Discover millions of ebooks, audiobooks, and so much more with a free trial

Only $11.99/month after trial. Cancel anytime.

sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme
sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme
sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme
Ebook523 pages5 hours

sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme

Rating: 0 out of 5 stars

()

Read preview

About this ebook

Das Problem der fragmentierten IT Sicherheit: Informationssicherheit und deren Normen und Standards (BSI Grundschutz, ISO27001, weitere) sowie IT-Sicherheit (Technik und Betrieb) sollen zukünftig besser verzahnen. Das Buch liefert dazu Vorschläge und bezieht auch Datenschutz und das betriebliche Risiko-Management mit ein.

Ebenso dient das Buch als Überblick zu einsetzbaren Cyber Technologien zur Abwehr von Bedrohungen und zeichnet ein Bild von der Bedrohungslage, sowie bekannte Angriffsmethoden der Cyber Crime.
LanguageDeutsch
Publishertredition
Release dateJan 11, 2023
ISBN9783347829657
sichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme
Author

Tim Cappelmann

Tim Cappelmann arbeitet seit mehr als 20 Jahren in der IT Branche und kennt IT-Organisationen aus der Perspektive eines Beraters, aus der Innensicht, sowie aus der Sicht des IT-Architekten. Neben den Projekterfahrungen aus langjähriger Tätigkeit als Senior Consultant runden kaufmännische Skills das Beraterprofil ab. Nach dem Studium der Informationstechnologie und vielen Jahren in Projekten konnte ein wirtschaftswissenschaftliches Studium den Blickwinkel auf Organisationsaspekte innerhalb der IT erweitern. Heute nutzt der Autor die Methoden und Werkzeuge beider Welten. Unterschiedliche Aspekte der IT (wirtschaftliche Sicht, Controlling Sicht, technische Sicht) kann der Verfasser des Buches miteinander verknüpfen und so Sachverhalte für viele Stakeholder treffend darstellen. Als IT Verbandssachverständiger der DESAG, Enterprise Architekt nach TOGAF und IT Controlling Expert arbeitet Tim Cappelmann mit einem fundierten KnowHow zur Analyse und Optimierung komplexer EDV Architekturen. IT-Governance Einflüssen begegnet der COBIT 2019 zertifizierte Berater mit dem klaren Bekenntnis zum Business-IT-Alignment, welches als Fundament der aktuellen Digitalisierungsbestrebungen gesehen werden kann.

Related to sichere Informationstechnologie

Related ebooks

Security For You

View More

Related articles

Reviews for sichere Informationstechnologie

Rating: 0 out of 5 stars
0 ratings

0 ratings0 reviews

What did you think?

Tap to rate

Review must be at least 10 words

    Book preview

    sichere Informationstechnologie - Tim Cappelmann

    Abbildungen

    Abbildung 1: Sicherheit braucht einen Kontext

    Abbildung 2: Three Lines of Defense Modell

    Abbildung 3: Prinzip der Risiko-Bewertung

    Abbildung 4: Themencluster ISO27001, Anhang A

    Abbildung 5 Bausteinprinzip BSI Grundschutz

    Abbildung 6: CISIS12 Regelkreis

    Abbildung 7: Governance stört Betrieb?

    Abbildung 8: Architekturbild Firewalling (nur Perimeter)

    Abbildung 9: Architekturbild Anti Malware

    Abbildung 10: Architekturbild IDS

    Abbildung 11: Architekturbild Web Proxy

    Abbildung 12: Architekturbild AntiSPAM, MTA

    Abbildung 13: Architekturbild Network Access Control, NAC

    Abbildung 14: SIEM Verarbeitungsstufen

    Abbildung 15: Architekturbild SIEM

    Abbildung 16: Schema Threat Intelligence Platform (TIP)

    Abbildung 17: Architekturbild DDoS Schutz (Hybrid)

    Abbildung 18: Architekturbild Data Loss Prevention, DLP

    Abbildung 19: Security Maturity Level

    Abbildung 20: Risikomanagement in der IT

    Abbildung 21: Sicherheitsorganisation - agil

    Einleitung

    Über die IT-Security sind schon viele Bücher geschrieben worden. Es existieren Ratgeber und Standards, sowie auch Regelwerke und eine Vielzahl von Papers aus der Fachliteratur und Wissenschaft. Es fehlt auch nicht an Studien und Untersuchungen: Behörden, Verbände und Gremien veröffentlichen jährlich aktuelle Lagebilder zur IT Sicherheit. Dabei adressieren diese Publikationen alle Zielgruppen: vom Management bis zum Spezialisten werden alle an der IT-Sicherheit beteiligten Gruppen gezielt angesprochen. Auch die breite Öffentlichkeit wird –nicht zuletzt bei den regelmäßig zu berichtenden Datenpannen- durch Massenmedien mit Themen der IT-Sicherheit konfrontiert. Kaum eine Problemstellung befindet sich derart im Scheinwerferlicht, wie die Aspekte rund um IT-Sicherheit.

    Wieso also noch ein Buch? Das nachfolgende Kapitel erläutert die Motivation für dieses Werk noch im Detail. Nur eines vorweg: die Tatsache, dass sich ein komplexes und zugleich sehr spezialisiertes Thema derart in der Öffentlichkeit befindet, bietet Raum für Spekulationen. Haben wir es hier mit einem unlösbaren Dauerthema zu tun? Ist die komplexe Informationstechnologie vielleicht heute vollkommen außer Kontrolle der Sicherheitsexperten geraten? Oder ist das Thema einfach medial so spannend aufzubereiten, dass die Fachpresse aus wenigen Sicherheitspannen liebend gern ein dramatisches Grundsatzproblem ableitet, welches faktisch gar nicht existiert? Der Autor dieses Buches vertritt die Meinung, dass IT-Sicherheit nach wie vor systematisch vernachlässigt wird und, befördert durch die kurzen Innovationszyklen in der IT, auch weiterhin permanent neue Baustellen hinterlässt. Nach wie vor sieht die Wirtschaft die IT-Sicherheit als Top-Risiko in der allgemeinen Unternehmensführung.¹ Offenbar scheint der immerwährende Wettlauf zwischen Angreifern und Verteidigern der IT-Sicherheit ein niemals endender Marathon zu sein: eine frustrierende Vorstellung, die unweigerlich an das Bild von Sisyphus erinnert. Lässt sich der Kreislauf zwischen Sicherheitslücken und nutzenden Angreifern, sowie verteidigenden Technologien und Administratoren wirklich nicht nachhaltig unterbrechen? Das Buch kommt zu dem Schluss: doch, das geht. Es braucht einen Paradigmenwechsel, wie mit IT-Sicherheit in von IT gestützten Organisationen (also nahezu in allen Organisationen) umzugehen ist. Dabei muss auch kein utopisches Budget für Abwehrmaßnahmen zur Verfügung stehen – eine völlig neu aufgestellte Sicherheitsorganisation würde den teuren Hase und Igel Kreislauf am ehesten unterbrechen.

    Das Buch ordnet zunächst die vielen Strömungen rund um die IT-Sicherheit und der eng damit verknüpften Informationssicherheit ein. Danach wagt es eine Bestandsaufnahme und arbeitet die von der Informationssicherheit heute doch weitestgehend entkoppelte IT-Sicherheit auf. Da Technologien eine gewichtige Rolle spielen, muss das Buch die Basisbausteine der Sicherheitsarchitekturen darstellen und erläutern. Insofern kann das Werk auch durchaus als Nachschlage-Lektüre genutzt werden.

    Nach Überzeugung des Autors wird in Management-Ebenen der Organisationen die IT Security häufiger als lästiges Übel gesehen – und weniger als Wettbewerbsvorteil. Informationssicherheits-Manager mit Mandat der obersten Leitung berichten mehrdeutige Kennzahlen und suggerieren mit Management-Systemen das beruhigende Bild, alles weitestgehend im Griff zu haben. Operativ sieht es hingegen völlig anders aus: überlastete Experten müssen mit vielen Spezialwerkzeugen in komplexen IT Systemen Sicherheit durchsetzen – personell unterbesetzt, bei unzureichender Ausbildung und nicht selten mit unzureichenden Tools. Da erscheinen „blinde Flecken" in der Sensorik nahezu wohltuend – da wo keine Alarme entstehen, ist ja hoffentlich mal alles in Ordnung.

    Abhängig vom Marktumfeld und der Branche, in der eine Organisation agiert, wirken vielfältige Treiber in die Ausgestaltung der IT-Security hinein. Zum einen existieren gesetzliche Grundlagen und manchmal auch marktspezifische, detailliertere Vorgaben des Gesetzgebers. Technologische Trends wirken ebenso, wie die sich ständig verändernden Wertschöpfungsketten. Mit den Digitalisierungs-Bestrebungen und auch der Vernetzung der Supply Chain wird die Sicherheitslage zudem tendenziell unübersichtlicher – mindestens jedoch verstärkt sich die Notwendigkeit, die Security schnell und flexibel bei sich verändernden IT Architekturen an neue Datenströme und Schnittstellen permanent anzupassen.

    Wer zahlt das eigentlich alles? Der Finanzvorstand eines Unternehmens fragt bei allen zu diskutierenden Investitionen gewöhnlich nach dem Return on Invest, dem ROI. Auch wenn Ansätze für die Kalkulation eines Return on Security Invest (ROSI) existieren, so bleiben diese doch immer sehr interpretationsbedürftig und tragen viele Annahmen in sich. Mit Security ist es so eine Sache: vom Charakter her ähneln Investitionen in Sicherheit eher einer klassischen Versicherung. Was wäre denn, wenn es zu keinem Angriff kommt? Könnte man dann die Versicherung nicht einsparen? Schon in der Managementebene, die ja eigentlich die Vorgaben für die operative Ausgestaltung liefert, herrscht ein gehöriges Maß an Unsicherheit. Es ist ein offenes Geheimnis, das IT-Security Budgets am ehesten durchsetzbar sind, wenn Angst die Entscheider begleitet. Angst ist kein guter Ratgeber, aber wieso stehen direkt nach gravierenden Sicherheitsvorfällen große Sonderbudgets für Investitionen bereit, um die doch zuvor zermürbend und jahrelang gerungen wurde?

