Top Drei Vorsätze für IT-Sicherheit fürs neue Jahr

Die meisten Leute setzen sich hohe Ziele mit ihren Neujahrsvorsätzen. Wir wollen Kohlenhydrate reduzieren, mehr Sport machen, mehr Zeit mit der Familie und Freunden verbringen oder weniger Alkohol trinken. Drei Wochen später sind die meisten guten Vorsätze wieder dahin.

IT-Sicherheitsexperten sind dafür verantwortlich, die Bösen fernzuhalten und das Risiko von Datenlecks zu minimieren. Auch sie haben gute Vorsätze, die sie nicht immer umsetzen – und dann fragen sie sich: Warum? Ähnlich wie die Verbraucher setzen sie ihre Ziele viel zu hoch an und verfolgen unrealistische Erwartungen. Dazu konzentrieren sie sich noch auf völlig falsche Dinge.

Deshalb ist nicht verwunderlich, dass ich 2017 mehr Datenlecks, mehr Migrationen in die Cloud, gestiegene Nutzung von mobilen Geräten und höhere Ausgaben für Sicherheit vermute. Aber Sie kennen diese Einschätzung sicherlich aus anderen Quellen. Also lassen Sie uns die IT-Sicherheit zuhause und am Arbeitsplatz verbessern. Stellen wir uns den Tatsachen: 2016 war ein herausforderndes Jahr mit vielen große Datenlecks, allen voran der Hack von Yahoo.

Ich habe drei Vorsätze für 2017. Einer bezieht sich auf das Mindset, beim zweiten geht es um die Implementierung von etwas Einfachem zuhause und am Arbeitsplatz. Der dritte ist eine Frage, die Sie Ihrem CIO jeden Monat stellen sollten, solange, bis Sie eine gute Antwort bekommen.

Vorsatz Nr. 1: Mindset – Sicherheit neu denken

1 twitter-banner-DE

Bei diesem Vorsatz geht es um ein neues Denken. Wir alle müssen umdenken, um verschiedenste Bereiche des Lebens erfolgreicher zu meistern. Hier möchte ich dazu einen Anstoß im Bereich IT-Sicherheit und Identitäten geben.

Der Status quo sieht so aus:

  • Ihre Apps sind überall, in Ihrem Rechenzentrum, als SaaS-Apps und als mobile Apps.
  • Auch Ihre Infrastruktur ist überall. Sie umfasst Ihr Rechenzentrum, virtuelle Server und IaaS-Anbieter wie AWS.
  • Ihre Anwender, die auf Ihre Daten zugreifen sind ebenfalls überall: im Büro, unterwegs, Dritte und Partner.

Sie geben viel Geld für IT-Security aus, aber haben Sie irgendjemanden ferngehalten?

Also wo können Sie in diesem weitreichenden Netz miteinander verbundener Elemente anfangen?

Sie könnten mit einer anderen Denkweise anfangen.

Wie? Nun, stellen Sie sich vor, Ihr internes Netzwerk wäre so unsicher wie das Internet. Ich weiß, das ist hart. Es ist, als ob man zuhause die Eingangstür offen lassen würde, wenn man schlafen geht. Doch diese Denkweise zieht gerade bei großen Unternehmen ein.

Ich nenne es ein “Neudenken von Sicherheit”, weil es nicht der klassischen Lehrbuchmeinung entspricht oder den typischen Vergleich „Harte Schale, weicher Kern“ unterstützt.

Die Grundlage dieses Umdenkens ist das “Zero Trust Model” von Forrester. Daran anknüpfend beschreibt die Cloud Security Alliance ihre Software Defined Perimeter Working Group als komplett neuen Ansatz, der Authentifizierung von Endgeräten, identitätsbasierten Zugriff und dynamische Bereitstellung zu einer gemeinsamen Lösung zusammenfügt.

Diese veränderte Denkweise führt dazu, dass Sie Ihrem Netzwerk nicht mehr vertrauen können. Wenn Sie diesem Paradigmenwechsel folgen und ihr „früher sicheres“ internes Netzwerk nicht mehr als sicher betrachten, denken Sie anders. Sie werden Verantwortung für ihre Sicherheitsstrategie übernehmen und bessere Verteidigungsmaßnahmen implementieren. Diese werden darauf basieren, Ihr Unternehmen mit Identity & Access Management (IAM) zu sichern – mit Technologien wie Zweifaktor-Authentifizierung (2FA), Single Sign-On (SSO), Lifecycle-Management, Privilege Account Management (PAM) und Audits, sowie einen Maturity Path (siehe Bild unten).

NewYears_Picture2-768x435

Vorsatz Nr. 2: Handeln Sie jetzt und machen Sie 2017 zum Jahr von Zweifaktor-Authentifizierung

Bei diesem Vorsatz geht es um die Implementierung.

NewYears_Picture3-562x620

63% aller Datenlecks gehen auf kompromittierte Zugangsdaten zurück. Eine Analyse nach der anderen weist auf Sicherheitslücken durch Zugangsdaten hin. Es gibt starke Argumente, auf Passwörter zu verzichten. Bald werden Angestellte fragen, warum die Sicherheitsmaßnahmen von Webseiten für Verbraucher wie Amazon, Facebook und Gmail besser sind als die im Büro. All diese Unternehmen wollen Zweifaktor-Authentifizierung einführen. Wenn sich 2FA auf Verbraucherseite immer mehr ausbreitet, werden CIOs bald erklären müssen, warum 2FA nicht in ihren Unternehmen umgesetzt wird.

Die Argumente gegen die Technologie – zu komplex, Angestellte wäre dagegen –  basieren alle auf veraltetem Denken. Die heutigen Lösungen sind einfach, Cloud-basiert und nutzen mobile Endgeräte.  Der Schlüssel bei der Implementierung von 2FA ist, 100 % aller Angestellten und alle Zugangspunkte abzudecken, die auf Apps, VPNs und Server zugreifen. Das war nie die Herangehensweise von Unternehmen, die ältere 2FA-Lösungen implementiert haben. Doch jetzt kann für jeden Zugriff 2FA erzwungen werden. Hier erfahren Sie mehr über Multi-Faktor Authentifizierung.

NewYears_Picture4-768x440

Vorsatz Nr. 3: Was tun Sie mit privilegierten IT-Anwendern?

Bei diesem Vorsatz geht es darum, neugierig zu sein.

Folgende Anwender greifen auf Applikationen oder Technologien, auf denen Ihre Applikationen laufen, zu:

  1. Angestellte: Hier beginnen üblicherweise die meisten Datenlecks.
  2. Senior Management: Hier handelt es sich um eine kleine Gruppe von Angestellten in Ihrer Organisation, aber da sie Zugriff auf vertraulichere Informationen haben, sind sie ein Ziel von Hackern.
  3. Angestellte der IT: Auch das ist eine kleine Gruppe (je nach Art des Unternehmens), doch sie haben Zugriff auf die gesamte IT-Infrastruktur, Applikationen und Server. Daher sind sie das Hauptziel von Hackern.
  4. Kunden: Sie sind eine große Gruppe, haben jedoch typischerweise nur Zugriff auf einen kleinen Teil der Applikationen oder nur auf die Website.
  5. Partner: Auch diese Gruppe kann sehr groß sein, doch auch sie hat üblicherweise nur eingeschränkten Zugriff.

NewYears_Picture5-768x435

Das größte Risiko liegt also bei den IT-Angestellten. Wir nennen sie privilegierte Anwender, weil sie Zugriff auf Server im Rechenzentrum oder in der Cloud haben, auf denen ihre Applikationen und Datenbanken laufen. Hacker versuchen, ihre Accounts zu stehlen. Sobald sie die Zugangsdaten dieser Accounts haben, bekommen sie vollständigen Zugriff und können jeden Befehl ausführen. Falls Sie sich jemals gefragt haben, wie Millionen von Zugangsdaten gestohlen werden konnten: Meistens handelt es sich um einen Hack, der mit einem kompromittierten privilegierten Account durchgeführt wurde. Die Beseitigung dieses Problems hat daher Priorität.

NewYears_Picture6-768x586

Ihr Vorsatz ist also simpel: Stellen Sie ihrem CISO ein paar Fragen.

  1. Was wird unternommen, um den Zugriff privilegierter Anwender zu sichern?
  2. Was wird getan, um deren Zugriff und Befugnisse zu limitieren?
  3. Wer hat Zugriff auf den Root-Zugang von Linux Servern? Und gibt es Möglichkeiten deren Zugriff zu limitieren?

Wenn Ihr Unternehmen keine Strategie für die Implementierung von privilegiertem Identity-Management hat, fragen Sie warum (nicht). Das sollte die oberste Priorität aller Organisationen sein.

Das sind also meine drei Vorsätze bezüglich IT-Sicherheit für 2017. Denken Sie neu, machen Sie 2017 zum Jahr von 2FA und finden Sie heraus, wie Ihr Unternehmen mit privilegierten IT-Nutzern umgeht.

Frohes Neues Jahr!