1. „Angreifer investieren viel Zeit, um das Netzwerk und die Geräte besser zu kennen als die Verteidiger. So gewinnen sie“ – so der Leiter der Abteilung Cybersicherheit der NSA heute. Wie kann sich das ändern?“
Angreifer haben nur eine Aufgabe – wenn sie sich Zugang verschaffen können, können sie diesen durch Ransomware oder den Diebstahl von geistigem Eigentum zu Geld machen. Die IT-Teams der Unternehmen müssen alle Abläufe verwalten, den Geschäftsbetrieb aufrechterhalten und versuchen, Innovationen zu entwickeln und das Unternehmen zu unterstützen. Es ist das alte Klischee, dass Angreifer nur einmal erfolgreich sein müssen, während Verteidiger ständig erfolgreich sein müssen.
Allerdings haben IT-Sicherheitsteams mehr Probleme, die Unterstützung zu erhalten, die sie für die erfolgreiche Ausführung ihrer Aufgaben benötigen. Bereiche wie Asset Management und Inventarisierung sind für die Sicherheit unerlässlich, denn was man nicht kennt, kann man auch nicht sichern. Da dies jedoch eine schwierige Aufgabe ist, die im Unternehmen wenig Anerkennung findet, wird sie oft zugunsten neuer, glänzender technischer Projekte vernachlässigt.
-
Gibt es einfache Tipps und Tools, die IT-Teams (außerhalb der Bekämpfung aktueller Vorfälle) nutzen können, um ihre Netzwerke und Geräte besser zu verstehen?
Erstens: Die Bestandsaufnahme zu einer Priorität machen. Das bedeutet nicht nur, dass sich das IT-Team mit diesem Thema befassen muss, sondern auch, dass sich das Unternehmen dafür interessiert. Beispielsweise kann ein Leistungsindikator festgelegt werden, damit die Abteilungsleiter oder Geschäftsführer der Geschäftseinheit neben der IT auch für die Sicherheitsstandards verantwortlich sind. Das zwingt die Leiter der Geschäftsbereiche, sich mit diesem Thema zu befassen und tatsächlich etwas zur Unterstützung dieses Sicherheitsziels zu tun.
Zweitens: Die Sicherheit und das Asset Management müssen richtig angegangen werden. Hierfür stehen Tools zur Verfügung, von kostenlosen Tools, die eine Liste von Assets liefern können, bis hin zu umfassenderen Lösungen für die Verwaltung von Cybersecurity-Assets, die den gesamten Lebenszyklus von Assets unter Sicherheitsaspekten abdecken können.
Drittens: Nicht auf eine punktuelle Bestandsaufnahme verlassen. Jede Lösung, ob kostenlos oder nicht, muss nahezu in Echtzeit auf dem neuesten Stand sein, um sicherzustellen, dass sie so aktuell wie möglich ist. Die von dem Unternehmen erfassten Daten müssen sowohl in die Breite als auch in die Tiefe gehen, denn sie sollten alle vorhandenen Geräte abdecken und Aufschluss darüber geben, welche Anwendungen ausgeführt werden, wer im Unternehmen für diese Dienste verantwortlich ist, ob es sich um ephemere oder Live-Dienste handelt, die in der Cloud aktualisiert oder skaliert werden, usw.
-
Müssen die Unternehmensleiter einfach IT-Mitarbeiter mit einem klareren Verteidigungsauftrag einstellen?
Man muss aufpassen, dass man nicht nach dem Gießkannenprinzip vorgeht und ein Team zusammenstellt, das sich auf ein einziges Ziel oder Talent konzentriert. Es braucht ein vielfältiges Team, um gegen bösartige Akteure bestehen zu können.
Es müssen sich Fähigkeiten angeeignet werden, die nötig sind, um alles über längere Zeit sicher zu halten. Die bestehenden Mitarbeiter können jedoch die Anforderungen erfüllen, wenn sie vom Unternehmen bei der Ausübung ihrer Aufgaben unterstützt werden. Das ist ein umfassenderes Problem, das im Rahmen der Sicherheitsüberlegungen des Unternehmens behandelt werden sollte.
Aus technischer Sicht kann es hilfreich sein, mehr Erfahrung im Bereich der Verteidigung zu erlangen, eine bessere Priorisierung von Schwachstellen vorzunehmen und einen tieferen Einblick in die vorhandenen Assets zu erhalten, wie sie sich im Laufe der Zeit verändern und wie sie auf dem neuesten Stand gehalten werden. Auf diese Weise kann die große Mehrheit der potenziellen Schwachstellen und Sicherheitsverletzungen verhindert werden, da die Angreifer zum nächsten Ziel weiterziehen. Sie automatisieren und greifen nach den niedrig hängenden Früchten wie jeder andere auch.
Die Grundlagen werden oft vergessen, was zu Problemen führt. Es sollte auf einer soliden Grundlage aufgebaut werden.
