Datenschutzverletzungen nehmen nicht zuletzt durch die wachsende Anzahl an Ransomware-Attacken zu. Datenschutz sollte daher spätestens nach einem Ransomware-Angriff ganz oben auf der Agenda von CISOs, IT-Abteilungen und besonders der Geschäftsführung stehen. Bei der Umsetzung besserer Datenschutzmaßnahmen hilft der Blick auf die CIS Controls 3 v8 des Centers for Internet Security, die seit Mai öffentlich zugänglich sind und inhaltlich auf den CIS Controls 1 und 2 aufbauen. Die Controls orientieren sich in Sachen Datenschutz an bestehenden Gesetzen und Regularien wie der DSGVO.
Neben der Konsolidierung der Schutzmaßnahmen wurden in Version 8 die Schutzmaßnahmen neu geordnet, um sie nach Aktivitäten innerhalb einer Organisation zu gruppieren und nicht danach, wer die Hardware verwaltet. Diese neuen Kategorien, die so genannten Implementierungsgruppen (IGs), reichen von der grundlegenden Cybersicherheit über die Sicherheit komplexer IT-Umgebungen bis hin zu Best Practices für Organisationen, die mit vertraulichen Daten arbeiten. Organisationen können die Schutzmaßnahmen in den IGs übernehmen, die ihrem Risikoprofil und ihren Sicherheitsressourcen entsprechen, und die IGs als Mittel zur Festlegung von Prioritäten bei der Umsetzung nutzen.
Die Sicherheitsvorkehrungen der Implementierungsgruppe 1 befassen sich mit grundlegenden Best Practices der Cyberhygiene und stellen die Mindestsicherheitsstandards dar, die jede Organisation befolgen sollte. Durch die Umsetzung dieser Schutzmaßnahmen in allen 18 Kontrollbereichen können sich Organisationen vor vielen gängigen Arten von Cyberangriffen schützen.
Die Maßnahmen der Implementierungsgruppe 2 bieten eine weitere Schutzebene für große Organisationen mit Abteilungen mit unterschiedlichem Risikoprofil, die über die Ressourcen verfügen, komplexere oder kostspieligere Sicherheitspraktiken zu implementieren.
Für Organisationen, die ein erhöhtes Risikoprofil aufweisen und über das nötige Fachwissen verfügen, um strenge Sicherheitsmaßnahmen zu implementieren, bietet die Implementierungsgruppe 3 Maßnahmen zur Vermeidung oder Verringerung des Schadens, der durch ausgeklügelte Angriffe verursacht wird – die Art von Angriffen, die der Organisation und ihren Klienten oder Kunden und Partnern weitreichenden Schaden zufügen können. Mithilfe von präzisen Schwachstellen-Scans und Echtzeit-Überwachung können Daten gesichert werden.
Implementierung der CIS 3 v8
Um die sensiblen Daten zu verwalten, zu inventarisieren, zu überwachen und zu sichern, müssen IT-Abteilungen zunächst wissen, wo sich die Daten befinden, wohin sie innerhalb und außerhalb der IT-Systeme gelangen und wie sie übertragen werden. Um diese Fragen beantworten zu können, bedarf es einen vollständigen Überblick über alle Geräte, die in den Netzwerken betrieben werden – beauftragte und nicht beauftragte, unterstützte und nicht unterstützte, vor Ort oder in der Cloud, dauerhaft oder vorübergehend. Fernarbeit stellt eine zusätzliche Herausforderung dar, wenn Mitarbeiter über ihre privaten Geräte oder über Arbeitsgeräte, auf denen nicht zugelassene Software installiert ist, auf die Firmennetzwerke zugreifen. Diese Verhaltensweisen können Sicherheitslücken schaffen, die Angreifer ausnutzen können, um Daten zu exfiltrieren, zu beschädigen oder Lösegeld zu fordern.
Eine weitere Herausforderung bei der vollständigen Implementierung der CIS Controls 3 v8 ist die Notwendigkeit der Datenüberwachung in Echtzeit. Wenn es um kritische Daten geht, kann das Unternehmen nicht auf den nächsten geplanten Scan warten, um herauszufinden, wo sich die Daten befinden und wohin sie gehen.
Die Komplexität der heutigen IT-Umgebungen kann aus der Vereinheitlichung und Priorisierung von Sicherheitsinformationen eine Herausforderung machen. Deshalb ist es für Unternehmen wichtig einen zentralen Ort zu haben, an dem die IT-Abteilung alles auf einen Blick sieht und Risikobewertungen vornehmen kann. Am einfachsten ist das über ein Dashboard zu erledigen, in dem alle Geräte und Daten angezeigt werden. Dadurch lassen sich Risikostufen klassifizieren und Maßnahmen zum besseren Schutz von Daten priorisieren sowie Reaktionspläne entwickeln.
Nach der vollständigen Implementierung der CIS Controls 3 v8 erhalten Datenschutzverantwortliche und die IT-Abteilung einen einheitlichen Überblick über alle Geräte, Anwendungen und Datenbewegungen im Unternehmen. Diese umfassende Ansicht kann dabei helfen, eine Vielzahl von datenbezogenen Problemen zu identifizieren, zu priorisieren und anzugehen, einschließlich OT/ICS, medizinischer Geräte und IoT-Sicherheitsprobleme.
Die Armis-Plattform unterstützt die CIS Controls unabhängig davon, ob sich die Daten innerhalb des Netzwerks bewegen oder auf Geräte außerhalb des Netzwerks übertragen werden. Der Sicherheitshersteller zeigt ungewöhnliche Datenbewegungen an und schlägt Alarm, wenn wichtige Daten unverschlüsselt übertragen werden, um den Schutz sensibler Daten zu verbessern, das Risiko der Datenpreisgabe zu verringern und Geldstrafen und Markenschäden zu vermeiden. Die Plattform kann jedes Gerät in der IT-Umgebung identifizieren und verwalten und entsprechende Gefahren wie Datenschutzverstöße anzeigen. Mehr über die Implementierung von Controls 3 und den Rest des CIS-Rahmens für kritische Sicherheitskontrollen erfahren Leser hier: https://www.armis.com/cis-critical-security-controls/
Weitere Artikel
Armis findet neun Schwachstellen in Rohrpost-Software von Swisslog Healthcare
Armis: Sachin Shah wird CTO in Operational Technology and Industrial Control Systems
Sicherheitsforscher von Armis enthüllen Angriffsvektor zur Übernahme von Schneider Electric Industriesteuerungen aus der Ferne
Digitale Transformation im Mittelpunkt der Information Security World 2017