Vielen Unternehmen ist gar nicht klar, wie viele Bedrohungen für die IT-Sicherheit vor allem intern entstehen. Allzu oft können sie nicht ermitteln, worin die Ursache eines Problems genau besteht oder verlieren den Überblick über den Umfang und die Vielzahl der Implikationen, die aus einem IT-Sicherheitsproblem entstehen können. Vor allem interne Risiken sind ein kontinuierliches, sich in der Regel steigerndes Problem für eine sichere IT-Umgebung.
Unternehmen haben Maßnahmen zu ergreifen und in entsprechende Tools zu investieren, um den Problemen kontinuierlich entgegenzuwirken. Dabei stellt sich aber die Frage: Wo anfangen? Bei der Vielzahl von möglichen internen Risiken für die IT-Sicherheit ist es nötig, zu priorisieren und die Gefährlichkeit möglichst richtig einzuschätzen.
Eine Lösung aller potenziellen Probleme und Gefahren auf einen Schlag ist höchst unwahrscheinlich. Gleichzeitig kann die Angst davor, die Prioritäten falsch gesetzt zu haben und einem überraschenden Angriff schutzlos ausgeliefert zu sein einen IT-Sicherheitsprozess zum Stillstand bringen.
Aktives Rechtemanagement
Zu Beginn sollten IT-Sicherheitsverantwortliche herausfiltern, welche Zugriffsberechtigungen welche Mitarbeiter tatsächlich benötigen. Einfach formuliert: Wenn ein Mitarbeiter keinen bestimmten Zugriff braucht, dann sollte man ihm auch keine entsprechenden Privilegien zuteilen. Wenn jemand zum Beispiel für seine Arbeit lediglich auf eine Lieferketten-Anwendung zugreifen muss, dann sollte dieser Mitarbeiter nicht auch über die Anmeldedaten für die CRM-Applikation verfügen.
Das bedeutet auch, die Führungsebene dafür zu sensibilisieren, dass Mitarbeiter mit umfangreichen Nutzungsprivilegien ein Problem sein können – sie selbst eingeschlossen. Beispiele, wie Phishing-Attacken auf CEOs, können dabei helfen, dem Vorstand die Gefahren greifbarer zu vermitteln. Mitarbeiter mit weitreichenden Nutzungsprivilegien sind oft Ziele von Cyber-Kriminellen, die mittels Social Engineering an sensible Daten und Informationen gelangen wollen.
Nutzungsprivilegien von Admins einschränken
IT- oder Systemadministratoren, die schwache Passwörter verwenden oder gar die standardmäßig zugeordneten Passwörter auf Geräten nicht ändern, sind eine massive Schwachstelle für die IT-Sicherheit. Das wissen natürlich auch Hacker. Zugriffsrechte für Administratoren einzuschränken ist eine wesentlich bessere Option als sie immer wieder daran zu erinnern, starke Passwörter zu verwenden und sämtliche Passwörter regelmäßig zu ändern.
Falls sie aus einem bestimmten Grund Zugriff auf ein besonders sensibles System brauchen, kann der Zugriff temporär und unter Beobachtung freigegeben werden. Gleiches gilt auch für externe Mitarbeiter, die kurzfristig für Projekte und Aufträge herangezogen werden.
Privilegierte Nutzer beobachten
Power User, Unternehmensleitung und IT-Mitarbeiter, deren Accounts kompromittiert wurden, stellen das wohl größte Risiko dar. An erster Stelle sollten diese Mitarbeiter nicht auf jedes System uneingeschränkt Zugriff haben, sondern nur auf genau die Bereiche, die für ihre Arbeit relevant sind.
Falls sie temporären Zugriff auf andere Bereiche erhalten, müssen diese Zugriffsrechte rechtzeitig wieder eingeschränkt werden. Was dauerhaften Zugriff auf ein System betrifft: Anstatt die IT-Überwachung jedes einzelnen Mitarbeiters anzustreben, sollten Unternehmen ihren Fokus auf die Power User richten.
Die richtigen Tools zur Verfügung stellen
Mit veralteten Sicherheitslösungen und -tools ist noch kaum ein Sicherheitsrisiko gemindert worden. Sie werden in der Regel nicht mehr mit neuen, komplexen Funktionen versorgt. Eine bessere Methode wäre die Einführung eines mehrschichtigen Sicherheitsansatzes. Solche Lösungen sollen automatisiert Informationen über „User-“ und „Ereigniskontexte“ liefern, Antworten auf die Fragen in Bezug auf Sicherheitsverstöße geben und das Team mit den nötigen Insights versorgen, um mögliche Angriffe zu erkennen und abzuwehren.
Dafür müssen sie alle wichtigen Elemente der IT-Infrastruktur mit einbeziehen, eine detaillierte Einstufung für die Vergabe von Zugriffsrechten ermöglichen, sowie Audit-Funktionen zur Verfügung stellen. Darüber hinaus muss so ein Tool in der Lage sein, zu beobachten, was Nutzer mit ihren Zugriffsrechten machen – insbesondere in Bereichen mit sensiblen Daten.
Während IT-Umgebungen immer komplexer werden, um unseren Geschäftsalltag effizienter zu gestalten, fallen interne Gefahren allzu oft unter den Tisch. Überall erhalten immer mehr Mitarbeiter immer mehr Zugriff auf sensible Daten und sicherheitsrelevante Systeme. Das bedeutet, dass IT-Sicherheitsverantwortliche zwangsläufig bessere Wege finden müssen, wie man interne Vorgänge schnell als normal bzw. für das Unternehmen angemessen oder eben potenziell gefährlich einstufen kann.
Durch die Verbindung von Tools für Identity Management, Access Management und Security Event Management stehen dem Unternehmen umfassende Informationen darüber zur Verfügung, wer die Nutzer sind, welches Verhalten normal für sie ist und wozu sie Zugriffsberechtigungen brauchen. Zugriffsberechtigungen zu kontrollieren und Zugriffe auf kritische Bereiche und Assets zu beobachten sind wichtige Maßnahmen, um potenziellen Gefahren entgegenzuwirken. (rhh)