    Nachdem die Vorgaben und das Budget geregelt sind, stehen die operative IT-Einheiten in der Verantwortung. Doch das Feld der to-Do ist unübersichtlich groß und überfordert die Verantwortlichen der IT Abteilung. Es bleibt so unendlich viel zu tun: es ist das Homeoffice zu sichern, Zero-Day Code abzuwehren, DDoS Angriffe zu unterbinden und Datendiebstahl von Innentätern zu verhindern. Angriffe sollen zuverlässig erkannt werden und wirksame Gegenmaßnahmen bereitstehen. Schnittstellen zu Partnern müssen ebenso wie die eigenen IT Arbeitsplätze im Spannungsfeld zwischen Komfort und Sicherheit balanciert werden. Dass alles natürlich im 24x7 Betrieb und bei begrenzten Budgets. Auch hier gibt es eine beruhigende Flucht in abstrakte Wahrheiten: die 100%ige Sicherheit gibt es ja gar nicht.

    Zuletzt wird das Buch ein Zielbild zeichnen, das die Informationssicherheit und die ITSicherheit miteinander versöhnt. In diesem Zielbild richten sich IT-Security Technologien nach bewerteten Risiken aus. Der IT Arbeitsplatz wird dann nicht mehr so funktionieren, wie es daheim im Konsumer-Bereich zu beobachten ist – aber er wird effizient sein und gleichzeitig sicher.

    Warum dieses Buch

    In der Einleitung kling es bereits an – die Verantwortlichen für IT-Security arbeiten nach Beobachtungen des Autors zu oft entkoppelt von der Einheit der Informationssicherheit. Zwei Lager, die eigentlich Hand in Hand agieren sollten, verstehen einander nicht oder wagen sich jeweils nicht in das andere Spielfeld vor. Dazu finden sich noch weitere Governance Einheiten, die ebenso IT Security Disziplinen bedienen. Diese werden im Laufe des Buches strukturiert bearbeitet, um deren Sichtweise auf die IT-Security ebenso verstehen zu können.

    Viel zu oft lassen sich ausgeklügelte Informationssicherheits-Managementsysteme (ISMS) beobachten, in denen Informationssicherheits-Verantwortliche in einem kontinuierlichen Verbesserungsprozess die Sicherheit vermeintlich auf ein höheres Niveau heben – aber ohne die IT-Security Experten und Technologien hinreichend mit einzubeziehen. Es macht zuweilen den Anschein, dass die „dreckige IT mit ihren vielen widersprüchlichen Systemen von den Governance Verantwortlichen nahezu gemieden wird. Obwohl Firewalls, Virenscanner & Co wertvolle Sicherheitsbausteine darstellen, scheinen sich Informationssicherheits-Manager für diese nicht im Detail zu interessieren. In einer Checklisten-Mentalität fragt der ISMS Auditor die Fachexperten maximal „läuft da ein Virenscanner und aus der bejahenden Antwort entsteht eine weitere Kennzahl zur Verarbeitung im ISMS. Dieser Oberflächlichkeit begegnen Systemspezialisten der IT-Sicherheit nicht selten mit Kopfschütteln.

    Die Systemspezialisten hingegen konfigurieren die IT-Security Technologien der Abwehrmaßnahmen und haben hunderte von Konfigurationsparameter zu pflegen. Für einen simplen Virenscanner können locker fünf Tage Schulung stramm mit Inhalt gefüllt sein. Welche Features zum Nutzen der Organisation parametrisiert werden, entscheidet dann in der Regel der gut geschulte Experte der IT. Fragen nach konkreten Vorgaben und Schwerpunkten der einzusetzenden Sensorik muss sich dieser Mitarbeiter zu oft selbst beantworten. Von der Einheit der Informationssicherheit fühlt sich dieser Experte folgerichtig allein gelassen – denn deren Flughöhe beschäftigt sich nicht mit den vielen durchaus wichtigen Details.

    Bereits die Lehrmeinung zur sinnvollen Reihenfolge der Security Prozesse lässt sich in der betrieblichen Praxis in Frage stellen. Eigentlich gibt das höchste Management den Rahmen des anzustrebenden Sicherheitsniveaus vor, dabei nutzt er die Informationssicherheits-Experten und bestellt einen Beauftragten für die Steuerung der Informationssicherheit. Dieser Beauftragte erarbeitet Vorgaben und implementiert das Regelwerk der Informationssicherheit als Geschäftsanweisungen oder in vergleichbarer, verbindlicher Form. Die operativen Einheiten der IT haben die Vorgaben anschließend umzusetzen und mit geeigneten Technologien und Prozessen zu reagieren. Soweit die Lehrmeinung in stark verdichteter Form. In der Praxis existieren jedoch, getrieben durch die Fachexperten der IT, bereits umfangreiche Sicherheitstechnologien und damit verbundene Sicherheitsprozesse der Betriebsführung. Selbstverständlich sind Firewalls und Schadcodescanner installiert – und dies schon lange, bevor der Informationssicherheitsbeauftragte (ISB) die Vorgaben dazu zu Papier gebracht hat. Mit den neu implementierten Anweisungen des ISB dokumentiert dieser aus Sicht der IT Security Spezialisten zu oft nur noch den längst selbst etablierten Sicherheitsstandard: der ISB erscheint aus Sicht der Experten also wenig hilfreich. Als noch unversöhnlicher lässt sich nur noch der fortwährende Konflikt einer eingesetzten IT-Revision mit den Sicherheitsexperten des IT Betriebes beschreiben.

    Um diese wenig produktive Lagerbildung in einen gemeinsamen Rhythmus zu bringen, sind einige organisatorische Schranken abzubauen. Und genau mit diesen Schranken beschäftigt sich das Buch vorrangig. In seiner Rolle als Berater und Consultant konnte der Autor mit allen Stakeholdern der Cyber Security gleichermaßen arbeiten und die jeweils zu oft unversöhnlich gegeneinander agierenden Teams analysieren. Das Buch kann als Plädoyer für die Neu-Ausrichtung der Sicherheit verstanden werden, bei dem die Perspektiven der Informationssicherheit, IT-Sicherheit, Datenschutz, Risikomanagement, Revision und Controlling zusammenwachsen zu einer neuen Organisationseinheit „Security". Es muss Schluss sein mit der Organisation der IT Abteilung nach Technik-Silos und der damit verbundenen Silogrenzen. IT Sicherheit ist eine Querschnittsfunktion und kann selbst an Zuständigkeitsgrenzen der IT nicht aufhören.

    Zudem müssen die verschiedenen und durchaus hilfreichen Perspektiven auf IT-Sicherheit zusammengebracht werden: Wirtschaftsprüfer, Datenschützer, Juristen, Firewalladmins, ISB und auch der IT-Leiter haben sich an einem gemeinsamen Ziel auszurichten und mit den jeweiligen Expertisen zu diesem beizutragen.

    Das Buch zeichnet dazu abschließend ein Zielbild und markiert die Handlungsfelder, die für eine Transformation der IT-Security Organisation bearbeitet werden müssten.

    Über den Autor

    Tim Cappelmann ist Diplom-Ingenieur (FH) der Informationstechnologie und seit 20 Jahren in der IT-Branche verankert. Er arbeitete als Berater für verschiedene IT-Dienstleister zunächst mit dem Schwerpunkt der IT-Infrastruktur und lernte Unternehmen aller Branchen in der Organisation und IT-Technologiestrategie kennen. Ein berufsbegleitendes MBA - Studium vermittelte Methodenkenntnisse zur Organisation, Planung und Führung. Als verbandsanerkannter IT-Sachverständiger und Gutachter profitiert der Autor von einem im Detail sehr tiefen technischen IT-Wissen, ohne den Gesamtüberblick der Wertschöpfung aus den Augen zu verlieren. Als zertifizierter Enterprise Architekt nach TOGAF, IT Controlling Expert (TUEV) und mit weiteren ITIL-, sowie COBIT-Zertifizierungen, bearbeitet der Verfasser dieses Buches technologische Fragestellungen immer auch unter den Perspektiven der Business-Organisation.

    Als Dozent an einer Fachhochschule ist Tim Cappelmann eingebunden in deren Forschungsprojekte zu aktuellen Fragen der Wirtschaftsinformatik. Der Autor arbeitet in Führungsverantwortung bei einem IT Systemhaus und beschäftigt sich in diesem Aufgabenspektrum nicht zuletzt mit Prozess- und Organisationsfragen zu Kunden in nahezu allen Marktsegmenten.

    Diverse Fachartikel wurden zu verwandten Themen der Informationstechnologie in Fachmedien bereits veröffentlicht, weiterhin tritt der Autor als Referent auf nationalen und internationalen Fachkonferenzen auf.

    Mit dem Fachbuch „IT: über das Unternehmen im Unternehmen publiziert der Verfasser erstmalig 2019 zum Themenkomplex der IT Organisation. Das hier vorliegenden Buch „Security in der IT schließt an das erste Werk an und vertieft die Themen rund um IT Security – auch im Kontext der IT Organisation.

    Aufbau des Buches

    Das Buch zeichnet zunächst ein Bild von den Bedrohungen und Risiken, denen die Daten und Systeme unserer Organisationen ausgesetzt sind. Viele dieser Bedrohungen sind bekannt – aber sollten stets strukturiert erhoben und bewertet werden. Die Kapitel zur Bedrohungslage beantworten auch die Frage, wieso 14jährige Hobby-Hacker heute hochgerüstete IT-Abteilungen mit großen IT-Security Budgets in die Knie zwingen können. Es folgt ein Einblick in den gesetzlichen Rahmen, denn ganz offensichtlich geht es in der IT-Sicherheit auch um justiziable Vorgänge. Die rechtliche Perspektive gliedert das Buch als Teil der Problemstellung – um ein möglichst vollständiges Bild des IST-Zustandes zu beschreiben, den nicht wenige Experten plakativ als laufenden CyberKrieg bezeichnen.

    Nach der Bestandsaufnahme zu den Bedrohungen und handelnden Akteuren stellt der Autor den organisatorischen Rahmen dar, der in nahezu jeder Organisation, ob nun Behörde oder Unternehmung, vorzufinden ist. Viele Organisationseinheiten tangieren die Vorgaben oder Umsetzung von IT Sicherheit und sollen für den Leser kurz mit ihrem individuellen Fokus auf das Thema eingeführt werden. In diesen Kapiteln nimmt naturgemäß der Informationssicherheitsbeauftragte mit seinen Management-Frameworks (ISMS) einen großen Raum ein.

    Was wäre IT-Security ohne Technologie? Neben Firewalls und Virenscanner existieren am Sicherheitsmarkt unfassbar viele Lösungen – die zuweilen noch nach passenden Problemen suchen. Die derzeit relevantesten Technologien stellt das Buch vor.

    Zum Abschluss der Bestandsaufnahme beschäftigt sich ein Kapitel mit den relevantesten Betriebsprozessen, die für den sicheren Betrieb von Informationstechnologie eine Rolle spielen. Die IT Abteilungen sind aufgefordert, bekanntwerdende Sicherheitslöcher schnellstmöglich zu stopfen und mit aktuellster Software zu agieren. Die Spannungsfelder zu den Forderungen nach dokumentiertem Change-Management, vorlaufenden Tests und Qualitätssicherung sollen in diesem Kapitel das Verständnis für die Notwendigkeit wecken, IT Organisationen grundsätzlich neu auszurichten.

