Cyber-Bedrohungen im Gesundheitswesen: Jede Menge Nachholbedarf

Die 5 Basis-Maßnahmen zum Schutz vor Cyberangriffen und Cyber Bedrohungen

Die 5 Basis-Maßnahmen zum Schutz vor Cyberangriffen und Cyber Bedrohungen Informationssicherheit,IT-Sicherheit 1 Comment

Aktuell meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine erhöhte Wahrscheinlichkeit für Cyber Bedrohungen. Inzwischen sprechen wir sogar schon vom Cyberwar. Grundsätzlich ist jedes Unternehmen verpflichtet, adäquaten Schutz vor Cyberangriffen umzusetzen, egal ob kriegerische Angriffe oder andere Gründe für Cyber Bedrohungen zugrunde liegen.

Wer allerdings jetzt noch unsicher ist, ob das wichtigste berücksichtigt wurde, sollte unbedingt die Basics zum Schutz vor Cyberangriffen umgesetzt haben. Die Hacking Angriffe nehmen stetig zu. Diese Entwicklung zeigen auch die regelmäßigen Berichte des BSI.

Auf den Punkt gebracht: 5 Basics zum Schutz vor Cyberangriffen

Zugriff auf Netze und Systeme steuern

(Offsite) Backup

Schutz vor schädlichem Code

Sicherheitslücken im Blick haben

Mitarbeiterbewusstsein stärken

Was genau versteht man unter Cyber Bedrohungen?

Vielleicht bin ich zu alt, aber der Begriff „Cyber“ hat für mich immer noch einen leicht futuristischen Touch. Eigentlich könnte man anstatt von Cyber Bedrohungen genauso von Bedrohungen der digitalen Infrastruktur sprechen. Das hört sich aber dann nicht so sexy an.

Bedrohung der digitalen Infrastruktur

Wenn man von Angriffen auf die digitale Infrastruktur spricht, kann man sich darunter vielleicht ein klein wenig mehr vorstellen. Egal, welchen Namen man dem Thema gibt – grundsätzlich geht es darum, Schwachstellen auszunutzen mit dem Ziel,

die digitale Infrastruktur des Unternehmens oder der Institution / die kritische Infrastruktur lahmzulegen (Angriff auf die Verfügbarkeit).

Informationen zu erhalten, die wertvoll für den Angreifer sind oder den Geschädigten sind, um Lösegeld zu erpressen (Angriff auf die Vertraulichkeit).

Informationen oder Komponenten bewusst zu verändern und absichtlich falsche Informationen oder Parameter zu setzen, um damit den Betroffenen zu schädigen (Angriff auf die Integrität).

Angriffsszenarien von Hacking Angriffen

An dieser Stelle möchte ich gar nicht zu weit ausholen und nur ein paar klassische Beispiele anführen, wie Angriffe vonstatten gehen können.

In unserer Vorstellung ist der Angreifer irgendwo im Internet und versucht, über Lücken und Schwachstellen in interne Netze zu gelangen. Das gibt es natürlich. Allerdings versuchen die meisten Angreifer, einfachere Wege zu gehen.

Dazu gehört zum Beispiel das klassische Schadprogramm oder der Zugriff auf Konten / Logins über ausgespähte Zugangskennungen.

Ein weiterer Weg ist das Social Engineering – ein Thema, das viel zu wenig ernst genommen wird: Über soziale Interaktionen werden Personen (meist Mitarbeiter) dazu gebracht, etwas zu tun, was sie eigentlich nicht tun sollten (z.B. ihre Zugangskennung weiter geben).

Die 5 wichtigsten Maßnahmen zum Schutz vor Cyber Bedrohungen

Die 5 Basic Tipps zum Schutz vor Cyberangriffen sind ein Mix aus den Empfehlungen des BSI und unserer eigenen Erfahrung. Oft habe ich schon den Satz gehört „There is no security like physical security.“ Ja und nein. Oder es kommt darauf an, würde ich hier sagen. Auch wenn sich die Cyber Bedrohungen im virtuellen Raum abspielen, darf man nicht vergessen, dass ein Angreifer bei Hacking Angriffen den Weg des geringsten Widerstands geht. Sehr häufig führt dieser Weg (das Eintrittstor) über den Benutzer. Daher ist es aus unserer Sicht unerlässlich, auch hier einen der fünf Schwerpunkte zu setzen.

1. Zugriffe auf Netze und Systeme

Netzwerkübergänge

Klar ist für die meisten, dass für den Übergang vom Unternehmensnetzwerk ins Internet eine Firewall sitzen sollte. Dadurch wird sichergestellt, dass nur notwendige Kommunikation zwischen beiden Seiten übertragen werden darf. Eingeschränkt werden sollte (soweit möglich und sinnvoll), wer mit wem (wohin) kommunizieren darf, aber auch, was (welche Protokolle und welche Art von Daten) übertragen werden darf.

Je größer das Netzwerk, umso sinnvoller ist es, auch im Unternehmen verschiedene Netzwerksegmente und Übergänge zu definieren. Das kann beispielsweise die Trennung und Abschirmung vom Produktionsnetzwerk sein. Oder auch ein eigenes Netzwerk für die IT-Administratoren, die vollen Zugriff auf die Server haben. Gerade für dieses Netzwerk der IT-Administratoren sollte man sich gut überlegen, von wo aus ein Zugriff überhaupt möglich sein darf. Damit würde man z.B. schon sicher stellen, dass ein Zugriff vom Produktionsnetzwerk auf das Admin-Netzwerk technisch gar nicht möglich ist und somit das Risiko minimieren.

Zugriffe auf Systeme und Applikationen

Aber nicht nur Netzwerksegmente und deren Zugriff sind eine gute Sache. Je größer das Unternehmen, umso vielfältiger sind die Anwendungen. Egal ob on premise oder in der Cloud. Über den Netzwerktraffic kann man regeln, welche Quellen überhaupt auf welche Applikation zugreifen dürfen.

Über ein Berechtigungskonzept kann man detailliert steuern, welche Rechte die User am System haben dürfen und welche Daten sie einsehen und bearbeiten können. Man spricht gerne vom „Need to know-Prinzip“. Die User dürfen nur die für sie notwendigen Informationen kennen. Ein gutes Berechtigungskonzept basiert auf dieser Vorgabe.

Dass so ein Konzept immer einfach umzusetzen ist, hat niemand behauptet. Trotzdem sollte es für Dateizugriffe und Anwendungen Pflicht sein.

2. (Offsite) Backup

Klar ist, dass ein Backup nicht davor schützt, angegriffen zu werden. Kein Backup zu haben wäre allerdings grob fahrlässig. Es muss ja nicht gleich ein Hacking Angriff sein, es kann auch ein interner Sicherheitsvorfall sein, bei dem die Festplatte einfach das Zeitliche segnet.

Egal warum etwas passiert ist und wieso die Daten weg sind – es muss eine Lösung vorhanden sein, um sie wiederherzustellen.

Wie Ihre Backup-Struktur aussieht, müssen Sie entsprechend Ihrer Anforderungen definieren. Reicht es aus, wenn abends die Daten gesichert werden oder betreiben Sie kritische IT-Systeme, die vielleicht sogar mehrmals täglich ein Backup der Datenbank notwendig machen?

Backup von Cloud Systemen

Klären Sie bei Cloud Systemen, wer für das Backup verantwortlich ist. Ist dies im Cloud Service eingeschlossen oder müssen Sie sich selbst darum kümmern?

Beispiel Cloud-Produkt Microsoft 365: Microsoft 365 wird zwar an manchen Stellen als kritisch eingestuft, dennoch ist es in den Unternehmen weit verbreitet. Allerdings ist dieses Produkt ein Beispiel dafür, dass Cloud-Produkte dem Kunden auch ohne Backup Funktion zur Verfügung gestellt werden.

Microsoft 365 Backup

Viele unserer Kunden verwenden die Cloud-Produkte von Microsoft und fragen sich natürlich, wie ein passendes Backup aussehen könnte. Um hier bestmöglich zu unterstützen, bieten wir einen professionellen Backup-Service für Microsoft 365 von Avepoint an. Bei Interesse an diesem Angebot kontaktieren Sie uns gerne.

Offsite Backup

Backup ist wichtig. Ein zusätzliches oder ausschließliches Offsite Backup gehört genauso dazu. Das heißt, das Backup muss räumlich getrennt liegen. Bei großen Unternehmen kann das auch ein anderer Brandabschnitt sein.

Ein ganz wichtiger Faktor ist die physikalische Trennung. Um Verschlüsselungstrojanern den Zugriff auf das Backup erst gar nicht zu ermöglichen, ist es notwendig, die Verbindung zwischen Backup Medium und den Originalmedien zu trennen.

3. Ausführen von schädlichem Code unterbinden

Klassisch würde man hier vom Virenscanner sprechen, aber der allein ist ja nicht unbedingt die Lösung. Schädlicher Code kann über viele Wege ins Unternehmensnetzwerk gelangen.

Einmal auf den falschen Link geklickt, einmal den falschen Anhang geöffnet oder eine Datei heruntergeladen, die nicht erwünschten Code ausführt – und schon ist es passiert.

Anforderungen an Schadcode-Erkennung sollten natürlich ausführbaren Code berücksichtigen, egal über welchen Weg er ins Netzwerk gelangt. Die Maßnahmen zum Schutz vor Cyberangriffen können aber auch anderweitig unterstützt werden. Je nach Tätigkeit Ihres Unternehmens kann es auch eine gute Lösung sein, bestimmte Dateitypen beim E-Mail Empfang zu blockieren oder grundsätzlich sogar die Ausführung bestimmter Dateitypen zu unterbinden.

4. Sicherheitslücken im Blick

Besser gesagt: Patchmanagement.

Wer kennt ihn nicht, den Spruch „Never change a running system“. Leider lässt sich diese Einstellung so gar nicht mit Patchmanagement vereinbaren. Beim Aktualisieren von Systemen ist der Blick auf den Schutz vor Cyberangriffen wichtig. Nicht jeder Patch des Herstellers schließt gleich eine Sicherheitslücke, über die Angreifer das System kompromittieren können.

Daher macht es Sinn, Sicherheitsupdates und funktionale Patches getrennt zu betrachten. Gut ist es, wenn es bei Ihnen feste Zeitfenster für den „Patchday“ gibt. Dies kann der letzte Samstag im Monat sein oder alle drei Monate am Freitag nach Arbeitsende. Ganz egal. Definieren Sie, welcher Patch-Rhythmus für Ihr Unternehmen am besten passt und setzen Sie ihn um.

Unabhängig davon müssen Sie bei Sicherheitsupdates und noch dazu bei kritischen Sicherheitsupdates in der Lage sein, schnell zu reagieren.

5. Sensibilisieren der Mitarbeiter

Wir sprechen über Cyber Bedrohungen. Welche Rolle spielt denn hier der Mitarbeiter? Die wichtigste! Das schwächste Glied in der Kette kann das ganze System zu Fall bringen. Warum sollte ein Angreifer den Weg über den Angriff der Firewall wählen, wenn er doch durch geschickte Fragetechniken am Telefon die Zugriffskennung eines berechtigten Mitarbeiters erhält? Ein Angriff wird früher oder später (wahrscheinlich) entdeckt. Die Einwahl von extern mit bekannten Kennungen von Mitarbeitern wird hingegen keine Aufmerksamkeit erwecken.

Daher ist es aus unserer Sicht unerlässlich, den Mitarbeitern zu erklären, warum

sie ein sicheres Passwort verwenden müssen.

sie am Telefon bestimmte Informationen nicht herausgeben dürfen oder über telefonische Anweisungen definierte Handlungen nicht ausführen dürfen.

Phishing Mails nach wie vor eine extrem große Cyber Bedrohung darstellen (Oldies but goodies).

das Verständnis für Datensicherheit extrem wichtig für den Geschäftserfolg ist.

War das alles zum Schutz vor Cyberangriffen?

Diese 5 Maßnahmen machen noch kein sicheres Unternehmen aus Ihrer Institution. Wir geben hier wirklich nur eine Übersicht über die minimalsten Anforderungen, die es aus unserer Sicht umzusetzen gilt. Keine Sicherheit erreicht 100%. Trotzdem ist es wichtig, zu beginnen und sukzessive die Sicherheit im Unternehmen weiter auszubauen. Dabei geht es nicht nur darum, Hacking Angriffe zu vermeiden, sondern auch Sicherheit zu erreichen, falls aus Versehen oder fehlerhaft Vorfälle produziert werden.

Wie kann man noch weitere Sicherheitsmaßnahmen umsetzen?

Das BSI hat in seiner Übersicht noch weitere Maßnahmen zum Schutz vor Cyberangriffen definiert. Das geht aber schon ziemlich weit.

Wenn man vorhat, diesen Weg zu gehen, empfiehlt es sich aus unserer Sicht, in Richtung gesteuerte Informationssicherheit zu denken und diese Richtung einzuschlagen. Schnell ist man dann beim sogenannten Managementsystem für Informationssicherheit und denkt sofort an Zertifizierung etc. Aber das muss alles gar nicht sein. Wichtig bei der gesteuerten Informationssicherheit ist der gesamtheitliche Blick auf das Thema und der risikobasierte Ansatz.

Mehr dazu finden Sie in einem separaten Beitrag hier auf dem Blog.

Wie immer interessiert uns Ihre Meinung

Falls sich unsere fünf Basics nicht mit Ihrer Must-Haves decken: Was würden Sie an dieser Stelle als wichtigste Elemente empfehlen? Schreiben Sie uns doch einen Kommentar.

Diesen Beitrag teilen

So schützen Sie Ihr Unternehmen vor Cyber-Bedrohungen

Diese Sicherheitslösungen helfen Ihnen dabei, Angriffe zu umgehen

Die neunte Ausgabe des ENISA-Berichts über die Bedrohungslandschaft (ETL), die im Oktober 2021 veröffentlicht wurde, enthält eine Liste der wichtigsten Bedrohungen für die Cybersicherheit in der Europäischen Union. Das Internet kennt keine Grenzen, und solche Bedrohungen sind nicht nur in der EU anzutreffen. Es ist jedoch gut, die Trends zu verfolgen und Sicherheitslösungen zu identifizieren, die Unternehmen helfen, diese Bedrohungen zu bekämpfen.

In diesem Blogbeitrag gehen wir auf die einzelnen Bedrohungen ein und zeigen auf, wie DRACOON Ihnen dabei helfen kann, sie zu bewältigen.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels