Die 5 häufigsten Fehler im Sicherheitsprozess

 

Informationssicherheits-Management steht zunehmend im Fokus der mittelständischen Unternehmen. Das ist eine gute Nachricht aus meiner Beratungspraxis. Es werden Sicherheitsprozesse etabliert, um das erforderliche Maß an Informationssicherheit herzustellen, und auf Dauer zu erhalten. Allerdings sehe ich auch einige Schwächen. Diese schleichen sich im Laufe der Zeit klammheimlich ein. Sie sind der täglichen Arbeitsmenge und einem latenten Mangel an Resourcen geschuldet.

Hier sind die Punkte, die mir am häufigsten aufgefallen sind.

Darstellung für Informationssicherheits-Managementsysteme

Zu wenig Fokus auf Endpoint-Security

Server werden im Unternehmen gründlich kontrolliert und auf Schwachstellen untersucht. Endgeräte wie Desktop-PC’s, Tablets oder Smartphones weniger gründlich. Das liegt an der großen Anzahl dieser Geräte und dem damit verbunden Aufwand, der eine zentral durchgeführte Kontrolle zu einer Herausforderung macht. Mitarbeiter sind in der Regel überfordert, die entsprechenden Arbeiten an ihren eigenen Geräten durchzuführen.

Fehlende Maßnahmen für Geräte die Dienste außerhalb des internen Unternehmensnetzwerks bereitstellen

Typische Beispiele solcher Dienste sind VPN, SSH, FTP, Web-Server, Application-Server. Zu den letzteren gehören Dokument-Managementsyteme, die in den Unternehmen eine starke Verbreitung finden. Zur Absicherung solcher Dienste sind spezifische Maßnahmen erforderlich. Die Priorität der IT-Verantwortlichen liegt darauf, dass alle Dienste reibungslos für die Mitarbeiter funktionieren. Sicherheitsaspekte bringen dabei mehr Komplexität ins Spiel und werden leicht vernachlässigt.   

Server werden überkonfiguriert

Auf den Servern laufen Dienste und Anwendungen, die dort nicht benötigt werden.  Aufgrund der mangelnden Beachtung sind diese Dienste fehlerhaft konfiguriert und weisen kritische Sicherheitslücken auf.

Beispiele:

FTP und SSH mit schwachem Passwortschutz

Ein vergessener Apache Web-Server

Eine stark veraltete Version von Firefox. Nur gut dass ihn niemand benutzt hat.

Einsatz veralteter Software

Der Support für Windows XP endete 2014. Trotzdem kann ich in Unternehmen immer noch Maschinen mit diesem Betriebssystem finden. Sie spielen keine bedeutende Rolle in den Geschäftsprozessen, aber sie hängen noch am Netz und sind damit ein potentieller Angriffspunkt.

Andere Beispiele für Software, die möglichst bald ausgetauscht werden sollte sind veraltete Server Betriebssysteme - sowohl Windows als auch Linux/Unix, in die Jahre gekommene Office Pakete, alte Webbrowser, sei es Internet Explorer, Firefox, Opera, Chrome oder Safari.

Grundsätzlich gilt, dass die vom Hersteller empfohlenen Sicherheitsupdates einer Software zeitnah eingespielt werden sollten.

Fehlendes Augenmerk auf das, was bereits passiert ist

Das Ziel vieler Maßnahmen zu mehr Informationssicherheit ist Prävention und Vorsorge. Sicherheitsvorfälle sollen vermieden werden. Wenn doch etwas passiert, soll es einen möglichst kostengünstigen und schnellen Weg der Wiederherstellung geben.

Es fehlen häufig Maßnahmen mit dem Ziel, Sicherheitsvorfälle zu erkennen. „Bei uns ist doch noch nie so etwas passiert“ höre ich oft. Dann frage ich zurück: „Woher wissen Sie das“. Nicht alle Sicherheitsvorfälle sind so offensichtlich wie ein Virusbefall oder ein Verschlüsselungstrojaner. Computer können mit Schadsoftware verseucht sein, die sich im Hintergrund hält und Daten ausspioniert. Einbruchversuche von außen in das Firmennetz werden nicht bemerkt, weil die einschlägigen Protokolldateien nicht systematisch ausgewertet werden.   

Aus der Analyse bereits eingetretener Sicherheitsvorfälle ergeben sich wiederum wertvolle Hinweise für Prävention und Vorsorge. Der Kreislauf schließt sich.

 

Der Security-Scout

Gerne biete ich meinen Kunden im Rahmen meiner Beratung den Security-Scout an. Damit stelle ich eine Appliance zur Verfügung, die viele der in diesem Artikel angesprochenen Herausforderungen löst. Der Scout arbeitet bedienerlos und nach vorgegebenen Zeitplänen. Er ist dadurch sehr effektiv und kostengünstig.

Weckt der Security-Scout Ihr Interesse? Dann folgen Sie diesem Link auf meine Webseite.

 

 

Zurück