich stattfinden und auch vermeintlich weniger attraktive Ziele in den Fokus von Angreifern geraten. Daher sollten besonders professionelle Anwender, die mit vernetzten IT-Systemen arbeiten, neben den selbstverständlich gewordenen Absicherungsmassnahmen auch IT-Sicherheitstests durchführen, die darauf spezialisiert sind, Angriffsmöglichkeiten zu entdecken» (zit. n. ebd.).  

Das ist jetzt gut gesagt – aber wie es umsetzen? Der klassische KMU-Administrator hat oftmals kaum Zeit, die Alltagsaufgaben zu bewältigen. Und da kein Nutzer es lange hinnehmen würde, wenn sein Monitor oder der Drucker ausfällt, stehen solche Aufgaben naturgemäss mit oberster Priorität auf der To-Do-Liste. Die essentiell wichtigen Sicherheitsmassnahmen hingegen – Updates, Sicherheits-Checks, Logbeobachtung usw. – sind geduldig und bleiben dann zu oft auf der Strecke.

Cyber-Sicherheits-Check effektiviert Sicherheitsprüfung

Wie lässt sich dieses Dilemma lösen, wenn weder der Arbeitstag des IT-Personals beliebig ausgeweitet noch externer Support zugekauft werden kann oder soll? Genau an dieser Stelle greift das Werkzeug des Cyber-Sicherheits-Checks.

Der Cyber-Sicherheits-Check wurde aufgrund von Praxiserfahrungen durch Sicherheitsexperten aus Wirtschaft und Verwaltung entwickelt. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI), welches den Cyber-Sicherheits-Check ausgearbeitet hat und kostenlos zum Download zur Verfügung stellt, soll er als Leitfaden für die Beauftragung von IS-Penetrationstests dienen und Rahmenbedingungen bei der Durchführung erläutern. Er ist also:

  • Ein Praxis-Leitfaden für IS-Penetrationstests
  • Eine praxisorientierte Vorgehensweise zur Beurteilung der Cyber-Sicherheit in Unternehmen und Behörden
  • Ein praxisnaher Handlungsleitfaden mit konkreten Vorgaben und Hinweisen zur Durchführung eines Cyber-Sicherheits-Checks
  • Eine Anleitung und Vorgabe für die anschliessende Berichtserstellung  

Als besonders interessanten Mehrwert stellen BSI und ISACA darüber hinaus eine Zuordnung der zu beurteilenden Massnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO 27001, COBIT, PCI DSS) zur Verfügung.  

Ein IT-Sicherheits-Check erledigt sich anhand des Cyber-Sicherheits-Check-Leitfadens nicht von alleine – das ist klar. Die dazu notwendigen Massnahmen können aber gebündelt und anhand der Vorgaben abgearbeitet und geprüft werden. Gleichgültig, ob ein solcher Check durch qualifiziertes, eigenes Personal oder durch externe Dienstleister durchgeführt wird, sollte er auf Grundlage des Cyber-Sicherheits-Checks erheblich effizienter ablaufen.

Fazit

Der «Cyber-Sicherheits-Check» hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Grundlage eines jeden Cyber-Sicherheits-Checks sind die vom BSI veröffentlichten Basismassnahmen der Cyber-Sicherheit. Der CSC stellt mithin eine praxisorientierte und somit leicht umsetzbare Hilfe zur Selbsthilfe dar. Das BSI bietet darüber hinaus für Interessierte sogar eine Zertifizierung zum Cyber-Security-Practitioner.

Links

www.t-online.de

www.presseportal.de

Wer sich die hier statistisch benannte Verschärfung der IT-Gefahrenlage auch grafisch vor Augen führen möchte, findet eine entsprechende Grafik unter: www.presseportal.de

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 21. November 2019

mehr Infos

Produkt-Empfehlungen

  • QM-System nach ISO 9001:2015

    QM-System nach ISO 9001:2015

    So sorgen Sie für ein effektives Qualitätsmanagement in Ihrem Unternehmen.

    ab CHF 228.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Mein Unternehmen

    Mein Unternehmen

    Was erfolgreiche Firmen anders machen

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 17. Oktober 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Der Datenschutzbeauftragte nach DSGVO (GDPR)

    Die neuen Anforderungen für Schweizer Unternehmen, die unter die DSGVO fallen, erfolgreich umsetzen

    Nächster Termin: 30. Oktober 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 26. September 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos