Enterprise-Sicherheit: 5+5 Tipps für wasserdichten Schutz
Cyberkriminelle können in 93% von Firmennetzwerken eindringen. Und sobald sie einen Weg durch die Netzwerkumgebung gefunden haben, können sie sich in durchschnittlich zwei Tagen Zugriff auf die Netzwerkressourcen verschaffen. Bei dieser Tatsache handelt es sich um das wichtigste – und alarmierendste – Erkenntnis einer kürzlichen Studie von Positive Technologies, einem globalen Anbieter von Sicherheitslösungen auf Enterprise-Niveau im Bereich Schwachstellen- und Compliance-Management.
Um den Stellenwert, den Cybersicherheit für Unternehmen in der postpandemischen Welt einnimmt, noch näher zu beleuchten, wurden Penetrationstests so konzipiert, dass sie von Kunden als kritisch eingestufte Sicherheitsereignisse auslösen: von der Unterbrechung von Technologiesystemen und Geschäftskontinuität bis hin zum Diebstahl von Kapital und sensiblen Informationen.
„Pentester haben die Umsetzbarkeit von 71% dieser inakzeptablen Events bestätigt. Unsere Forscher haben außerdem herausgefunden, dass es einen Kriminellen maximal einen Monat kostet, einen Angriff auszuführen, der zur Auslösung eines inakzeptablen Events führen würde. Und für manche Systeme können Angriffe schon innerhalb weniger Tage entwickelt werden“, sagt Ekaterina Kilyusheva, Head of Research and Analytics des Unternehmens.
Allein diese Schlussfolgerungen sagen bereits viel über den Zustand von Enterprise-Sicherheit im Jahr 2022 aus – aber das ist noch nicht alles.
Gemäß dem Allianz Risk Barometer stehen Cyberrisiken weltweit ganz oben auf der Liste der Sorgen, die Unternehmen haben, und die von Ransomware-Angriffen, Datenschutzverletzungen und schwerwiegenden IT-Ausfällen ausgehenden Gefahren bereiten Führungskräften mehr schlaflose Nächte als Lieferkettenunterbrechungen, Naturkatastrophen oder die Pandemie selbst.
„Ransomware ist für Cyberkriminelle, die ihre Taktiken stets verfeinern, zu einer wichtigen Einnahmequelle geworden. Dies hat die Hürden so weit heruntergeschraubt, dass bereits eine Abonnementgebühr in Höhe von 40 US-Dollar und geringfügiges technisches Know-how für den Einstieg in dieses Geschäft ausreichen“, betont AGCS Head of Cyber Scott Sayce und fügt hinzu, dass zukünftige Angriffe auf Technologielieferketten und kritische Infrastrukturen wahrscheinlich nicht vermieden werden können.
Aber wie können Unternehmen – ob groß oder klein – sich auf diese Risiken vorbereiten? Hier geben wir Ihnen einige Hinweise. Außerdem haben wir fünf Tipps für diejenigen unter Ihnen, die für robustere Cybersicherheitspraktiken in ihrer Firma sorgen möchten, und weitere fünf Tipps für Neulinge auf diesem Gebiet.
IT-Sicherheit auf Enterprise-Ebene vs. traditionelle IT-Sicherheit: der wichtigste Unterschied
Das Wichtigste zuerst: Was ist Enterprise-Security? Darunter verstehen wir die Strategien, Methoden und Protokolle zum Schutz der Daten und IT-Assets eines Unternehmens gegen unbefugten Zugriff, der die Vertraulichkeit, Integrität, Funktionsfähigkeit oder Verfügbarkeit dieser Informationen aufs Spiel setzt. Anstatt die digitalen Assets nur lokal abzusichern, weitet dieser Ansatz den Fokus von traditioneller Cybersicherheit auf den Schutz von Daten während der Übertragung über die verbundenen Netzwerke, Server und Endnutzer hinweg aus, was sowohl On-Premise-Lösungen als auch cloudbasierte Infrastrukturen und Drittanbieter umfasst.
An dieser Stelle sollte auch die rapide zunehmende Anzahl der mit Enterprise-Netzwerken verbundenen Endpunkte Erwähnung finden. In der Vergangenheit haben McKinsey-Analysten darauf hingewiesen, dass die Zahl der Endpunkte in einem großen Firmennetzwerk irgendwo zwischen 50.000 und 500.000 liegt. Da das Internet der Dinge jedoch eine Vielzahl von „Dingen“ verbindet – von Herzschrittmachern bis hin zu ganzen Produktionsanlagen –, hat die Anzahl der Angriffsvektoren für Cybersicherheit nun den Millionenbereich, wenn nicht sogar den zweistelligen Millionenbereich, erreicht. Dies hat zu einem erheblich schwieriger zu verwaltenden Sicherheitsumfeld für Unternehmen geführt.
In der gleichen Studie beklagten 81% der Befragten, dass es ein ständiger Kampf ist, den Hackern einen Schritt voraus zu bleiben, und dass die damit verbundenen Kosten untragbar sind. Im Vergleich zu den 69% der Umfrage im Jahr 2020 stellt dies eine beachtliche Zunahme dar. Der Grund dafür? 32% der Befragten waren im Jahr 2020 Zeuge von erfolgreichen Cyberangriffen und Ransomware-Attacken stiegen im Vergleich zum Vorjahr um sage und schreibe 160% an. Cybersecurity Ventures schätzt, dass die durch Cyberkriminalität verursachten Schäden im Jahr 2021 weltweit 6 Billionen US-Dollar erreicht haben und bis 2025 auf jährlich 10,5 Billionen US-Dollar ansteigen werden. Die Kosten von 2021 gleichen dem Gesamtbudget der USA zur Bekämpfung des Coronavirus.
Das Enterprise-Sicherheitsprogramm: Gute Planung zur Vorbereitung auf alle Cybereventualitäten
Wie können Sie also trotz all dieser variierenden Komponenten sicherstellen, dass alle Sicherheitslücken in Ihrer Organisation gestopft werden?
An dieser Stelle kann eine robuste Enterprise-Sicherheitsarchitektur einen himmelweiten Unterschied ausmachen. Die sogenannte Enterprise Information Security Architecture – kurz EISA – ist ein gründlicher und flächendeckender Aktionsplan, der dafür sorgt, dass die für den Bereich Informationssicherheit zuständigen Verfahren, Systeme und Mitarbeiter einer Organisation gemeinsam am Erreichen der Kernziele für Sicherheit arbeiten. Abhängig davon, worum es sich bei diesen spezifischen Zielen handelt, gibt es verschiedene Frameworks für die Sicherheitsarchitektur, die ausgewählt oder miteinander kombiniert werden können. Zu den gängigsten dieser gehören SABSA, COBIT und TOGAF.
Bei SABSA handelt es sich um ein businessorientiertes Sicherheitsframework, das aus sechs Ebenen besteht (fünf horizontale und eine vertikale) und das einen ganzheitlichen Ansatz für Enterprise-Sicherheit bietet. COBIT wurde von der ISACA entwickelt und legt besonderen Fokus auf die Verfahrensseite von Sicherheit, von Prozess-Inputs und -Outputs, bis hin zu Zielsetzungen und Performancemessung, und richtet IT so bei gleichzeitiger Gewährleistung von Governance auf den Geschäftsbetrieb aus. TOGAF wird von 80% der Dow Jones Global Titans 50 verwendet und hilft Unternehmen, die für sie richtige Architektur zu gestalten und zu evaluieren, während gleichzeitig unnötige Kosten, nicht erforderlicher Zeitaufwand und abhängige Risiken reduziert werden.
Neu auf dem Gebiet der Cybersicherheit? Hier sind fünf Best Practices für Enterprise-Sicherheit
1. Bereiten Sie sich auf alle Eventualitäten vor
Ein Kernelement Ihrer Enterprise-Sicherheitsstrategie besteht darin sicherzustellen, dass Sie über effektive Kontrollmechanismen verfügen, um Ihre digitalen Assets zu schützen. Ebenso wichtig ist es, einen Vorfallsreaktionsplan zu formulieren, falls irgendetwas schiefgeht. Dieser sollte laut dem CRI Details zur Vorbereitung auf einen Vorfall, zur Reaktion auf den Vorfall und zur zügigen Erholung nach dem Vorfall beinhalten, nebst Erwägungen zur Geschäftskontinuität, zu Datenverlusten und zu Back-ups für die Wiederherstellung.
2. Halten Sie Ihre Freunde nahe bei Ihnen, aber Ihre Mitarbeiter noch näher
Die Kette der Enterprise-Cybersicherheit ist nur so stark wie ihr schwächstes Glied – und dieses kann möglicherweise direkt neben Ihnen sitzen. Social-Engineering-Cyberangriffe wie Phishing, Vishing, Smishing, Bedrohungen durch Malware und Pretexting sind nur einige Beispiele für die vielfältigen Betrugstaktiken, denen Ihre Mitarbeiter zum Opfer fallen können. Organisieren Sie regelmäßige Fortbildungssitzungen für Ihr Personal, um sicherzustellen, dass alle bezüglich der Sicherheitsprotokolle und deren Anwendung auf dem neuesten Stand sind.
3. Nehmen Sie Passwörter und Authentifizierungsmaßnahmen ernst
Kompromittierte Anmeldedaten sind das größte Risiko für Enterprise-Netzwerke: Bei 71% der Unternehmen ist dies die Ursache für eine Datenschutzverletzung gewesen. Dies liegt in erster Linie an der Verwendung schwacher Passwörter. Stellen Sie sicher, dass Sie Ihr Passwort alle 90 Tage ändern. Und damit meinen wir nicht, dass Sie von „Passwort1“ zu „Passwort2“ wechseln sollten oder zum Passwort, das Sie für Ihr eBay-Konto (oder irgendeine andere kommerzielle Webseite) nutzen. Fügen Sie Zwei-Faktor-Authentifizierung als zusätzliche Schutzebene hinzu, um Brute-Force-Angriffe abzuwehren.
4. Back-up, Back-up und nochmals Back-up
Ransomware ist momentan auf der Weltbühne der Cyberfeind Nummer eins. Internationale Stafverfolgungsmaßnahmen, Sondereinheiten und Industriekooperationen haben es sich zum Ziel gesetzt, dieses neue florierende Geschäft zum Einsturz zu bringen. Back-ups allein werden Angreifer nicht daran hindern, Ihre Daten zu stehlen und in Geiselhaft zu halten. Dennoch können mehrfache Back-ups geschäftskritischer Informationen dafür sorgen, dass die Auswirkungen eines solchen Angriffs abgefedert werden, da Sie dank der Sicherungskopien den Geschäftsbetrieb schnell wieder aufnehmen und potenzielle Datenverluste verhindern können.
5. Vertrauen ist gut, Verschlüsselung ist besser
Nicht alle Verschlüsselungsmethoden sind ebenbürtig. Verwenden Sie Ende-zu-Ende-Verschlüsselung, um das höchste Level an Enterprise-Datenschutz zu gewährleisten – selbst gegen die ausgefeiltesten Cyberangriffe. Tresorit ist das einzige Cloud Collaboration Tool, das clientseitige Zero-Knowledge-Verschlüsselung über alle Plattformen hinweg bietet, sogar von Webbrowsern aus. Dieses Protokoll garantiert, dass keine Schlüssel, Passwörter, Dateien oder sensible Materialien jemals in unverschlüsseltem oder umkehrbarem Format übertragen werden.