    Mit dem Ende der Bestandsaufnahme ist ein Ziel-Bild zu beschreiben. Der Autor zeigt in Form eines Ausblickes eine IT-Sicherheitsorganisation auf, die frei von Doppeltstrukturen ist und Hand-in-Hand alle beteiligten Stellen auf ein nachvollziehbares Ziel ausrichtet. Auch Anregungen zur Technologieauswahl fehlen nicht, denn eine optimale IT-Security verbindet Technologien mit Prozessen und Expertise.

    Insgesamt folgt das Buch einem roten Faden in den fortlaufenden Argumentationen, der Aufbau erlaubt es aber auch, als Nachschlagwerk zu dienen. Die IT-Security verlangt es, nacheinander verschiedene Perspektiven einzunehmen, Methoden zu erkennen und Aufgabenstellungen im Spannungsfeld zwischen Technologie, Organisation und Verantwortung einzuordnen. Daher berührt die Gliederung ein weites Feld – durchaus zu Lasten möglicher detailreicherer Betrachtungen. Das Buch richtet sich damit vorrangig an IT-Leiter (Chief Information Officer, CIO) oder die Verantwortlichen der IT-Security (Chief Information Security Officer, CISO) und Informationssicherheit (Informationssicherheitsbeauftragte, ISB) – und weniger an spezialisierte Experten des IT-Betriebes.

    In diesem Buch wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Weibliche und anderweitige Geschlechteridentitäten werden dabei ausdrücklich mitgemeint, soweit es für die Aussage erforderlich ist.

    ¹ Allianz Global Corporate & Specialty (2021): Allianz Risk Barometer – Identifying the major business risks for 2021

    Von Angreifern, Schadcode und Bedrohungen

    Jeder, der sich seine Schutz-Architektur aufbauen möchte, stellt sich zunächst eine ganz einfache Frage: gegen wen oder was möchte ich mich schützen? Unsere IT Systeme bilden das Fundament der nutzenden Organisation. Zugleich besteht das Fundament aus einer komplexen Systemlandschaft mit einer Vielzahl von Schnittstellen, Aufgaben und Kommunikations-Strömen. Aus Sicht der Effizienz ist nicht die gesamte Systemlandschaft gleichwertig schützenswert, es können Sicherheitszonen mit unterschiedlichen Schutzbedarfen definiert werden. Das spart im Zweifelsfalle Geld, oder erlaubt an angemessenen Stellen mehr Bedienerkomfort ohne lästige Security Einschränkungen. So wird also jeder Funktionsblock der Informationstechnologie betrachtet und die Frage wiederholt: wogegen muss ich mich schützen?

    Im Vorgriff auf das Informationssicherheits-Managementsystem (ISMS), welches das Buch noch vorstellt, lassen sich die dort oft zitierten „Grundwerte der Informationssicherheit als Kompass heranziehen. Die drei Grundwerte „Vertraulichkeit, „Integrität und „Verfügbarkeit könnten mit einer Skala versehen sein und nun jeder Funktionsblock der Systemarchitektur nach diesen drei Dimensionen der Sicherheit bewertet werden. So wird ein Webshop-Betreiber zur Verfügbarkeit seiner Webseite einen anderen Bedarf formulieren, als er dies für sein internes System der Reisekostenabrechnung täte. Ein Krankenhausbetreiber wird die Vertraulichkeit der Patientendaten womöglich höher priorisieren als beispielsweise seine eigenen Personaldaten in der Zeiterfassungs-Software.

    Die Fragestellung nach der Bedrohungslage ist wichtig – denn daran richtet sich im Idealfall die gesamte IT-Sicherheit aus. Das klassische Risikomanagement eines Informationssicherheitsbeauftragten (ISB) sollte den Experten der IT-Sicherheit in der eigenen Organisation eine gezielte Ausrichtung Ihrer Technologien und Konfigurationen ermöglichen. Um als hilfreicher Kompass für die IT Experten tatsächlich nutzbar zu sein, muss die Bedrohungslage zwingend korrekt und vollständig erfasst werden. Dies erfordert Zeit, Gründlichkeit und Interaktion zwischen vielen verschiedenen Disziplinen. Oft genug scheitert hier in der Praxis bereits der Prozess, womit eine wertvolle Chance für vertrauensvolle Zusammenarbeit zwischen ISB und IT-Security Experten vertan wird. Der Vorgang der Risikoerhebung und Bewertung ist definitiv nicht trivial. Aber er bietet eine Möglichkeit, alle beteiligten Stellen einer Organisation „in das Thema zu holen" und auch ein Stück weit in die Verantwortung zu ziehen. Selbstverständlich ist diese Bestandsaufnahme wiederkehrend durchzuführen – denn auch die Bedrohungslage ändert sich permanent.

    Die Komplexität einer geordneten Risiko-Bestandsaufnahme besteht darin, die interdisziplinären Sichten zu ordnen und miteinander zu vereinen. Mit am Tisch sitzen beispielsweise die IT-Experten aus der IT-Architektur, IT-Betrieb, IT-Leitung ebenso wie das Business, vertreten durch das Controlling, die Linien im Organigramm (Vertrieb, Logistik, Produktion, etc.) und auch relevante Governance Einheiten, wie die Revision, Datenschützer, Risikomanagement, usw. Bei einer derart heterogenen Arbeitsgruppe besteht die Kunst darin, eine Zielklarheit herzustellen und Konflikte, die aus unterschiedlichen Sichtweisen herrühren, den Prozess des Aushandelns nicht dominieren zu lassen. Der Gedanke wird zum Schluss des Buches in der Zielbild-Beschreibung noch einmal aufgegriffen werden.

    Wo liegt das Problem?

    Eine Vielzahl von Bedrohungen sind den IT-Experten der Organisation bereits bekannt. Die Priorisierung der dagegenwirkenden Abwehrmaßnahmen müsste zentral gesteuert werden – hier bildet sich ein klassischer Ressourcenkonflikt um begrenzte Budgets aus. Da unsere IT-Organisationen heute weitestgehend noch nach Technik-Silos strukturiert arbeiten (Server-Team, Client-Team, Netzwerk-Team, Datenbank-Team,..), treffen unterschiedliche Sicherheitsthemen auf unterschiedlich hohe Aufmerksamkeiten. Die nachfolgende Aufzählung erhebt keinen Anspruch auf Vollständigkeit und verdeutlicht die enorme Spanne von Bedrohungen, mit denen sich die Technologie-Teams im eigenen Handlungsfeld mehr oder weniger operativ beschäftigen:

    • Client/Endpoint Security (Virenschutz, Schnittstellenschutz)

    • Mobile Device Management (Smartphones & Co.)

    • Server Sicherheit (Berechtigungsmanagement, Schadcodeschutz, Patch-Management)

    • Netzwerksicherheit (Firewalling, Intrusion Detection, Proxydienste, WLAN Security)

    • eMail Sicherheit (AntiSPAM, Sandboxing, Verschlüsselung, Archiv, AntiVirus)

    • Berechtigungsmanagement (Domäne, Antragsprozesse, Löschung & Rezertifizierung)

    • Administrative User (Priviledged Access Management)

    • Datenbanksicherheit (Überwachung, Berechtigungen)

    • Applikationssicherheit (Cross Site Scripting, Script Sicherheit)

    • Schutz vor Innentätern (Data Loss Prevention, DLP)

    • Anomalie-Erkennung, Ransomware (Artificical Intelligence, Machine Learning)

    • Authentifizierung (Multi Factor, PKI, Tokens)

    • Risk & Compliance Management (Verwundbarkeitsmanagement)

    • Industrial und OT Security (Schutz von nicht-IT Geräten, z.B. in der Produktion)

    • Cloud Security (Verschlüsselung von Daten, sichere Identitäten, verhaltensbasierte Technologien)

    Für jedes Team, welches einen Handlungsbedarf zu einem der durchaus validen Bedrohungen anmeldet, entsteht ein Verteilungskonflikt begrenzter IT-Security Budgets. Mit jedem abgelehnten Projekt wird zugleich die Frustration der operativen Einheiten gestärkt, die dann ja ein vorhandenes Risiko nicht adressiert wissen. Abgelehnte IT-Security Projekte erzeugen ohne weitere Erläuterungen zur Gesamt-Sicherheitsstrategie wiederum eine Grund-Ablehnung gegen das vorhandene ISMS oder auch den ISB persönlich. Wieder einmal wird der Eindruck der Experten bestärkt, dass „die da oben" doch keine Kenntnis zu den tatsächlich vorhandenen Sicherheitsproblemen des operativen IT-Betriebes besitzen.

    Sicherheit braucht einen Kontext

    Gegen wen brauchen wir Sicherheit? Was können die Gegner? Wie bereits in der Wunschvorstellung der umfassenden Bedrohungs-Analyse und Bewertung der Schutzbedarfe (vgl. „von Angreifern, Schadcode und Bedrohungen) formuliert, braucht die IT Organisation einen Kompass, eine Ausrichtung der vielfältigen Schutzmaßnahmen auf die relevanten Bedrohungen. Die Wahrnehmung zu „relevanten Bedrohungen bliebe sonst subjektiv und würde von Experte zu Experte unterschiedlich interpretiert. In unübersichtlichen digitalen Szenarien hilft ggf. der Blick in den analogen Raum. Jede Bedrohungslage und jede Abwehrmaßnahme der IT-Security findet sein Pendant in der analogen Welt und wird damit auch für beteiligte Business-Vertreter ohne IT-Expertise gut vermittelbar.

    Die nachfolgende tabellarische Darstellung hilft beispielhaft bei der Zuordnung der Bilder.

    Tabelle 1: Vergleich digitaler und analoger Raum: Schutzmaßnahmen

    Zu jedem analogen Baustein der Organisations-Sicherheit müsste eigentlich ein digitaler Zwilling vorhanden sein. Wenn ein Unternehmen sich beispielsweise einen Pförtner leistet, existiert offenbar eine potentielle Bedrohung durch nicht registrierte Besucher auf dem Gelände oder innerhalb der eigenen Gebäude. Es existieren offenbar schützenswerte Dinge innerhalb der Liegenschaft. Da die Zeiten der heimlichen Fotokopier-Aktionen längst der Vergangenheit angehören, scheint in diesem Beispiel eine Sicherung der Daten gegen unberechtigten Zugriff in der digitalen Welt naheliegend, um ein konsistentes Schutzniveau zur analogen Wirklichkeit zu erreichen.

    Die Vielzahl von Bedrohungen kann in Form von Risikokatalogen erfasst werden. Es helfen die marktüblichen Informationssicherheits-Standards, beispielsweise des Bundesamtes für Informationstechnologie (BSI) oder der ISO (ISO 27001 ff.). So listen die IT-Grundschutzkataloge und das Grundschutz-Kompendium des BSI inklusive Umsetzungs-Vorschlägen, Checklisten und IT-Grundschutz-Profilen schon gut strukturierte Hilfsmittel auf. Diese Standards schlagen Kontrollen vor, die auf eine Vielzahl von Bedrohungen hinweisen und dem Anwender der Standards helfen, in der eigenen Bewertung potentieller Bedrohungen tatsächlich nichts zu vergessen.

    Die nachfolgenden Kapitel beschreiben die prominentesten Bedrohungen zur IT-Security, um dem Leser einen Eindruck von der Vielfältigkeit der Bedrohungslage zu vermitteln. Zunächst widmet sich das Buch den beteiligten Gruppen, die als Bedrohungslage definitiv betrachtet und im eigenen Kontext auch bewertet werden müssen. Im Anschluss vertieft die Darstellung häufig zu beobachtender Attacken das allgemeine Verständnis zur Bedrohungslage. Eine Darstellung der rechtlichen Einordnung von Cyber-Kriminalität rundet das Bild ab und schafft die Grundlagen, technische und organisatorische Abwehrmaßnahmen der IT-Security in später folgenden Kapiteln zu verstehen.

    Hacker

    Die offensichtlich spannendste und damit stark medial beachtete Bedrohungslage ist die der Cyberkriminalität durch agierende Personen. Doch auch diese sog. „Hacker" agieren vollkommen unterschiedlich, je nach Motivation und Fähigkeiten. Es lohnt sich also, diese Bedrohung etwas tiefer zu beleuchten, denn nur nach einem allgemeinen Verständnis von Akteuren lässt sich auch die konkrete Bedrohung für die eigene Organisation ableiten.

    White Hat Hacker: diese Hacker besitzen den Auftrag, Sicherheitslücken zu entdecken und zunächst testweise auszunutzen. Ob in Form bezahlter Penetrations-Tests oder aus eigenem Antrieb: White Hat Hacker finden Lücken in IT-Systemen und erstellen ggf. noch ein Proof-of-Concept für die Nutzung der ermittelten Systemschwächen. Diese Gruppe zeichnet sich dadurch aus, dass die Betreiber verwundbarer IT mindestens eine Information zu entdeckten Schwachstellen erhalten und zugleich die Möglichkeit eingeräumt wird, diese zu beseitigen. Erst wenn keine ernsthafte Bemühung zur Beseitigung der Schwachstellen erkennbar ist, gehen diese Hacker ggf. an die Öffentlichkeit. Dabei verfolgen diese Personen oder auch Gruppen immer das übergeordnete Ziel, die IT allgemein besser abzusichern und Gruppen mit böswilligen Absichten zuvorzukommen.

    Black Hat Hacker: Im Vergleich zu den White Hat Hackern geht man bei den Black Hat Hackern von böswilligen Absichten aus. Diese könnten auf den Diebstahl von Informationen aus sein, wie beispielsweise Kennwörter und Identitäten oder Kreditkarten-Informationen aus Bezahlsystemen. Dabei kann potentiell jede vermeidlich unkritische Information durch Korrelation großes Schadenspotential entfalten. Bei dem Diebstahl ganzer Datenbanken liegt das Potential auf der Hand: Daten können in großem Stil verkauft oder wiederum für sehr erfolgreiche Phishing-Kampagnen genutzt werden. Doch auch einzelne entwendete Daten sind bei genauerem Hinsehen in den falschen Händen bereits als kritisch zu bewerten. Es hilft ein simples Gedankenexperiment, um den Wert entwendeter Daten zu verstehen. Ein einzelnes abgefangenes Kennwort bei einem beliebigen Login eines SaaS Anbieters dient als Einstieg in das Experiment. Mit diesem Login lassen sich mit hoher Wahrscheinlichkeit weitere prominente Dienste nutzen – da Anwender ihre Kennwörter gern mehrfach verwenden. In einem ersten Schritt werden also prominente Plattformen aus Social Media (Facebook, Google Dienste, Instagram, etc.) geprüft, vielleicht funktioniert die Kombination aus Userkennung und Passwort ja auch bei einem dieser Dienste. Die dem User zugehörige eMail Adresse herauszufinden, stellt mit den frei nutzbaren mächtigen Suchmaschinen keine Herausforderung dar. Auch große Webmail Dienste können so leicht mit dem abgefangenen Kennwort und der eMail Adresse auf mögliche Login Berechtigungen geprüft werden. Diese Suche nach nutzbaren Diensten erfolgt softwaregestützt und automatisiert – ein vielversprechender erfolgreicher Login stößt nun die nächste Tür auf. Mit dem Zugang zu Social Media Plattformen oder eMail Diensten lassen sich bei Versandhändlern bereits Waren bestellen oder Kontakte des gebrochenen Accounts unter falscher Identität kontaktieren. Es öffnen sich Türen für die Verbreitung von Schadcode oder die Werkzeuge des social Engineering. Auch hier arbeiten Hacker längst softwaregestützt, automatisiert und effizient in erschreckend guter Qualität. Aus einem einfachen abgefangenen Kennwort ergibt sich nahezu damit fast zwangsläufig ein weites Feld für kriminelle Handlungen. Oft arbeiten Hacker hier arbeitsteilig und spezialisiert. Es existiert im Darkweb ein Marktwert für gestohlene Accounts, je nach Aktualität und Reichweite. So kaufen kriminelle Akteure die gestohlenen Identitäten auf und verkaufen diese auch nach eigener Nutzung weiter.

    Nach dem kurzen gedanklichen Ausflug zum generellen Wert gestohlener Daten sollte das Feld der Black Hat Hacker weiter unterteilt werden in Maßstäben der Fähigkeiten, die Mächtigkeit genutzter Tools und deren Rolle in den Wertschöpfungsketten der Cyber-Kriminalität.

    Ein Black Hat Hacker ist nicht zwangsläufig auf Datendiebstahl fokussiert, sondern arbeitet vielleicht mit der böswilligen Verschlüsselung kritischer Daten – also dem Tatbestand der Erpressung. Weitere Beute-Schemata können die simple Lust an Zerstörung und der eigene Geltungsdrang sein. Ob ein Hacker nun Industriespionage betreibt, oder religiös - ideologisch motiviert ist, er gehört ganz grob zunächst mal in die hier skizzierte Black Hat Kategorie.

    Script Kiddies: die Vokabel setzt sich zusammen aus „Script (also vorgefertigte Angriffstools) und „Kid. Es sind Hacker gemeint, die ohne vertiefendes Knowhow mit dem Einsatz verfügbarer Software oder Webdienste Angriffe gegen gewählte Ziele starten. Die Bedrohung ist real und nicht zu unterschätzen, da die verfügbaren Angriffstools im Internet zum Teil auf mächtige Ressourcen zurückgreifen können. Rechenpower von Botnetzen (feindlich übernommene, ferngesteuerte Rechner) lässt sich im Darkweb und sogar über bekannte Versteigerungs-Plattformen buchen. So steht einer IT Abteilung eines mittelständischen Unternehmens oder einer Organisation nicht nur einem motivierten Teenager gegenüber, sondern zugleich einem komplexen Angriff auf aktuelle Sicherheitslücken – ausgeführt von vielen tausenden Recheninstanzen gleichzeitig. Zu Script Kiddies ist ein weiterer Gedanke wertvoll, um deren Agieren zu verstehen. Die Grenze zwischen einer deutlich erkennbar kriminellen Handlung und einem Ausprobieren von Eingaben an öffentlich erreichbaren Systemen ist gar nicht trennscharf möglich. Wenn eine Organisation eine Web-Plattform betreibt, an der ein Login mit den weltweit bekannten Installationspasswörtern möglich ist – ist der Login dort dann schon Hacking? Juristen finden dazu sicher eine Antwort, in der Wahrnehmung junger Computer-Nerds mag dieser so simple Login aber noch vertretbar sein. Es existieren Unmengen an Sammlungen von Standard-Kennwörtern im Internet: zu VoIP Telefonen,

    Servern, Netzwerkkomponenten, Hypervisor Instanzen und auch Industrial Technologien. Beim Schreiben dieses Kapitels konnte der Autor beispielsweise durch eine simple Kombination von Suchbegriffen mit einer bekannten Suchmaschine Wartungszugänge von Windkraftanlagen im Webbrowser öffnen. Spezialkenntnisse sind für den Zugriff auf derart schlecht gesicherte Anlagen nicht notwendig, es existieren Video Anleitungen dazu auf einem bekannten Video-Portal, womit nahezu jeder junge Mensch mit ausgewachsenem Spieltrieb zum Hacker werden kann.

    Die Handlungen aus der Gruppe der Script Kiddies heraus konnten auch deshalb eine so große Relevanz erreichen, da der weltweite Aktionsradius durch die Internet-Vernetzung einen riesigen Spielplatz geschaffen hat – und zeitgleich die starke Abstraktion zwischen Handlung und Wirkung nur noch eine niedrige Hemmschwelle erzeugt.

    Hacktivists: Das Kunstwort aus „Hacker und „Aktivisten deutet schon in die richtige Richtung. Der Begriff beschreibt Hacker, die aus einer bestimmten Motivation heraus handeln. Als Ziel aller Hacking-Handlungen dienen politische Gegner, Gruppen oder Unternehmen. Getrieben von der eigenen Weltanschauung und in der Regel vernetzt unter Gleichgesinnten, dienen andersdenkende als Ziele. Diese Gruppe stellt eine Bedrohung für Betreiber von Informationstechnologie dar, die im öffentlichen Diskurs oder im Fokus stehen. Unternehmen mit Engagements in militärischer Ausrüstung, Banken, Parteien sollten hier Ihre Risiken bewerten - oder aber auch Hersteller von Medikamenten, emotional aufgeladener Produkte oder Kraftwerksbetreiber. Aufmerksamkeit erregten Hacktivisten beispielsweise 2011, als Kontensperrungen gegen Wikileaks durch Kreditkarten-Dienstleister und Zahlungsabwickler zu enormen Attacken gegen die Webseiten dieser Anbieter führten. Webseiten von Mastercard, Visa und paypal wurden zeitweise in die Knie gezwungen. Der digitale Wutbürger findet hier eine vielbeachtete Bühne – was bei angegriffenen

    Enjoying the preview?
    Page 1 of 1