Die IT-Station: Cybersecurity von der Basis denken

by | Apr 29, 2024

Anhoren

Teilen

 

Muss Cybersecurity immer kompliziert, fancy und teuer sein? Nein, sagt Cyberexpertin Birgit Murkowski. Ganz im Gegenteil: Die größten Schwachstellen sind eigentlich immer an der Basis zu finden. Daher muss zunächst das Fundament stimmen. 

 

Eigentlich ist es unerklärlich, wie Kliniken oder auch Unternehmen im Allgemeinen ein Security Information and Event Management (SIEM) System, respektive Security Operations Center (SOC) im Einsatz haben können und dennoch weder das Active Directory (AD), die VPN-Zugänge oder Datenbewegungen überwachen. Es gibt keine Basis-Alarmierung, wenn neue Nutzer mit hohem Berechtigungsgram im AD angelegt werden oder ein VPN-Zugang aktive von einem Dienstleister oder Lieferant genutzt wird. Eine Erklärung gibt es dann aber doch: In der Regel liegt das an einer Top-Down Cybersecurity Strategie, die keine solide IT-Basis schafft.

Leider ist es gar nicht so selten, dass Cybersecurity in der Top Down Strategie gelebt wird. Diese Herangehensweise birgt jedoch ganz gravierende und logische Gefahren in der IT-Sicherung eines Unternehmens. Top Down ist der richtige Weg in Bezug auf Priorität und Budget, jedoch nicht in der operativen Umsetzung, da die Lücken und Schwachstellen in der IT-Basis zu spät bis nicht gesichert werden. Genau hier bieten sich Zutrittstore für Angreifer, was viele der letzten Incidents noch einmal unterstreichen, wo teilweise SIEM-Systeme und SOC zum Einsatz kamen. Konzepte sollten immer unter dem Aspekt aufgesetzt werden, dass sich schon jemand unberechtigt Zugriff verschafft hat. Die Frage ist allerdings, wie man das bemerken und den Schaden gering halten kann.

Analysiert man Incidents, wird schnell klar, dass die Schlupflöcher für Angreifer in der Regel immer an der Basis zu finden sind: gestohlene Zugänge, fehlende Patches oder ungepflegte Active Directories. Sollen die nicht ausgenutzt werden, müssen Unternehmen mit ihrer Cybersecurity genau hier ansetzen – im besten Fall mit einem intelligenten Monitoring, dass dafür sorgt, sofort zu erkennen, wenn ein unberechtigter Nutzer hier etwas ausnutzt. Denn auch das ist Realität: Diese Zugänge bilden die Lücken, die es Angreifern ermöglichen, sich oft über Monate unbemerkt in einem Netzwerk aufzuhalten. Durch unsere zahlreichen Darknet-Recherchen bei SOC Mania wissen wir, wie viele Zugänge mit klaren Passwörtern vieler Unternehmen bereits in den falschen Händen sind.

Was ChatGPT dazu sagt

Ich habe mir mal die Mühe gemacht und ChtatGPT gefragt, was eigentlich Top-Down Cybersicherheit ist. Die Antwort: Es ist ein Ansatz, der die Sicherheit von einem höheren, strategischen Standpunkt aus angeht und sich auf die Implementierung umfassender Sicherheitsrichtlinien und -maßnahmen konzentriert, die von der Unternehmensführung festgelegt werden. Dieser Ansatz legt den Schwerpunkt darauf, umfassende Sicherheitsstrategien zu entwickeln, die alle Aspekte der Organisation abdecken, einschließlich Infrastruktur, Anwendungen, Daten und menschliche Ressourcen. Top-Down Ansätze umfassen oft die Entwicklung von Sicherheitsrichtlinien, Risikomanagementprozessen, Compliance-Vorgaben und Incident-Response-Plänen. Indem sie Sicherheitsprioritäten von oben nach unten setzen, können Unternehmen eine kohärente Sicherheitsstrategie entwickeln, die ihre spezifischen Risiken und Anforderungen berücksichtigt. Dieser Ansatz fördert eine ganzheitliche Sicherheitskultur innerhalb der Organisation und trägt dazu bei, Sicherheitsrisiken proaktiv zu identifizieren und zu minimieren, bevor sie zu größeren Problemen führen können.

Genau hierin findet sich der große Widerspruch zur operativen Umsetzung einer tragbaren Cybersecurity-Strategie. Wird von Top-Down gedacht, werden die Lücken und Schwachstellen der IT-Basis viel zu spät bis gar nicht berücksichtigt. Der Schutzmantel, der von oben nach unten über ein Unternehmen gelegt wird, bringt ein dichtes Dach, die Haustür steht mitunter aber trotzdem die ganze Nacht sperrangelweit offen. Verschafft sich dann noch jemand Zugang mit einem gestohlenen Account, der als berechtigter Nutzer im AD, beziehungsweise Netzwerk bekannt ist, schlagen Systeme in der Regel gar keinen Alarm. Ähnlich sieht es mit gestohlenen VPN-Zugängen aus, welche auch im Netzwerk bekannt sind.

Der Begriff Cyber Security wird oftmals für die Sicherung mit intelligenten Tools und parallel für SIEM und SOC genutzt. Jedoch fallen alle IT-Systeme in diesen Bereich, da sie alle als potenzielles Angriffsziel und Schwachstelle in Frage kommen. Cybersecurity muss zwingend die gesamte IT-Infrastruktur eines Unternehmens betrachten und schon alleine deshalb an der Basis anfangen.

Und damit wären wir bei der Bottom-up Cybersecurity. Wird ein Unternehmen mit einer solchen Strategie gesichert, fängt man nämlich genau da an: an der Basis. Damit schafft man ein belastbares und sicheres Fundament für alle darauf aufbauenden Sicherheitsmaßnahmen. Bleibt diese Basissicherung aus, lässt ein Unternehmen gravierende Zutrittsmöglichkeiten für Angreifer offen.

Die drei Kernelemente an der Basis

Oberste Priorität ist für mich ganz klar das Active Directory. Ein gutes VPN-Konzept sowie ein Konzept zur Überwachung und Verwaltung von Daten und Nutzerberechtigungen ist das A und O. Und das AD braucht als zentrales Herzstücke der IT vieler Unternehmen eine gute Passwort-Policy, eine sinnvolle Rollen- und Rechteverwaltung und vor allem die regelmäßige Überprüfung der Berechtigung und Passworterneuerungen.  Wir erleben immer wieder, dass Zugänge von bereits ausgeschiedenen Mitarbeitern nach wie vor aktiv sind, es zu viele zu hohe Berechtigungen gibt und Benachrichtigungen fehlen, wenn neue Nutzer mit hoher Berechtigung angelegt werden – nur um einmal ein paar Schwachstellen zu nennen, die recht einfach abgestellt werden können.

Zum anderen fehlen meist auch ein sinnvolles Sicherheitskonzept für VPN-Zugänge sowie eine Überwachung und Verwaltung der Unternehmensdaten und deren Zugriffsrechte. Denn VPN-Zugänge wurden vor einigen Jahren noch dauerhaft für Lieferanten oder Dienstleistern zur Verfügung gestellt. Jeder konnte, wenn er wollte oder musste, sich per VPN einwählen. Diese Vorgehensweise ist nach wie vor weit verbreitet und sehr riskant. Die Sicherung von VPN-Zugängen ist entscheidend, um die Vertraulichkeit, Integrität und Verfügbarkeit von Netzwerkverbindungen zu gewährleisten. Dazu gehören starke Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung, regelmäßige Passwort-Richtlinien und Zertifikatbasierte Authentifizierung.

Was auch oft übersehen wird: Unternehmensdaten sollten im Zugriff beschränkt werden. Soll heißen: kein Download, kein Verschieben zwischen Ordnern und Laufwerken oder zumindest eine starke Begrenzung. Selbst innerhalb des Managements muss nicht jeder Mitarbeiter unlimitiert auf alle Daten zugreifen und diese auch verschieben und speichern dürfen und wenn, dann müssen diese Bewegungen unbedingt dokumentiert werden. Auch das Einrichten einer Alert-Funktionen kann sinnvoll sein, sodass zumindest eine Information darüber an den Administrator geht.

Was das vorangegangene vor allem unterstreicht: Cybersecurity ist kein Hexenwerk, wenn sie von unten gedacht wird. Denn genau das tun auch die Angreifer: Sie schauen, wo das Fundament bröckelt und schleichen sich hier ein. Es gibt viele weitere kleine sehr sinnvolle Sicherungen und Überwachungen, die die IT-Basis und damit das gesamte Unternehmen schützen. Und wenn die Basis stimmt, kann auch über eine umfassendere Cybersecurity-Strategie nachgedacht werden.

Das könnte Sie auch interessieren

Klinik-Atlas: Kritik an Bürokratie

Vor allem von der Bundesärztekammer und der Deutschen Krankenhausgesellschaft kommt deutliche Kritik am heute vorgestellten Klinik-Atlas. Für Lauterbach ist er wichtiges Element einer Qualitätsoffensive. 

Vor allem von der Bundesärztekammer und der Deutschen Krankenhausgesellschaft kommt deutliche Kritik am heute vorgestellten Klinik-Atlas. Für Lauterbach ist er wichtiges Element einer Qualitätsoffensive. 

Ambulantisierung als Chance für Kliniken

Planungsunsicherheit für Kliniken ist weiterhin elementar – zahlreiche Gesetzesänderungen wurden durch das Bundesministerium für Gesundheit (BMG) angekündigt. Eine Sache ist aber definitiv klar: Das Sozialgesetzbuch definiert in §39 SGB V „ambulant vor stationär.“ Seit Jahren ist dieser wichtige Aspekt bekannt und dennoch findet die Umsetzung in Kliniken nur wenig Begeisterung, attestiert Gastautor Arne Westphal.

Planungsunsicherheit für Kliniken ist weiterhin elementar – zahlreiche Gesetzesänderungen wurden durch das Bundesministerium für Gesundheit (BMG) angekündigt. Eine Sache ist aber definitiv klar: Das Sozialgesetzbuch definiert in §39 SGB V „ambulant vor stationär.“ Seit Jahren ist dieser wichtige Aspekt bekannt und dennoch findet die Umsetzung in Kliniken nur wenig Begeisterung, attestiert Gastautor Arne Westphal.