Zuletzt bearbeitet vor 4 Jahren
von Claus Schönfelder

IT-Sicherheit-IT-Grundschutz

Business:Logo 27k grau kleiner.PNG
IT Sicherheit IT Grundschutz ISO27000
Wissen Beispiele Impulse Aufgaben

Ausgangssituation

  • 1. Sichere Passwörter: Es ist und bleibt der Klassiker der IT-Sicherheit: das komplexe Passwort. Idealerweise ist es mindestens acht Zeichen lang, enthält sowohl Groß- als auch Kleinschreibung, Ziffern sowie Sonderzeichen. Zudem sollte das Passwort willkürlich gewählt werden und nicht das eigene Geburtsdatum, Name des Haustiers oder Lieblingsfilm sein. Ferner sollte es weder berufliche noch private Bezüge haben.
  • 2. Passwort-Manager: Jeder Online-Dienst, ob E-Mail-Postfach, Online-Shop oder soziale Plattform, alle benötigen ein eigenes Passwort- Für unterschiedliche Dienste sollte man auch unterschiedliche Passwörter nutzen. Eine Abhilfe im Passwort-Chaos bieten Passwort-Manager wie KeePass . Sie generieren komplexe Passwörter und heben diese sicher auf. Um auf alle darin gespeicherten Dienste zugreifen zu können, muss man sich nur ein Gerneralpasswort merken.
  • 3. Mehr-Faktor-Authentifizierung: Oft verwendet beim Online-Banking: die Zwei-Faktor-Authentifizierung. Wenn sie angeboten wird, sollte sie auch genutzt werden. Die erste Sicherheitsstufe bildet das Login-Passwort, im Anschluss erhält man eine TAN per SMS. Nur wenn sowohl das Passwort als auch die TAN stimmen, ist man eingeloggt.
  • 4. Updates: Um Viren und Schadsoftware kein Hintertürchen offen zu halten, sollten regelmäßig Sicherheitsupdates gefahren werden. Idealerweise wird in den Einstellungen der Programme Updates als automatisch eingestellt. Heute, am 14.01.20 wird von Microsoft der Windows 7 und Server 2008 Service eingestellt. Im Linuxumfeld werden täglich Security Patches angeboten und in Sekunden aktiviert.
  • 5. Vorsicht bei dubiosen Anfragen: Mit Köpfchen handeln! Denn Banken und andere Unternehmen bitten ihre Kunden nicht per E-Mail vertrauliche Daten im Netz einzugeben. Mails mit unbekanntem Dateianhang, dubiosen Absendernamen und verdächtige Anfragen in sozialen Netzwerken sollte sofort gelöscht werden.
  • 6. Up-to-date bleiben: Hackerangriffe bleiben oft nicht unentdeckt. Also Ohren auf! Wenn über Sicherheitslücken, Hacks oder ähnliche Vorfälle berichtet wird, sollten Nutzer handeln. Um an Informationen zu kommen, können Nutzer beispielsweise Apps wie das Sicherheitsbarometer von DSIN einsetzen.
Quelle BSI, 27kCloud GmbH cs



Vorbeugende Maßnahmen

Alle Veränderungen dokumentieren
  • Einsatz von ITIL (Standard IT Prozess Beschreibing)
agieren statt reagieren
Quelle BSI, 27kCloud GmbH cs



Klassische Infrastruktur

Breitband LWL

nicht aktuelle:

  1. passive Infrastruktur
  2. aktive Infrastruktur
  3. Windows veraltet (teilweise Win7)
  4. Firewall, Honeypot
  5. IDS, IPS

keine

  1. Prozessunterstützung
  2. IT Digitalisierungs Strategie


Infrastruktur.JPG
Quelle cs@27kcloud.de






Sicherheitsrichtlinie vom BSI

Informationssicherheitsrichtlinie


BSI Logo.JPG

Toolkit der 27kcloud GmbH
ISMS as a Service als Instanz
ITIL Übersicht
Unserer Consulter agieren mit einen ganzheitlichen Ansatz
Quelle BSI, 27kCloud GmbH cs

Richtiges Verhalten bei einem IT-Sicherheitsvorfall

Ein IT-Notfall kann immer geschehen. Wichtig ist nur, dass Unternehmen darauf richtig vorbereitet sind.


Irgendwann trifft es jedes Unternehmen und jede Organisation. Wie man so schön sagt, ist es „nicht die Frage ob, sondern wann“ ein Sicherheitsproblem in der IT zu einem tatsächlichen Vorfall wird. Der richtige Umgang ist entscheidend, ein planvolles Vorgehen unabdingbar. Jedes Unternehmen sollte einen Notfallplan bereithalten. Wir zeigen empfohlene Best Practices, die im Ernstfall weiterhelfen.

Dass die Zahl der Sicherheitsvorfälle steigt, bestätigt auch das BSI in seinen Lageberichten. Das ist umso bedenklicher, wenn man betrachtet, wie viel Zeit und Aufwand mit der Abwehr beziehungsweise der Prävention als Maßnahmen zum Schutz vor Sicherheitsvorfällen betrieben wird. Jedes Unternehmen sollte einen Notfallplan bereithalten. Doch im Folgenden geht es vielmehr um empfohlene Best Practices: was zu tun ist, wenn etwas geschehen ist oder gerade geschieht. Mit dem Ziel, Auswirkungen zu vermeiden, die durch die Beeinträchtigung von Geschäftsfunktionen einen großen Schaden anrichten und die Informationssicherheit erheblich verschlechtern können.

