Heute entstehen durch Cyber-Angriffe auf Unternehmen schnell Schäden im acht- bis neunstelligen Bereich. Oft sind es Spam-Mails, die in bester Sprache und Grammatik verfasst sind und so aussehen, als kämen sie von einem Kollegen oder Bekannten. Meist wird der Empfänger aufgefordert, einen Link zu öffnen oder sein Passwort einzugeben. Und schon geht es los: Die Malware verbreitet sich im gesamten Unternehmen. Mit der richtigen Cybersecurity-Strategie hingegen sind Sie bestens gerüstet.
Cybersecurity-Strategie: Von der Systemhärtung über das Netzwerk-Zoning bis zum Security Monitoring
Doch auch vor solch äußerst professionell vorbereiteten Angriffen können sich Unternehmen schützen. Ich erlebe immer wieder, dass Unternehmen viel Geld in ihre Zugangskontrolle investieren, beim Thema Mails dagegen die Türen ganz weit öffnen. Wer real ins Haus möchte, muss seinen Pass zeigen, doch per Mail oder USB-Stick darf er völlig ungehindert eintreten. Irgendein Kollege klickt immer auf den gefährlichen Anhang – das ist menschlich. Für Unternehmen allerdings ist es fahrlässig, ihnen überhaupt die Möglichkeit zu geben, in eine solche Situationen zu kommen. Schon durch sehr einfache Sicherheitsvorkehrungen lässt sich nämlich die IT-Sicherheit schnell steigern. Beispielsweise kann man unterbinden, dass Mails mit Office-Anhängen überhaupt direkt zugestellt werden dürfen. Solche Mails können zuerst in eine Quarantäne kommen und geprüft werden. Ein anderer einfacher Schritt ist die Deaktivierung von Makros. Die Kernfrage für Unternehmen muss also lauten:
Wie mache ich meine Systeme so sicher, dass sie von sich aus eine Resistenz gegen Angriffe haben?
Hier setzen wir auf die Systemhärtung, also das Entfernen aller Softwarebestandteile und Funktionen, die zur Leistungserbringung nicht erforderlich sind. Dies umfasst folgende Komponenten:
- Vorinstallierte und andere Software, die nicht für die Arbeit benötigt wird, sollte auf Anwenderrechnern und Servern gelöscht werden.
- Serverprozesse sollten ausschließlich mit einem unprivilegierten Account ohne weitere Rechte laufen. Niemals sollte hierfür ein globaler Admin-Account verwendet werden.
- Dateisystem-Rechte und ihre Vererbung sollten individuell passend ausgerichtet werden. Beispielsweise erfolgt eine Warnung, wenn zu viele Dokumente oder ganze Verzeichnisstrukturen unter einer Sekunde geöffnet werden. Das ist sicher kein Mitarbeiter, sondern ein Skript.
- Das regelmäßige Ändern von Passwörtern ist eine Pflichtübung. Ebenfalls absolutes Basic ist es, regelmäßige Software-Updates und Patches durchzuführen, die die großen Hersteller meist monatlich bereitstellen.
- Daten sollten nur verschlüsselt übertragen werden wie über SSL oder SNC.
- Es sollte nur aktuelle Software ohne Verwundbarkeiten zum Einsatz kommen. Eine Voraussetzung hierfür ist die Inventarisierung der Software.
ISO 27.001 liefert zwar einen Rahmen für das Absichern der eigenen IT-Systeme, macht aber keine konkreten technischen Vorgaben. Konkreter Beschreibungen von Maßnahmen findet der Security Office jedoch in ISO 27.002. Leider gibt es für SCADA (Supervisory Control And Data Acquisition) aktuell nur wenige und im Bereich der maritimen Systeme bisher keine Empfehlungen. Deshalb möchte ich nachfolgend unser empfohlenes Vorgehen zur Absicherung Ihrer IT-Systeme anhand von drei Schritten vorstellen: Systemhärtung, Netzwerk Zoning und Security Monitoring.
Systemhärtung auf allen Ebenen: Das A und O für sichere IT-Systeme
Absichern bedeutet immer zuerst die Technik abzusichern, dann die Nutzer und ihre Rechte einzuschränken und dann das Gesamtsystem zu überwachen und zu aktualisieren. Was theoretisch einleuchtend ist, ist aber in der Praxis – ich spreche aus Erfahrung mit sehr vielen Kunden über viele Jahre – schwer. Denn die Unternehmen brauchen nicht nur Geld und Zeit. Sie müssen auch den Willen haben, etwas zu verändern. Viele scheuen zurück und sagen „Dann läuft aber Prozess x nicht mehr, das können wir nicht ändern“. Ich bin aber überzeugt, dass sich solche Prozesse gut und einfacher als befürchtet umsetzen lassen. Allem voran steht lediglich etwas Mut und eine gute Planung.
Wie geht man in Absicherungsprojekten konkret vor?