Sie möchten Ihre Enterprise-Cybersicherheit verbessern? Befolgen Sie jetzt diese fünf Schritte
1. Erwägen Sie eine Sicherheitsprüfung
„Es kann eine große Herausforderung darstellen zu wissen, wo genau sich Ihre Sicherheitsschwachstellen befinden – besonders dann, wenn Ihre Mitarbeiter zu einem großen Teil im Homeoffice oder von unterwegs aus arbeiten. Sie können sich nie sicher sein, ob manche Mitarbeiter ihre Passwörter in etwas wie ein Google Doc hochladen und ob das entsprechende Konto sicher ist”, warnt Salvador Ordorica, CEO für The Spanish Group LLC. Eine Sicherheitsprüfung kann Ihnen dabei helfen, Bedrohungen, Vulnerabilitäten und schwache Glieder in Ihren Sicherheitsstrukturen zu identifizieren und diese so nicht nur sicher, sondern quasi undurchdringlich zu machen. Zusätzlich sollten Sie sicherstellen, dass Sie (weiterhin) mit relevanten Sicherheitsframeworks konform sind.
2. Hüten Sie sich vor Angriffen aus den eigenen Rängen
Laut dem Global Cybersecurity Outlook 2022 des Weltwirtschaftsforums gehören Angriffe durch böswillige Insider zu den drei Hauptsorgen für Führungskräfte im Bereich Cybersicherheit. Bei einem böswilligen Insider kann es sich um einen aktuellen oder ehemaligen Mitarbeiter, Auftragnehmer oder Geschäftspartner handeln, der seinen befugten Zugriff auf geschäftskritische Netzwerke, Systeme und Assets vorsätzlich oder versehentlich missbraucht. Wenn Sie Ihre Zugriffs- und Kontrollstrategie planen, sollten Sie das Prinzip der geringsten Rechte (PoLP) befolgen. Das heißt, dass die Zugriffsrechte von Nutzern auf das geringste Maß reduziert werden, das zur Ausführung ihrer Arbeit notwendig ist.
3. Machen Sie sich mit der Cloud vertraut
Das Problem ist nicht, dass CISOs nicht an die Existenz einer sicheren Cloud glauben. Tatsächlich werden in den nächsten drei bis fünf Jahren mehr als zwei Drittel aller Workloads in die Cloud wechseln. Ein Drittel aller Unternehmen wird mehr als 75% des Arbeitsvolumens in ein cloudbasiertes System übertragen. Laut Accentures aktuellem Bericht zum Stand der Cyber Security geben jedoch 32% der Befragten an, dass Sicherheit nicht von Anfang an Bestandteil der Diskussion um die Cloud ist und dass sie diesbezüglich hinterherhinken. Gehen Sie daher auf Nummer sicher und sorgen Sie dafür, dass Sie über eine angemessene Cloud-Governance verfügen, Mitarbeiter bezüglich Cloudsicherheit aufklären und regelmäßige Sicherheitskontrollen ausführen.
4. Thematisieren Sie Enterprise-Sicherheitsmanagement in der Vorstandsetage
84% der Befragten in der Umfrage des Weltwirtschaftsforums gaben an, dass Cyberwiderstandsfähigkeit für ihre Organisation eine Priorität ist und vom Vorstand befürwortet wird – aber nur 68% betrachteten dies als wichtigen Bestandteil des allgemeinen Risikomanagements. Diese Diskrepanz kann Unternehmen leicht für ernsthafte Bedrohungen anfällig machen. Daher sollten Sie dafür sorgen, dass der Vorstand über aktuelle Cybersicherheitsanliegen informiert ist und die Kommunikation auf angemessene Weise und unter Verwendung der korrekten Leistungskennzahlen stattfindet.
5. Behalten Sie Dritte im Auge
Betrachten Sie die von Ihnen genutzten Drittanbieter – ob Cloudanbieter oder andere – als Erweiterung Ihrer eigenen Infrastruktur und stellen Sie sicher, dass die von Ihnen ausgewählten Partner ihren Worten Taten folgen lassen, wenn es um Cyberwiderstandsfähigkeit geht. Bitten Sie Anbieter darum, Fragebögen zur Risikoanalyse auszufüllen und stufen Sie sie auf dem von ihnen ausgehenden Risiko basierend ein. Zusätzlich sollten Sie Kontrollmaßnahmen wie Verschlüsselung, Endpunktdetektion und Weiterbildungen im Bereich Reaktion und Sicherheitsbewusstsein einsetzen, um diese Risiken zu mindern, rät Sicherheitsexpertin Michelle Drolet.