Glücklicherweise gibt es Frameworks, die sich mit diesen Themen befassen – allen voran bei uns in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI), aber auch das National Institute of Standards and Technology (NIST) sowie das SANS Institute haben dazu einiges verfasst. Bei SANS sind im „Incident Handler’s Handbook“ die Abschnitte Identification, Containment, Eradication und Recovery interessant, die entsprechenden Funktionen bei NIST sind Detect, Respond, Recover.



Quelle BSI, 27kCloud GmbH cs

Sofortmaßnahmen

Sobald ein Vorfall bemerkt wird, müssen, im Idealfall durch ein geeignetes Werkzeug wie ein SIEM, Maßnahmen ergriffen werden. Tatsächlich kommt es hier nicht auf Details an, sondern auf Geschwindigkeit. In der IT kennt man generell MTTR („Mean Time to Resolve“), in der Security kommt MTTD noch davor: die „Mean Time to Detect“. Die Sofortmaßnahmen sitzen dazwischen und sind, je nach Situation, dem Notausschalter an einer Industriemaschine gleichzusetzen. Was immer gerade passiert, muss gestoppt werden, und im schlimmsten Fall heißt das „lock-down“: eine komplette Plattform herunterfahren, zumindest jedoch die Kommunikation mit dem Angreifer unterbrechen.

Im Gefahrenfall herrscht oft Unsicherheit, jedoch ermöglicht eine verzögerte Reaktion häufig einen ungewollten Datenabfluss. Schnelles Handeln ist deshalb unerlässlich. Im Anschluss müssen die notwendigen Personen wie der IT-Sicherheitsbeauftragte oder die Geschäftsführung benachrichtigt werden. Eine schnelle Reaktion kann mit Glück sogar bei der Behandlung helfen, bevor tatsächlicher Schaden entstanden ist. Manche Organisationen verfügen über ausreichend Kompetenz und geeignete Werkzeuge wie Echtzeitforensik und Automatismen, bei denen die Sofortmaßnahmen von Software gesteuert sind.




Quelle BSI, 27kCloud GmbH cs

Ursachen finden und Nachforschung betreiben

Nachdem die akute Situation beseitigt und unberechtigter Zugriff unterbunden wurde, steht die Suche nach den Ursachen sowie das Ermessen des entstandenen Schadens an. Die jeweiligen Ergebnisse entscheiden über weitere Schritte.

Einige Fragen, die jetzt helfen, sind:

  1. Wie wurde die Perimeterabsicherung (Firewall) überwunden?
  2. Wurde eine bisher unbekannte Schwachstelle einer Software ausgenutzt?
  3. Gab es in der letzten Zeit Veränderungen in der IT, wie neue Hardware oder Software?
  4. Warum haben alle Präventivmaßnahmen versagt?
  5. Warum hat es Zeitraum X gedauert, bis es bemerkt worden ist?

Ich schlage noch eine weitere, brisante Frage vor:

  1. Hat jemand in der letzten Zeit das Unternehmen „in gegenseitigem Einverständnis“ verlassen?
  2. Haben Sie es mit dem Schadensrisiko Innentäter oder kurzfristig im Unternehmen tätigen Fremdpersonal zu tun, welches über volle physische und virtuelle Zugangsmöglichkeiten zu Räumlichkeiten, Netzwerken und Datenbanken im Unternehmen verfügt und zugleich mit den notwendigen sozialen Kontaktmöglichkeiten ausgestattet sind?

Nachdem die Ursachen identifiziert worden sind, kann der Schaden ermittelt werden. Auf welche Ressourcen wurde zugegriffen? Welche Daten sind nach außen gelangt? Wurden Daten gelöscht? Schwieriger festzustellen, ist, auf welche Daten generell zugegriffen worden ist, und darüber hinaus, ob sie verändert wurden. Wenn nicht vorab ein Werkzeug mit File Integrity Monitoring eingesetzt worden ist, kann man den tatsächlichen Zugriff nicht einwandfrei identifizieren. In Pressemitteilungen liest man dann von „potenziellem Zugriff (auf Millionen von Kundendaten)“.

Im Zweifelsfall ist der Schaden vermutlich größer, als zuerst angenommen. Jeder, der sich mit Security beschäftigt, kennt das Konzept des „honey pots“ zur Entlarvung krimineller Cyber-Aktivitäten, aber auch Angreifer nutzen ähnliche Ideen, um Spuren zu verwischen. Hierbei ist es wichtig zu erwähnen, dass das Nachforschen passiv zu erfolgen hat. Es dürfen zum jetzigen Zeitpunkt keine Veränderungen am Istzustand durchgeführt werden. Mit traditionellen Konzepten 2020 auf der sicheren Seite?




Quelle BSI, 27kCloud GmbH cs

Diskussionen