IT-Infrastruktur vor Cyber-Angriffen schützen

Sieben Schritte einer ganzheitlichen Sicherheits-Strategie

1. Sicherheits-Framework erarbeiten: An erster Stelle steht die Entwicklung eines Sicherheits-Frameworks. Dazu gehören eine detaillierte Analyse der Risiken sowie das Identifizieren sämtlicher schützenswerter Daten und Systeme. Hier empfiehlt sich eine enge Zusammenarbeit der IT-Abteilung mit externen IT-Fachleuten. Letztere verfügen zum einem über das erforderliche Know-how und kennen zudem die neuesten Tools. Hinzu kommt, dass externe Fachkräfte den kritischen Blick von außen mitbringen und so schneller die Schwachstellen innerhalb der bestehenden IT-Infrastruktur und den damit verbundenen Geschäftsprozessen entdecken. Als Grundlage dienen Sicherheitsstandards wie ISO 27001 oder nationale Sicherheitsregelwerke wie die BSI-IT-Grundschutzkataloge.

2. Cyber-Risk-Policy entwickeln: Im zweiten Schritt entwickeln die Experten auf Basis der Analyse die Sicherheitsvorgaben sowie die Cyber-Risk-Policy und gleichen diese mit den konkreten Geschäftsanforderungen ab. Zudem ist es so möglich, das Risiko für kritische Informationen und Infrastrukturen mittels eines Ansatzes zu bewerten, der auf konkreten Szenarien beruht.

3. Cyber-Security-Architektur implementieren: Im nächsten Schritt wird IT-Sicherheit in der Hard- und Software-Architektur verankert. Es müssen robuste Systeme entwickelt werden, die modernen Cyberangriffen standhalten. Dies setzt integrierte Konzepte für das Erkennen und für das Stoppen von Attacken voraus. Dafür kommen Sicherheitstechnologien, Architektur-Designs (Secure by Design) sowie Test- und Sicherheitsanalysemethoden zum Einsatz.

4. Teilbereiche der Cyber-Security berücksichtigen: Dazu gehören das Identifizieren und das Authentifizieren von Benutzern, um festzustellen, wer berechtigt ist, auf die IT-Ressourcen zuzugreifen.

5. Identity und Access Management (IAM) einführen: Dieses versetzt Unternehmen in die Lage, Identitäten und damit verbundene Berechtigungen sicher und geregelt zu erstellen, zu verteilen und zu verwalten. Weiterer Vorteil: Über ein sicheres Federated IAM lässt sich auch die sichere Kollaboration mit Partnern einrichten. Wichtig ist, dass es neben der Benutzerverwaltung und Rechtevergabe den revisionssicheren Nachweis aller Berechtigungen und Berechtigungsvorgänge bietet. Ein zweites IAM-Element ist eine Public Key Infrastructure (PKI). Atos bietet beispielsweise mit seinem ETSI-zertifizierten Trustcenter die Möglichkeit, eine zertifikatsbasierte Identifizierung vorzunehmen. Dies ist die Grundlage für eine sichere Kommunikation, bei der digitale Signaturen und Verschlüsselung zum Einsatz kommen. Als Ergänzung bietet sich eine “starke” Authentisierung auf Basis von Smartcards an – etwa multifunktionale Mitarbeiterausweise, die in Verbindung mit PKI eine sichere Anmeldung in IT-Systemen und -Anwendungen ermöglichen. So entsteht ein Authentisierungs- und Identifikationsmedium für das gesamte Unternehmen.

6. Security Incidents aufdecken: Weiter müssen Schwachstellen und sicherheitsrelevante Vorfälle (Security Incidents) aufgedeckt, sowie direkte und indirekte Angriffe auf Systeme unterbunden werden. Schwachstellen können IT-Sicherheitsexperten mithilfe von Penetrationstests ermitteln. Diese versuchen, mit Hilfe von Schwachstellen-Scannern in Netze, Systeme und Accounts einzudringen.

7. IT-Security Anforderungen berücksichtigen: Firmen, Behörden und Organisationen haben unterschiedliche Anforderungen. Diese müssen bei einer Cyber-Security-Architektur berücksichtig werden. Zur Ermittlung des passenden Sicherheitsniveaus gibt es mehrere Möglichkeiten. So lassen sich Informationen und Checklisten aus einschlägigen Publikationen wie dem IT-Grundschutzkatalog heranziehen. Allerdings führt diese Vorgehensweise zu einer Mehrbelastung der IT-Abteilung und setzt ein hohes Maß an Know-how im IT-Security-Umfeld voraus. Ein zweite Möglichkeit ist die Analyse durch einen Cyber-Security-Experten. Atos führt Security Maturity Assessments (SMA) durch, in denen das für eine Organisation angemessene Sicherheitsniveau anhand von Reifegraden ermittelt wird. Auf Grundlage dieser Ergebnisse entsteht ein Maßnahmenplan zur Reduzierung von Risiken und zur Beseitigung von Schwachstellen. Zudem ergeben sich daraus konkrete Handlungsempfehlungen zur Anhebung des Sicherheitsniveaus. Das hilft Unternehmen und Organisationen dabei, die Qualität der Sicherheit zu bestimmen und nachhaltig zu verbessern.