- Company Security Policy:
Zuerst müssen die Anforderungen spezifiziert werden. Welche Software/Hardware ist im Einsatz? Hieraus lässt sich eine Security Policy ableiten. - Technical Security Policy:
Aus der eher allgemeinen Company Security Policy muss eine Technical Security Policy abgeleitet werden, die Vorgaben zu Identity Access, Perimeter-Sicherheit, Zone Defence, Software-/Hardware-Konfiguration beinhaltet. Hier sollten feste Checklisten zur Prüfung erarbeitet werden, welche dann automatisiert über Skripts in die Fläche gebracht und kontrolliert - Inventarisierung der Systeme in einer Configuration Management Database (CMDB):
In einer zentralen CMDB lassen sich nicht nur die ERP- und Office-Strukturen, sondern auch Operational Technology (OT)-Infrastrukturen - Abwehr aktuell halten:
Alle Richtlinien und Standards müssen auf dem aktuellen Stand der Technik sein. Da ständig neue Patches der Hersteller etc. hinzukommen, ist dies eine zentrale Aufgabe. - Nutzung der Windows-Gruppenrichtlinien:
Über die Windows-Gruppenrichtlinien lassen sich Server und Rechner sehr gut sichern und Userrechte einstellen, wie zum Beispiel, welche Programme verwendet und welche Dokumente geöffnet werden dürfen. Ebenso lässt sich hier festlegen, dass die Dateiendungen immer angezeigt werden und nicht firmeneigene Scripte NIEMALS ausgeführt werden. - Netzwerktrennung/Firewall berücksichtigen:
Thema externe Firewall ist oft in Unternehmen schon gut umgesetzt. Interne Netzwerktrennung mit Access Control wird in 90% aller Fälle noch nicht ausreichend umgesetzt. - Schwachstellen regelmäßig prüfen:
Es gibt von Herstellern aber auch im Open Source Bereich gute Tools, mit denen man alle Einstellungen konstant prüfen kann.
Netzwerk Zoning: Die Infrastruktur konsistent absichern
Das Netzwerk Zoning ist ein einfacher und günstiger Weg, um seine Infrastruktur sicher zu machen. Hier werden beispielsweise Netze für Geräte, für das Office oder für den Rechenzentrumsbetrieb voneinander getrennt. Dazwischen sind interne Perimeter als Schutzmauern eingerichtet. Wichtige Systeme sollten beim Zoning niemals in dem gleichen System betreut werden, auf dem auch die kritischen PCs – also solche mit Windows/Office eingespielt – betreut sind. Netzwerken im Ausland sollte man grundsätzlich nicht vertrauen, solange man sie nicht genau kennt.
Wer seine Hausaufgaben in der Härtung und im Zoning gemacht hat, der wird die Ergebnisse auch überwachen wollen, um Schwachstellen und Angriffe frühzeitig zu erkennen. Wir haben es hier mit einer sehr umfassenden Aufgabe zu tun, die sich nicht mit einem SIEM oder Monitoring Tool allein realisieren lässt. Wichtig ist es, die Monitoringsysteme so einzustellen, dass sie nicht eine Unmenge unwichtiger Alerts senden, sondern tatsächlich nur die relevanten beziehungsweise kritischen Events melden. Hierbei kommen zwei verschiedene Überwachungsarten zum Einsatz:
- Zyklische Konfigurationsüberwachung:
Die Konfiguration der IT-Landschaft, ihrer Benutzer und deren Berechtigungen werden meist zyklisch überwacht. - Permanente Eventüberwachung in Echtzeit:
Die permanente Überwachung sollte das Vorgangs- und Änderungsmanagement sowie die Protokoll- und Verhaltens-Analysen betreffen. Bei der Eventüberwachung werden Logs der Systeme anhand von Indikatoren ständig ausgewertet, für die man bestimmte Regeln vorgeben muss. Hier geben Hersteller bestimmte Muster vor, die man angepasst ans eigene Unternehmen nutzen kann. Um keine Lücke bei der Echtzeitüberwachung zu lassen, ist es wichtig, alle Endgeräte aller Benutzer zu überwachen. Dies ist unbedingt vorab mit dem Betriebsrat abzustimmen und den Mitarbeitern zu erläutern, da hier das Verhalten der User erfasst wird.
Schützen Sie sich strategisch vor Angriffen
Wie Sie sehen: Eine Cybersecurity-Strategie aufzusetzen geht nicht von heute auf morgen. Doch so kompliziert, wie es scheint, ist es auch wieder nicht. Mein Tipp ist, einfach loszulegen – am besten mit einem Partner, der Sie dabei unterstützt, alle Parameter und Maßnahmen aufeinander abzustimmen. So können Sie sichergehen, dass Ihre Systeme nicht nur vor Malware in Form von schadhaften E-Mails geschützt sind, sondern auch andere Gefahrenquellen direkt mit abgesichert sind.
Wenn Sie Fragen zum Thema haben oder weitere Informationen rund um die Absicherung von IT-Systemen haben, zögern Sie nicht und kommen Sie jederzeit gerne auf uns zu: sast@akquinet.de
Mehr zum Schutz Ihrer SAP-Landschaften erfahren Sie auch auf unserer SAST SOLUTIONS Website.
Ralf Kempf, CTO SAST SOLUTIONS
Dieser Blogbeitrag gibt den Vortrag von Ralf Kempf auf dem Event „Cybersecurity for Maritime Infrastructures“ des Maritimen Clusters Norddeutschland e. V. wieder (30.10.2019, Bremerhaven).
Diese SAST-Beiträge könnten Sie ebenfalls interessieren:
SAP-Sicherheit: 5 Wege, wie Sie garantiert Opfer eines Hackerangriffs werden