Das Bewusstsein für IT-Sicherheit verläuft in Wellen. Wenn Hackerangriffe für Schlagzeilen sorgen, neue Schadsoftware oder Sicherheitslücken bekannt werden, wenn internationale Konflikte eskalieren, dann melden sich verstärkt Unternehmen und möchten ihre IT-Sicherheit verbessern. Damit treffen sie nicht die günstigste Zeit, um IT-Sicherheitskonzepte zu entwickeln und zu implementieren. Die beste Zeit ist dann, wenn kein akuter Druck besteht und Systeme nicht bereits kompromittiert sind.
Doch auch die zweitbeste Zeit zu erwischen ist immer noch besser, als gar keine Zeit für Cybersicherheit zu finden. Auch unter hohem Zeit- und Handlungsdruck lassen sich mit den richtigen Maßnahmen schnell signifikante Verbesserungen erreichen, die das Risiko erfolgreicher Angriffe deutlich senken und helfen, Schäden zu begrenzen. Dabei unterscheiden wir bei Microsoft zwischen drei Phasen: Erstens Sofortmaßnahmen binnen 24-48 Stunden, zweitens Reaktionen in den ersten Tagen und drittens weitergehende Schutzvorkehrungen, die nach den drängendsten Maßnahmen der ersten beiden Phasen umgesetzt werden sollten. Hier geben wir einen Überblick über die Phasen und die jeweiligen Maßnahmen.
Phase 1: Wenn die Bedrohungslage sich verschärft – was als erstes zu tun ist
Minimum an Zeit, Maximum an Sicherheitszugewinn: In den ersten 24 bis 48 Stunden werden Sofortmaßnahmen ergriffen, die bei schnellstmöglicher Umsetzbarkeit die größte Erhöhung des Sicherheitsniveaus bringen. Die Einführung von Multi-Faktor-Authentifizierung für alle Nutzer*innen sowie starker Schutz der Administratoren-Accounts zählen ebenso dazu wie das Schließen bekannter Sicherheitslücken durch Updates für die Systeme. Um eine schnelle Betriebsfortführung im Falle einer Attacke gewährleisten zu können (Business Continuity Management), ist eine Überprüfung und Aktualisierung der Backups dringend erforderlich. Organisatorisch ist sicherzustellen, dass Warnmeldungen der Sicherheitsbehörden und IT-Dienstleister ankommen und berücksichtigt werden, dass relevante Kontaktinformationen verfügbar sind und die eigenen IT-Teams wissen, wie sie in Krisenfällen mit den IT-Dienstleistern zusammenarbeiten können, wenn beispielsweise Daten verschlüsselt oder Systeme ausgefallen sind.
Phase 2: Nach der Soforthilfe – die nächsten Schritte zu mehr Sicherheit
Sind die ersten Maßnahmen ergriffen, folgen in den nächsten Tagen gezielte Maßnahmen, die das Sicherheitsniveau weiter steigern, aber etwas aufwändiger sind – wie die Aufklärung der Beschäftigten über Risiken und Schutz. Geräte und Server sollten so konfiguriert werden, dass der Schutz durch automatische Patches immer up-to-date bleibt und Tools implementiert werden, die Malware erkennen und Workloads schützen. Die Etablierung alternativer Kommunikationskanäle für Krisenfälle und eine gesonderte Betrachtung besonders gefährdeter Bereiche sind weitere Maßnahmen in dieser Phase. Backups und Wiederherstellungsfunktionen sollten optimiert werden, um sichere Speicherung und schnelle Verfügbarkeit zu gewährleisten.
Phase 3: Aus dem Krisen- in den Strategiemodus – so geht es perspektivisch weiter
„Think and prioritize“ ist die Devise für die dritte Phase, überdenke und priorisiere. Jetzt ist die Zeit, um Risikoanalysen zu erstellen und auf Basis der Ergebnisse passende Gegenmaßnahmen im Rahmen einer Sicherheitsstrategie zu entwickeln, die Business- und technische Risiken aus einer High-Level-Perspektive betrachtet. Hier sind aufwändigere Maßnahmen wie die Segmentierung des Netzwerks, die Definition der Zugriffsberechtigungen zu nennen, Schulung von Beschäftigten, Entwicklung von Response-Plänen für Attacken und Training der Abläufe mit den Mitarbeiter*innen.
Wer in der Krise geschützt sein will, muss vor der Krise handeln
Wie wichtig eine frühzeitige Beschäftigung mit dem Thema Cybersicherheit ist, zeigen die Erkenntnisse der Sicherheitsexpert*innen von Microsoft, die sie im Digital Defense Report darlegen. Dann lassen sich bereits mit wenigen Maßnahmen erhebliche Verbesserungen der IT-Sicherheit erzielen: Elementare Schutzmaßnahmen verhindern 98 Prozent aller Angriffe. Diese grundlegenden Maßnahmen wie Multi-Faktor-Authentifizierung, Updates oder Backups helfen nicht nur in akuten Krisensituationen, sondern auch gegen die alltäglichen Bedrohungen durch Ransomware und andere Sicherheitsrisiken.
Vertraue niemandem: Zero Trust als Grundsatz der IT-Sicherheit
Das gemeinsame Prinzip hinter allen Maßnahmen heißt „Zero Trust“. Niemandem zu vertrauen bedeutet, stets davon auszugehen, dass nichts sicher ist. Jeder Zugriff wird als potenziell gefährlich betrachtet, solange er nicht nachweisbar als legitim eingestuft worden ist. Die Umsetzung dieses Prinzips basiert auf drei Säulen:
- Ausdrückliche Verifizierung: Jeder Zugriff muss an eine Authentifizierung und Autorisierung geknüpft sein – und dafür sollten alle verfügbaren Datenpunkte einbezogen werden. Neben Identitätsmerkmalen (idealerweise mehreren Merkmalen im Rahmen einer Multi-Faktor-Authentifizierung) zählen dazu beispielsweise auch der Standort oder das IT-Sicherheitslevel des anfragenden Geräts.
- Geringstmögliche Berechtigungen: Auch legitime Zugriffe sollten in Zeit und Reichweite beschränkt sein (Just-in-Time/Just-Enough-Access). Damit wird sichergestellt, dass legitimierte Zugriffe nicht übernommen werden können und kein ungehinderter Zugriff auf Daten möglich ist.
- Vom schlimmsten Fall ausgehen: Die Konzeption aller Schutzmaßnahmen geht davon aus, dass ein Angriff erfolgreich sein könnte – und zielt deswegen nicht nur auf Verhinderung, sondern auch auf Eindämmung erfolgreicher Angriffe. Zum Beispiel durch Segmentierung des Netzwerks, Ende-zu-Ende-Verschlüsselung von Daten, kontinuierliches Monitoring der Datenflüsse und automatisierte Erkennung von Angriffen.
Ich werde häufiger gefragt, was zu tun ist, wenn sich die Bedrohungslage dramatisch verändert. In diesem LinkedIn-Beitrag erläutere ich, dass die Sicherheitsmaßnahmen die ergriffen werden können, die gleichen bleiben. Antizyklisches Vorgehen schafft strategische Spielräume: Wer in der Krise geschützt sein will, muss vor der Krise handeln.
Ein Beitrag von Roger Halbheer
Chief Security Advisor
