Risk Management: Wie können IT-Risiken im Mittelstand richtig bewertet werden?

Für den Mittelstand stellen Cyberangriffe eine große Herausforderung dar. Nicht nur inmitten der aktuellen internationalen Spannungen ist es erforderlich, die wichtigsten Schutzmaßnahmen einzuleiten. Doch zahlreiche Firmen unterschätzen das Risiko und haben keine Risikostrategie.
Von   Stefan Rabben   |  Area Sales Director DACH and Eastern Europe   |  WALLIX
16. Mai 2022

Risk Management: Wie können IT-Risiken im Mittelstand richtig bewertet werden?

Für den Mittelstand stellen Cyberangriffe eine große Herausforderung dar. Nicht nur inmitten der aktuellen internationalen Spannungen ist es erforderlich, die wichtigsten Schutzmaßnahmen einzuleiten. Doch zahlreiche Firmen unterschätzen das Risiko und haben keine Risikostrategie.

Der (nicht nur) pandemiebedingte Siegeszug des Online-Handels und die aktuellen Gefahren eines Cyberkrieges werfen einen besonderen Blick auf den Zustand der IT-Systeme in den Unternehmen. Für viele mittelständischen Unternehmen ist E-Commerce in der Pandemie die Chance, neue Einnahmequelle zu erschließen, den Rückgang im klassischen Handel zu kompensieren oder einfach bestehende Einnahmen zu erweitern. Dadurch haben diese Unternehmen, für die der Umgang mit Online-Shops nicht nur ungewohnt war, sondern auch heute noch ständig neue Erfahrungen bietet, neue Angriffsflächen für Angriffe aus dem Internet geschaffen.

Während eine Security-Verletzung bei einem größeren Unternehmen eine hohe Geldstrafe, den Ausfall von Geschäftsprozessen und manchmal auch einen großen Imageschaden verursacht, kann dies für kleinere Unternehmen zur Aufgabe ihrer Geschäftstätigkeit führen. Denn sie haben häufig nicht die wirtschaftlichen Reserven, eine Cyberattacke zu überstehen. Das bestätigt auch eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI): 1 von 4 Cyberattacken haben sehr schwere oder existenzbedrohende Folgen für den Mittelstand.

Wie groß ist das Risiko für den Mittelstand wirklich?

Der Data Breach Investigation Report zeigt, dass inzwischen kleinere Unternehmen bis 1.000 Mitarbeiter bei der Anzahl der verifizierten Sicherheitsverletzungen (1.037) die größeren Unternehmen mit mehr als 1.000 Mitarbeitern (819) deutlich übertreffen.

Daher ist es ratsam für mittelständische Unternehmen, sofort eine Inspektion der Sicherheitsprotokolle, des IT-Risikomanagements und des Sicherheitsequipments vorzunehmen sowie die richtigen Investitionen in die IT-Sicherheit durchzuführen. Ohne diese Inspektionen laufen die Unternehmen blind in die Arme der Angreifer aus dem Internet. Ebenfalls sollten neue Arbeitsrichtlinien eingeführt und geprüft werden, ob es eine schriftlich fixierte Strategie gibt, um mögliche Unterbrechungen des Betriebsablaufs durch Cyberangriffe zu verhindern oder eine schnelle Erholung einzuleiten.

Wie eine effektive Risikostrategie umgesetzt werden kann

1.      IT-Management sollte durchleuchtet werden

Die Grundlage von allem ist es, die Cyberrisiken zu verstehen und herauszufinden, wo genau sich die Stellen mit hohem Risiko im Unternehmen befinden. Denn das ist für die Fortführung des Betriebsabläufe im Krisenfall von entscheidender Bedeutung. Doch leider ist das eine gewaltige und zeitaufwändige Aufgabe. Glücklicherweise stellen industriespezifische nationale Organisationen Vorschriften und Rahmenwerke zur Verfügung. Dazu gehören Regulierungsstandards wie ISO 27001, IEC 62443 und die NIST-Rahmenwerke. Nationale Sicherheitsbehörden wie das BSI stellen ebenfalls Orientierungshilfen zur Verfügung.

Tipp 1: Security-Strategien sollten erläutern, wie sie die Anforderungen der Compliance-Vorgaben erfüllen.

2.      Reduktion der Angriffsoberfläche: Schutz von Benutzerkonten

Die Kontrolle und die Sicherheit von Benutzerkonten stehen ganz oben auf der Liste der IT-Risiken. Einen privilegierten Zugang mit Zugriff auf kritische Anwendungen und Systeme haben beispielsweise häufig externe Dienstleister und interne Administratoren. Diese Konten sind ein bevorzugtes Ziel für Cyber-Attacken (Stichwort Identitätsdiebstahl). Denn mit nur einem Zugang kann ein Angreifer wichtige Daten extrahieren, manipulieren oder verschlüsseln und tiefer in die Infrastruktur und den Betrieb eindringen. Den Schutz privilegierter Konten bieten geeignete Tools.

Tipp 2: Die Zugangsdaten zu kritischen Systemen sollten den Benutzern nicht bekannt sein, sondern stattdessen in einer sicheren „Password Vault“ aufbewahrt und regelmäßig geändert werden. Zur sicheren Benutzer-Authentifizierung existieren Technologien wie die Multi-Faktor-Authentifizierung (MFA). Dank Verwaltung aller privilegierten Konten über eine zentralisierte Lösung ist die MFA ein großer Schritt zu einer soliden Cyber-Sicherheit.

3.      Kritische Systeme sollten zusätzlich geschützt werden

Eine Zusammenarbeit und der Austausch mit hochkritischen Systemen, besonders durch privilegierte Benutzer, – stellt ein sehr hohes Risiko dar. Denn hier kann durch ein vorsätzliches oder unbeabsichtigt fehlerhaftes Handeln ein großer Schaden entstehen. Typische Beispiele sind vollständiger Systemausfall, Infektion mit Schadcode oder Abfluss vertraulicher Daten.

Es sollte sichergestellt sein, dass Interaktionen mit kritischen Systemen die Sicherheitsvorgaben nicht verletzen und lückenlos nachvollziehbar sind. Denn so können manipulative Eingriffe auf die Datenintegrität sofort erfasst, unterbunden und gemeldet werden.

Tipp 3: Anhand von Risikoklassen sollten konkrete Regelwerke und Überwachungssysteme definiert und umgesetzt werden, um den Aktionsrahmen auf kritischen Systemen in Echtzeit kontrollieren und damit auditierbar zu machen 

4.      Wenden Sie das Prinzip der geringsten Privilegien an

Damit Benutzer die Infrastruktur nicht schädigen können, sollten ihnen alle Privilegien auf Benutzer-, Applikations- oder Prozessebene entzogen werden. Diese drastische Maßnahme kann erhebliche Auswirkungen auf die Produktivität der Benutzer haben, wenn die Zugriffsberechtigungen auf wichtige Ressourcen nicht mehr ausreichen. Doch mit den richtigen Sicherheitsmaßnahmen sollte die Produktivität nicht einschränkt sein.

Um Sicherheit und Produktivität in Einklang zu bringen, gilt es, das Prinzip der Privilegien mit der geringsten Notwendigkeit (principle of least privileges) anzuwenden. Basierend auf Benutzer- und Systemprofilen werden nur die Privilegien erteilt, die für die reibungsfreie Arbeit erforderlich sind, ohne Einschränkungen hinnehmen zu müssen. Hier muss im Vorfeld exakt definiert werden, auf welche jeder Benutzer zugreifen darf. Alle anderen Anwendungen, Tools und Daten sind für ihn nicht sichtbar, und damit auch nicht für den Angreifer, falls er doch Zutritt bekommt. Was er nicht sehen kann, kann er nicht angreifen.

Tipp 4: Die Privilegien von Business Applikationen sollten durch gültige, zum Beispiel durch die Personalabteilung in Zusammenarbeit mit der IT erstellte Regelwerke an Benutzer- und Maschinenprofile ausgerollt werden.

5.      Implementieren Sie Zero-Trust als alleingültiges Prinzip

Das Prinzip besagt, dass niemandem, auch nicht den einst privilegierten Benutzern, automatisch vertraut werden darf. Denn selbst Mitarbeiter mit hohen Privilegien können falsche Befehle auf dem falschen kritischen System ausführen. Oftmals können sie gar nichts dafür, denn die Betrügereien mittels ausgeklügelter Phishing -Maßnahmen sind immer schwerer zu entdecken. Es ist leicht, darauf reinzufallen. Darüber hinaus gibt es zudem Mitarbeiter, auch wenn viele Unternehmen das nicht wahrhaben möchten, die sich an der Firma rächen wollen. Diese stellen oft das größte Sicherheitsrisiko dar.

Deswegen gilt grundsätzlich: Benutzer müssen immer sicher identifiziert werden (Nachweis durch starke Authentifizierung) und sich an die Hausordnung halten (konkrete Regelwerke für die jeweilige „Risikoklasse“ des zu schützenden Systems).

Tipp 5: Solche Regelwerke erstellen Unternehmen in zwei Schritten. Sie starten mit der Klassifizierung der kritischen Systeme (zum Beispiel Risikoklasse 0 für extrem hohes Risiko und für eine maximale Einschränkung beim Zugriff darauf). Erst danach erstellen sie die Regelwerke für die jeweiligen Risikoklassen.

Erfolgsgeheimnis: Setzen Sie sich mit dem Risiko auseinander!

Da mittelständische und kleine Unternehmen anfälliger als große Unternehmen für Cyberangriffe sind und die Folgen für diese Unternehmen fatal sein können, ist eine proaktive Investition in eine IT-Risikomanagementstrategie essentiell. Im Zentrum steht dabei der Schutz von privilegierten Benutzern und von privilegierten Zugängen. Ergreifen Unternehmen frühzeitig geeignete Maßnahmen, reduzieren sie deutlich das Risiko einer Gefährdung ihrer Infrastruktur. Deswegen der Aufruf: Beginnen Sie genau jetzt mit der Strategieplanung und setzen sie ein hinreichendes Budget für die Umsetzung ein. Solche Budgets sind letztlich immer geringer als der Schaden, den ein erfolgreicher Angriff verursacht. Am Ende zahlt es sich aus.

Das Cybersicherheit-Softwareunternehmen Wallix ist europäische Spezialist für den Schutz von Zugängen und Identitäten. Die Lösungen von Wallix garantieren die Erkennung von und die Widerstandsfähigkeit gegen Cyberangriffe, und stellen die Geschäftskontinuität sicher.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

27854

share

Artikel teilen

Top Artikel

Ähnliche Artikel