ilackinger, Autor bei SITS

Mittlerweile hat auch der größte Skeptiker erkannt: An künstlicher Intelligenz führt kein Weg mehr vorbei. Egal ob es um Chatbots im Kundenservice, Predictive Maintenance in der Industrie, Betrugserkennung im Finanzwesen, Kreditrisikobewerbung, Sprachassistenten oder Smart Home-Anwendungen geht: Die Liste an KI-Helfern ist schier endlos, und mit den um sich greifenden technologischen Fortschritten und der zunehmenden Verfügbarkeit von Daten, erschließen sich immer neue Anwendungsgebiete. Für die IT-Security gilt in diesem Zusammenhang, was auch andere Bereiche beschäftigt: KI ist Fluch und Segen zugleich. Sie hilft, Systeme sicherer zu machen, kommt aber auch vermehrt bei Cyber-Attacken zum Einsatz. Es wird Zeit, Abwehrtaktiken in den Fokus zu rücken, die neuen, KI-gestützten Angriffsmethoden Paroli bieten.

KI im Firmeneinsatz: Eine Einordnung

  • Nach Angaben von Next Move Strategy Consulting wird der Markt für künstliche Intelligenz – wenig verwunderlich – in den kommenden zehn Jahren von starkem Wachstum geprägt sein: Der aktuelle Wert von fast 100 Milliarden US-Dollar soll sich bis 2030 auf fast zwei Billionen US-Dollar verzwanzigfachen.
  • Laut LearnBonds wird der Umsatz mit KI-Software bis 2025 auf über 126 Milliarden US-Dollar steigen, verglichen mit 22,6 Milliarden US-Dollar im Jahr 2020. Jeder fünfte Mitarbeitende wird einige seiner Aufgaben an KI abgeben müssen.
  • Eine Untersuchung von McKinsey hat darüber hinaus herausgefunden, dass KI-Technologien das Potenzial haben, die globale Wirtschaftsleistung bis 2030 um durchschnittlich 1,2 Prozent pro Jahr zu steigern.
  • Laut ifo Institut nutzen aktuell 13,3 Prozent der Unternehmen in Deutschland KI, 9,2 Prozent planen den Einsatz. Weitere 36,7 Prozent der befragten Firmen diskutieren über mögliche Anwendungsszenarien.
  • Zu den am häufigsten genutzten Anwendungsfällen für KI in Unternehmen gehören die Automatisierung von Geschäftsprozessen, die Analyse von Daten zur Entscheidungsfindung und die Verbesserung der Produktqualität und -leistung.
  • Zugleich befürchtet so mancher aber auch die negativen Folgen der KI-Welle: Knapp zwei Drittel der Deutschen treibt etwa die Sorge um, dass durch den Einsatz von KI Arbeitsplätze verloren gehen könnten. Insgesamt 45 Prozent der Deutschen stehen dem Einsatz von Künstlicher Intelligenz laut YouGov skeptisch gegenüber.

Ein weiterer negativer Aspekt, der neben vielen positiven Errungenschaften, mit dem Einsatz von KI einhergehen kann, sind zunehmende und immer gefährlichere Cyber-Angriffe. Waren bislang oft ein hohes Maß an IT-Knowhow, viel Zeit und Aufwand vonnöten, um einen Angriff zu lancieren, können mithilfe von KI heute schon Laien mit wenigen Klick zum Hacker werden. Unternehmen und Behörden sind gefordert, sich dieser Entwicklung zu stellen.

Vorteile der KI für die Cyber-Security:

  1. Verbesserte Bedrohungsanalysen
  2. Optimierte Identifizierung von Angriffsvorläufern
  3. Verbesserte Zugriffskontrolle und Passwort-Praktiken
  4. Minimierung und Priorisierung von Risiken
  5. Automatisierte Erkennung von Bedrohungen
  6. Verbesserte Effizienz und Effektivität der Mitarbeitenden

Nachteile der KI für die Cyber-Security

  1. Schwierigkeiten hinsichtlich Verlässlichkeit und Genauigkeit
  2. Bedenken bei Datenschutz und -sicherheit
  3. Mangelnde Transparenz
  4. Verzerrung von Trainingsdaten und Algorithmen

Wie wird KI von Cyber-Kriminellen genutzt?

Social Engineers setzen auf KI, um präzisere Phishing-Strategien und Deepfakes in die Wege zu leiten. Hacker vertrauen auf KI-gestützte Passwort-Schätzung und knacken CAPTCHA, um unbefugten Zugriff auf sensible Daten zu erhalten. Moderne Angreifer agieren heute so schnell und mit immer neuen Methoden, dass Unternehmen oft nur mit Mühe Kontrollen automatisieren und Sicherheits-Patches installieren können, um Schritt zu halten. Was Sie deshalb brauchen, ist ein Programm für das kontinuierliche Management von Bedrohungen, das die größten Threats aufdeckt und aktiv priorisiert. KI ist die Basis für zahlreiche neue Angriffsmethoden und Taktiken, die zudem immer automatisierter sind, sodass Hacker heute so breit und skaliert vorgehen wie nie zuvor.

Diese KI-generierten Angriffsmuster rücken in den Fokus:

  • Phishing und Social Engineering: KI wird verwendet, um personalisierte und überzeugende Phishing-E-Mails zu erstellen. Diese können Mitarbeitende dazu verleiten, sensible Informationen preiszugeben oder bösartige Links zu öffnen.
  • Adversarial Attacks: Kriminelle können KI verwenden, um speziell manipulierte Daten zu generieren, die dafür sorgen, dass KI-Systeme, wie etwa Bilderkennungs-Tools oder Sicherheitsmechanismen, fehlerhafte oder unerwartete Entscheidungen treffen.
  • Automatisierte Angriffe: KI-gesteuerte Bots können automatisch Schwachstellen in Systemen erkennen, Exploits ausnutzen und Angriffe durchführen – ganz ohne menschliches Eingreifen.
  • Erkennung von Sicherheitslücken: Mittels KI lassen sich große Datenmengen analysieren und potenzielle Sicherheitslücken in Systemen oder Netzwerken identifizieren, die dann für Angriffe ausgenutzt werden.
  • Verschleierung von Malware: KI hilft Malware zu entwickeln, die schwer zu erkennen ist, weil sie ihre Eigenschaften an die Umgebung anpasst oder sich eigenständig verändert, um herkömmliche Sicherheitsmechanismen zu umgehen.

Das große Aber: Unternehmen können künstliche Intelligenz auch für ihre Zwecke nutzen und Hacker mit den eigenen Waffen schlage, denn KI kann auch der Verteidigung von Systemen und Daten dienen. Mithilfe innovativer KI-Tools lassen sich viele Angriffe frühzeitig erkennen und automatisch Gegenmaßnahmen ergreifen, um die Auswirkungen zu minimieren. Beispiele sind die bereits erwähnten verbesserten Zugriffskontrollen, Bedrohungsanalysen oder Priorisierung von Risiken.

Wie können sich Unternehmen vor KI-gestützten Angriffen schützen?

Mit einer einzigen Lösung oder Firewall ist es nicht getan: Wer seine Systeme, Daten oder Mitarbeitenden wirklich nachhaltig vor KI-gestützten Angriffen schützen will, benötigt eine Kombination aus technischen Lösungen, Schulungen und proaktiven Sicherheitsstrategien. So muss einerseits die Belegschaft in speziellen Security Awareness-Trainings für die Risiken KI-gestützter Angriffe sensibilisiert werden. Mitarbeitende sollten in der Lage sein, verdächtige Aktivitäten zu erkennen und angemessen zu reagieren. Zudem müssen klare Sicherheitsrichtlinien und Verfahren für den Umgang mit KI-Technologien und potenziellen Angriffen implementiert werden. Dies umfasst Vorgaben für den Zugriff auf sensible Daten, die Nutzung von KI-Tools und den Umgang mit verdächtigen Aktivitäten. Hinzukommt eine kontinuierliche Überwachung und Analyse des Netzwerkverkehrs, der Systemaktivitäten und anderer Indikatoren auf potenzielle Angriffe, um verdächtige Aktivitäten frühzeitig zu erkennen und zu unterbinden.

Ein weiterer Aspekt sind technische Sicherheitsmaßnahmen: Hierzu gehören Tools zur Erkennung und Abwehr von Angriffen, einschließlich Intrusion Detection-Systeme (IDS), Intrusion Prevention-Systeme (IPS), Firewalls, Antivirus-Software und Endpoint-Sicherheitslösungen. Regelmäßige Aktualisierungen von Software und Betriebssystemen tragen dazu bei, Sicherheitslücken zu schließen und potenzielle Angriffspunkte zu minimieren. Auch Angriffssimulationen und Penetrationstests helfen, die Widerstandsfähigkeit des Unternehmens gegen KI-gestützte Angriffe zu testen und Schwachstellen zu identifizieren. Ein weiterer Teil der ganzheitlichen Sicherheitsstrategie ist zweifelsohne eine enge Kooperation und Absprache mit anderen Organisationen, Regierungsbehörden und Co. In Gesprächen und Meetings lassen sich Informationen über neue Bedrohungen und Angriffstechniken sowie Best Practices austauschen und von den Erfahrungen anderer lernen.

Continuous Threat Exposure Management (CTEM)

Geht es um die Abwehr von KI-generierten Cyber-Angriffen, fällt früher oder später der Begriff Continuous Threat Exposure Management (CTEM). Mithilfe eines derartigen Ansatzes wappnen sich Organisationen für sich ständig verändernde Sicherheitsbedrohungen und entwickeln schnelle und effiziente Reaktionsoptionen. CTEM unterstützt die kontinuierliche Überwachung und Bewertung von Bedrohungen und Sicherheitsrisiken. Ziel ist es, die Exposition einer Organisation gegenüber potenziellen Bedrohungen und Schwachstellen immer wieder neu zu bewerten, zu kontrollieren und einzudämmen. Im Gegensatz zu traditionellen Ansätzen zur Sicherheitsüberwachung, die oft auf reaktiven Maßnahmen basieren, konzentriert sich CTEM auf proaktive und kontinuierliche Überwachung, um potenzielle Bedrohungen frühzeitig zu erkennen und zu adressieren.

``Gartner prognostiziert, dass Unternehmen, die ihre Cybersecurity-Investitionen auf Basis eines CTEM-Programms priorisieren, bis 2026 einen Rückgang von Cybersecurity-Verletzungen um mehr als 60 Prozent verzeichnen werden.``

Fünf Tipps: So gelingt die Abwehr KI-gestützter Cyber-Angriffe

  1. Setzen Sie auf 24/7-Überwachung. Zunächst einmal sollten Organisationen ihre Netzwerke, Systeme, Anwendungen und Daten, kontinuierlich überwachen, denn nur so können sie potenzielle Sicherheitsbedrohungen früh genug erkennen.
  2. Bewerten und priorisieren Sie Risiken. Sicherheitsrisiken sollten basierend auf ihres Bedrohungspotentials, möglicher Auswirkungen und der Wahrscheinlichkeit eines Angriffs analysiert und eingeordnet werden, um Ressourcen effektiv einzusetzen und sich auf die wichtigsten Bedrohungen zu konzentrieren.
  3. Automatisieren Sie Abläufe. Mithilfe innovativer Automatisierungslösungen und fortschrittlicher Analysetechniken wie maschinelles Lernen und künstliche Intelligenz lassen sich große Mengen von Sicherheitsdaten verarbeiten und ungewöhnliche, anomale Aktivitäten identifizieren.
  4. Integrieren Sie Bedrohungsdaten. Indem Sie Daten aus verschiedenen Quellen, wie Sicherheitsinformationen und -ereignissen (SIEM), Bedrohungsintelligenz und Schwachstellenmanagement zusammenführen, erhalten Sie ein umfassendes Bild der Sicherheitslage.
  5. Planen Sie kontinuierliche Anpassungen ein. Stete Anpassungen und Verbesserungen sind wichtig, um auf sich verändernde Bedrohungslandschaften und neue Sicherheitsrisiken zu reagieren – gerade hinsichtlich schnelllebiger KI, mit der es fast täglich neue Ansätze geben kann.

CTEM deckt all die zuvor genannten Punkte ab und hilft Organisationen, ihre Sicherheitspraktiken zu verbessern, die Reaktionszeiten auf Sicherheitsvorfälle zu verkürzen und das Risiko von Sicherheitsverletzungen und Datenverlusten zu minimieren.

KI wird künftig eine immer wichtigere Rolle in der Cyber-Sicherheit spielen. Sie hat das Potenzial, IT- und Sicherheitsexperten zu unterstützen, Innovationen voranzutreiben und die Informationssicherheit zu verbessern. Zugleich sind Organisationen aber gefordert, Cyber-Kriminellen, die KI für ihre Zwecke nutzen, in die Schranken zu weisen. Es sind die Entscheidungen von uns Menschen, die darüber bestimmen, ob KI als „good“ oder „bad guy“ agiert.

Bei ISO 27001 handelt es sich um einen Standard der Internationalen Organisation für Normung (ISO). Seit Oktober 2022 liegt er in der überarbeiteten Version ISO/IEC 27001:2022 vor. Für Unternehmen und Behörden ist die Einhaltung nicht nur Mittel zum Zweck, um Sanktionen abzuwenden, sondern auch um IT-Risiken in Eigeninitiative zu vermeiden und den Schutz sensibler Informationen ernst zu nehmen. In diesem Kontext hat sich die ISO-27001-Zertifizierung als bedeutender Baustein für das ISMS-Risikomanagement bewährt.

Die Norm umfasst neben der IT-Infrastruktur und den IT-Systemen auch die Menschen und Prozesse, die an der Datenverarbeitung beteiligt sind. Die Finanzbranche, das Gesundheitswesen, Technologie- und E-Commerce-Unternehmen, sogar Regierungseinrichtungen: ISO 27001 ist heute für nahezu alle Organisationen und Einrichtungen unumgänglich, die sensible Informationen verarbeiten, speichern oder übertragen. Denn die aus dem britischen Standard 7799 hervorgegangene Norm hat längst nicht mehr nur die bloße Geschäftskontinuität zum Ziel. Sie dient zudem als strukturiertes Rahmenwerk für Compliance-Anforderungen und hilft dabei, Kunden, Investoren und Geschäftspartner von einer gesetzeskonformen Datenverarbeitung zu überzeugen.

Prüfungen und Zertifizierung nach ISO 27001

Der Weg zur ISO-27001-Zertifizierung ist allerdings oftmals steinig: Um die ISO-27001-Konformität eines ISMS beglaubigt zu bekommen, müssen zunächst bestehende Maßnahmen zur Informationssicherheit identifiziert, beurteilt und erforderliche Verbesserungen erkannt werden. In diesem Zusammenhang hat sich die Gap-Analyse als gängiger Ansatz hervorgetan. In diesem Vorab-Audit bewertet ein externer Auditor den Ist- und Soll-Zustand des ISMS. Mit der Gap-Analyse lassen sich Schwachstellen aufspüren und Gegenmaßnahmen aufzeigen, die zur Schließung etwaiger Lücken ergriffen werden müssen. Auch Rollen und Verantwortungsbereiche fallen in diesen Vorab-Audit.

Die anschließende Implementierungsphase umfasst schließlich die ersten Schritte zur Umsetzung. Dazu gehören:

  • Risikobewertung, in der Gefahren für die Informationen des Unternehmens identifiziert und bewertet werden. Sie beinhaltet die Erfassung und Gewichtung von materiellen und immateriellen Vermögenswerten, die Erkennung von Bedrohungen und Schwachstellen, die Einschätzung möglicher Auswirkungen eines Cyber-Angriffs sowie die Beurteilungen und Priorisierung von Risiken.
  • Risiko-Managementplan auf Grundlage der Risikobewertung. Dieser Plan bestimmt, welche Risiken akzeptiert, vermieden oder durch die Implementierung geeigneter Kontrollen reduziert werden sollen. Er enthält zudem eine Wahrscheinlichkeitsberechnung für Gefahren und potenzielle Auswirkungen von Risiken.
  • Implementierung neuer Prozesse, die Anpassung bestehender Abläufe und die Schulung des Personals basierend auf dem Risiko-Managementplan.
  • Dokumentationserstellung für das ISMS inklusive Sicherheitsrichtlinien, Verfahren zur Risikobewertung und Behandlung. Hinzu kommen Erklärungen zur Anwendbarkeit (SoA) sowie Aufzeichnungen zur Überprüfung der ISMS-Effektivität.

ISO-27001-Zertifizierungsaudit

Nach der Implementierung der ISO-27001-Anforderungen folgt das Zertifizierungsaudit. Es besteht aus einem Stage-1- und Stage-2-Audit, in denen Auditoren die Dokumentation des ISMS überprüfen und dessen Praxistauglichkeit auf Herz und Nieren untersuchen. Sind die Prüfungen erfolgreich abgeschlossen, erhält die Organisation das ISO-27001-Zertifikat.

ISO-27001-Framework als Taktgeber

Als Leitlinie für die Umsetzung der ISO 27001 hat sich die Nutzung eines Frameworks bewährt. Es umfasst Werkzeuge, Methoden, Best Practices und Ressourcen für die Implementierung und die anschließende Zertifizierung. Ziel des Frameworks ist es, die drei essenziellen Aspekte –Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – durch kontinuierliche Sicherheitskontrollen zu gewährleisten.

Im Mittelpunkt des Frameworks steht ein prozessbasierter Ansatz, der einem so genannten Plan-Do-Check-Act (PDCA) Zyklus folgt. PDCA stellt sicher, dass die sich ständig ändernden Sicherheitsanforderungen im ISMS abgebildet und neue Bedrohungen in die Risikobewertung aufgenommen werden.

ISMS nach ISO 27001 und CISIS12®

SITS ist darauf spezialisiert, Unternehmen bei der Umsetzung und Zertifizierung nach ISO 27001 zu unterstützen. Dazu gehören maßgeschneiderte Beratungsdienstleistungen. Sie stellen sicher, dass das ISMS von Unternehmen und Behörden den Anforderungen des Standards entspricht und die individuellen Geschäftsbedürfnisse und -ziele reflektiert. Hierfür arbeiten die erfahrenen Berater von SITS eng mit Unternehmen zusammen, um ein flexibles und anpassbares ISMS zu entwickeln, das Informationssicherheitsprozesse optimiert und gleichzeitig globale Standards erfüllt. Darüber hinaus bietet SITS Beratungsleistungen für Unternehmen, die den CISIS12-Standard verwenden möchten. CISIS12 (Critical Information Infrastructure Security) wurde als Rahmenwerk vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und ist speziell auf die Bedürfnisse von kleinen und mittelständischen Unternehmen (KMU) zugeschnitten.

Re-Audit alle drei Jahre

Unabhängig davon, ob ISO 27001 für große Konzerne oder mittelständische Betriebe im Pflichtenheft steht, gilt: Mit der Zertifizierung allein ist es nicht getan. Vielmehr sollte die ISO-27001-Zertifizierung als Investition in die langfristige IT-Sicherheit des Unternehmens betrachtet und auch im Geschäftsalltag so behandelt werden. Damit aus der Konformität ein laufender Prozess wird, sind kontinuierliche Verbesserungen von sicherheitsrelevanten Einflussfaktoren sowie eine regelmäßige Optimierung des Risikomanagements unentbehrlich. Mehr noch: Um die ISO-27001-Zertifizierung bewahren zu können, müssen sich Organisationen alle drei Jahre sogenannten Re-Audits unterziehen. Sie stellen die fortlaufende Konformität und Wirksamkeit des ISMS sicher. Jährliche Überwachungs-Audits, Anpassungen des ISMS sowie regelmäßige Mitarbeiterschulungen stellen sicher, dass keine unliebsamen Überraschungen drohen.

ISO-27001: Treiber für die Digitalisierung

Durch ihre hohe Relevanz spielt die ISO-27001-Zertifizierung eine entscheidende Rolle auf dem Weg in die digitale Transformation mit Cloud- und Remote-Arbeit sowie 24/7 Onlineservices. Daten sind z eines Unternehmens und somit ist die Absicherung geschäftskritisch geworden. Die ISO-27001-Zertifizierung bietet einen standardisierten Rahmen für ein wirksames Informationssicherheitsmanagement, der es Unternehmen ermöglicht, ihre digitalen Assets vor Bedrohungen zu schützen.

Das Schreckgespenst Fachkräftemangel geht um. Die Generation der Babyboomer, die einen Großteil der heute in Deutschland Beschäftigten ausmacht, wird bald das Rentenalter erreichen. Dazu kommen noch etliche Herausforderungen durch Hybrid-Work, KI, Cloud-Migrationen, ein halbes Dutzend neuer Compliance-Richtlinien und neue Bedrohung,  die dafür sorgen, dass Firmen verschiedenster Branchen die Fachkräfte ausgehen. Laut Branchenverband Bitkom sind derzeit rund 149.000 Stellen für IT-Experten unbesetzt. „Zu wenige Fachkräfte und zu viel Regulierung bremsen das digitale Deutschland“, mahnt in diesem Zusammenhang Bitkom-Präsident Dr. Ralf Wintergerst. Unternehmen, denen Mitarbeiter fehlen, müssen deshalb dringend handeln. Eine Option, mangelndes Wissen und fehlende Man-Power in den eigenen Reihen abzufedern, sind Managed Services.

Von MSP und ausgelagerten Prozessen: Das können Managed Services

Doch was sind Managed Services genau? Unter Managed Services versteht man die Auslagerung bestimmter IT-Funktionen, wiederkehrender IT-Dienstleistungen und -Prozesse, an einen externen Dienstleister. Dieser nennt sich Managed Services Provider, kurz MSP. Derartige Services werden in der Regel aus der Ferne erbracht und verwaltet, so dass Unternehmen die Verantwortung für bestimmte Aspekte ihres IT-Betriebs an externe Experten abgeben können. Es gibt aber auch die Option, firmeneigene Räume zur Verfügung zu stellen.

Managed Services können eine breite Palette von IT-Funktionen abdecken. Beispiele sind Infrastrukturmanagement, Netzwerküberwachung, Sicherheitsmaßnahmen, Datensicherung und -wiederherstellung, Anwendungs-Hosting und technischer Support. Unternehmen nutzen so kostengünstig und effizient externes Fachwissen, verbessern die eigenen IT-Fähigkeiten und optimieren ihre Performance. Das ist aber noch nicht alles, denn Managed Services helfen auch, die Belastung zu verringern, die durch die interne Verwaltung komplexer IT-Umgebungen aufkommen kann.

Managed Services-Vorteile und -Optionen auf einen Blick:

  • Planbare Kosten: Managed Services werden zumeist als Abonnement angeboten, so dass Unternehmen IT-Ausgaben besser vorhersagen und budgetieren können. Statt hoher Vorlaufkosten für IT und Personal zahlen sie eine wiederkehrende Gebühr – sie bezahlen zudem nur für die Leistungen, die wirklich benötigt werden.
  • Verbesserte Sicherheit und Compliance: MSP sind von Haus aus auf „Compliance“ getrimmt und schützen sensible Daten und Systeme vor Cyber-Bedrohungen und Compliance-Brüchen.
  • Konzentration aufs Kerngeschäft: Durch die Auslagerung von IT-Routineaufgaben und -Verantwortlichkeiten an einen MSP können Unternehmen ihre IT-Teams einfach mal durchatmen lassen und sich auf ihr Kerngeschäft konzentrieren, Innovationen angehen und schlicht produktiver arbeiten.
  • Proaktive Überwachung und Wartung: MSP überwachen die Leistung und den Zustand von IT-Systemen und -Infrastrukturen kontinuierlich – je nach Modell entweder zu bestimmten Zeiten (9 to 5) oder 24/7. Sie entdecken Schwachstellen proaktiv und minimieren Ausfälle im Betrieb.
  • Experten-Knowhow: MSP beschäftigen Teams qualifizierter Experten, die über Fachwissen in verschiedenen IT-Bereichen verfügen, darunter Netzwerke, Cyber-Sicherheit, Cloud Computing und Anwendungsentwicklung – Wissen, dass sich intern nur teuer durch Trainings und Recruiting von Experten erkaufen lässt.
  • Flexibilität: Managed Services sind so konzipiert, dass ganz einfach mit dem Betrieb skalieren. Egal, ob der Betrieb ausgeweitet wird, neue Benutzer hinzukommen oder neue Technologien eingeführt werden: Unternehmen können ihre Managed Services jederzeit problemlos erweitern.

Managed Services vs. Outsourcing

Die Auslagerung von IT-Aufgaben ist beliebt: Der Umsatz im IT-Outsourcing-Markt soll 2024 bei rund 147,6 Milliarden Euro liegen. Doch wie unterscheiden sich Managed Services vom klassischen Outsourcing? Eins vorweg: Auch Managed Services werden ausgelagert – hier gibt es also begriffliche Überschneidungen: Beim Managed Service übernimmt der Dienstleister die Verantwortung für bestimmte Aufgaben und Dienstleistungen, oft mit einem höheren Maß an Autonomie. Der Kunde konzentriert sich auf seine Kerngeschäftstätigkeiten, während der Dienstleister die Verwaltung und Wartung der Dienstleistungen übernimmt.

Beim klassischen Outsourcing werden hingegen bestimmte Geschäftsprozesse oder Funktionen an einen externen Dienstleister ausgelagert. Der Dienstleister führt diese Aufgaben im Namen des Kunden durch, doch der Kunde behält zumeist eine gewisse Kontrolle und Verantwortung. Da nur bestimmte Unterabteilungen und IT-Services an den Dienstleister gehen, verbleibt die IT im Haus des Kunden. Dieser hat also auch weiterhin das Sagen hinsichtlich seiner Infrastruktur, IT-Struktur und Abläufe. Die zu erbringenden IT-Dienstleistungen sind schon im Voraus genau definiert und müssen regelmäßig auf Grundlage von Service Level Agreements (SLA) bereitgestellt werden.

  • Managed Services können sehr spezifisch auf den individuellen Bedarf abgestimmt werden, da sie oft kleinteiliger sind.
  • Managed Services können kosteneffektiver sein, da nur das eingekauft wird, was auch benötigt wird.

Managed Services Provider vs. klassischer IT-Dienstleister: Hierauf kommt’s an

Der Hauptunterschied zwischen einem Managed Service Provider und einem klassischen IT-Dienstleister liegt in seinem Dienstleistungsmodell, den Verantwortlichkeiten und dem Umfang der bereitgestellten Dienstleistungen sowie in der Art der Beziehung gegenüber dem Kunden.

Managed Service Provider   Klassischer IT-Dienstleister
 

Dienstleistungen auf Basis eines abonnement-basierten Modells:

Kunden zahlen zumeist eine regelmäßige Gebühr für die bereitgestellten Services, die auf einer Service-Level-Vereinbarung (SLA) basieren. MSP übernehmen die Verantwortung für die Verwaltung und Wartung bestimmter IT-Funktionen und -Systeme ihrer Kunden.

   

Dienstleistungen auf Anfrage:

Berechnung in der Regel auf Stundenbasis oder projektorientiert. Kunden beauftragen den Dienstleister für spezifische Projekte, Problemlösungen oder Beratungsleistungen, und die Abrechnung erfolgt je nach erbrachter Leistung.

 

Langfristige Partnerschaft:

MSP bietet kontinuierliche Unterstützung sowie Beratung über einen längeren Zeitraum hinweg. Zudem arbeitet der Service Provider eng mit seinen Kunden zusammen, um IT-Infrastruktur und -Dienste kontinuierlich zu verbessern.

   

Engagement für spezifische Projekte oder Aufgaben:

Dienstleistungen können zeitlich begrenzt sein. Sobald das Projekt abgeschlossen ist, endet die Zusammenarbeit in der Regel, es sei denn, es gibt weitere Anforderungen oder Projekte.

 

Verwaltung und Betrieb spezifischer IT-Dienste:

Beispiele sind Netzwerküberwachung, Sicherheitsmanagement, Daten-Backup, Cloud-Hosting usw.. Der MSP agiert als verlängerter Arm des Unternehmens und übernimmt die täglichen Betriebsaufgaben.

   

Vollumfängliche Dienstleistungen:

Lösungen für konkrete technische Probleme oder Projekte. Dies kann die Entwicklung einer maßgeschneiderten Software-Anwendung, die Bereitstellung von Hardware und Software oder die Durchführung einer IT-Infrastrukturüberprüfung umfassen.

Stellt sich die Frage: Was eignet sich für welches Unternehmen oder welche Anforderung? Sollte lieber ein MSP oder der klassische IT-Dienstleister gewählt werden? Entscheidend sind hier Definition und Anforderungen. Im Allgemeinen lässt sich sagen: Liegen sehr spezielle Anforderungen, beispielsweise an Produkte oder Aufgaben vor, ist der Managed Service die angemessene Wahl. Sollte Unterstützung vollumfänglich stattfinden oder betrifft sie Inhalte, die durch ganze Abteilungen abgebildet werden, rückt das klassische Outsourcing mittels IT-Dienstleister in den Vordergrund.

Wie können Managed Services helfen, dem Fachkräftemangel zu begegnen?

Managed Services bieten somit viele Vorteile und sind Aufgrund ihrer Vielseitigkeit ein gutes Mittel gegen Fachkräftemangel. Das liegt zum einen daran, dass eine Auslagerung von IT-Aufgaben helfen kann, vorhandene Talente besser auszulasten, da nicht jeder alle Fachkräfte inhouse haben muss.

Außerdem lassen sich mit Managed Services:

  • zeitkritische Themen schneller angehen
  • zeitintensive Aufgaben, wie Log-Analyse oder Dokumentation, auslagern, um Inhouse-Personal zu entlasten
  • die Abhängigkeit von Fachwissen im Sinne des „Brain Drain“ minimieren, da die Fachkompetenz ausgelagert ist

So manches Unternehmen hat aufgrund begrenzter Ressourcen und Fachkenntnisse Schwierigkeiten, die Einhaltung von Branchenvorschriften und Sicherheitsstandards zu gewährleisten. Managed Services können in Sachen Compliance wertvolle Unterstützung leisten – insbesondere in Zeiten fortschreitenden Fachkräftemangels. Hierdurch lassen sich teure Bußgelder und Strafen im Zusammenhang mit der Nichteinhaltung von Vorschriften vermeiden. Außerdem umfassen Managed Security Services häufig fortschrittliche Funktionen zur Aufdeckung von und zur Reaktion auf Bedrohungen, etwa Security Information and Event Management (SIEM), Intrusion Detection and Prevention Systems (IDPS) sowie Threat Intelligence Analysis. Mit derartigen Technologien werden aufkommende Bedrohungen effektiver erkannt und abgewehrt als beim alleinigen Einsatz interner Ressourcen. Wenn es an Mitarbeitenden mangelt, sind das Fachwissen und die Erfahrung von MSP Gold wert, um die Sicherheit zu verbessern und komplexe technische Herausforderungen zu bewältigen.

Durch die Zusammenarbeit mit erfahrenen MSP und MSSP, wie den Experten der SITS, stärken Unternehmen ihre IT-Sicherheit, steigern die betriebliche Effizienz und verringern die mit der sich ständig weiterentwickelnden Bedrohungslandschaft verbundenen Risiken.

In der IT steht Workload für die „Arbeitslast“, die eine IT-Komponente aufbringen muss, gemessen in Zeitaufwand und Rechenressourcen – das fängt bei einer einfachen Datenbank an und hört bei komplexen wissenschaftlichen Berechnungen, etwa bei der Krebsforschung im Rechenzentrum auf. Fast alle Services, Apps oder Berechnungen Ihrer Belegschaft in der Cloud (oder auch lokal im Netzwerk) sind als „Workloads“ zu bezeichnen.  Diese Workloads sind somit stark vernetzt, völlig ortsunabhängig und quer verteilt über zahlreiche Programme und Onlinedienste, die ein Unternehmen nutzt – was zu einer deutlich höheren Angriffsfläche führt!

Kurzum: Workloads müssen angemessen gesichert werden. Eine Option, Unternehmen bei dieser Herausforderung zu unterstützten, ist Secure Access Service Edge (SASE). Mit diesem Cyber-Sicherheitsansatz, der Netzwerk- und Sicherheitsfunktionen in eine Cloud-basierten Architektur integriert, lässt sich die Sicherheit und Verbindung von Cloud-Lösung kontrollieren und verbessern.

Workload Security, darum geht’s

Aktuelle Berechnungen gehen davon aus, dass die weltweiten Kosten im Zusammenhang mit Cyber-Kriminalität in den nächsten vier Jahren sprunghaft ansteigen: von 9,22 Billionen Dollar 2024 auf 13,82 Billionen Dollar 2028. Hier setzt Workload Security an, denn IT-Workloads sind wie eingangs erwähnt, alle Arbeiten, die auf einer IT-Instanz, etwa in der Cloud platziert sind – kleine Rechenoperationen, komplexe Datenanalysen oder intensive geschäftskritischer Anwendungen.

Das Niveau und die Art der Arbeitslasten beeinflussen die Leistung eines Systems. Wird die Workload zu groß, kann sie ohne wirksames Management zu Unterbrechungen oder Verlangsamungen der Systeme führen.

Diese Workloads sollten man im Auge haben:

  • Speicher-Workloads sind Dienste, die viel Datenspeicher benötigen, beispielsweise Content-Management-Systeme und Datenbanken.
  • Rechen-Workloads sind Anwendungen, die Rechenleistung und Speicher benötigen, um Funktionen auszuführen. Das können VMs, Container und serverlose Funktionen sein.
  • Netzwerk-Workloads, wie Video-Streaming und Online-Spiele, erfordern eine hohe Netzwerkbandbreite und geringe Latenzzeiten.
  • Big-Data-Workloads benötigen die Verarbeitung und Analyse großer Datenmengen, darunter maschinelles Lernen (ML) und künstliche Intelligenz.
  • Web-Workloads sind Anwendungen oder Dienste, auf die über das Internet zugegriffen wird. Hierzu gehören E-Commerce-Seiten, Social-Media-Plattformen und webbasierte Anwendungen.
  • High-Performance-Rechenlasten beziehen sich auf Dienste, die eine hohe Verarbeitungsleistung benötigen, Beispiele sind Wetter- und Finanzmodellierung.
  • Das Internet der Dinge (IoT) erfordert die Verarbeitung und Analyse von Daten aus Sensoren und anderen Geräten, wie etwa in Smart Homes, industrieller Automatisierung und vernetzten Fahrzeugen.

Ziel der Workload Security ist es, die Sicherheit und Verfügbarkeit in all diesen Bereichen zu gewährleisten und alle Operationen vor Cyber-Bedrohungen zu schützen.

Workload Security beinhaltet:

  • Zugriffskontrolle – soll sicherstellen, dass nur autorisierte Benutzer oder Prozesse mit Workloads und sensiblen Daten interagieren können.
  • Datenverschlüsselung – soll den unbefugten Zugriff auf sensible Informationen verhindern.
  • Schwachstellen-Management – soll durch regelmäßiges Scannen und Patchen von Schwachstellen vor Sicherheitslücken und Software-Fehlern schützen.
  • Intrusion Detection und Prevention – soll durch Überwachung und proaktive Maßnahmen Eindringlinge abwehren.
  • Logging und Auditierung – soll durch detaillierte Protokollierung und regelmäßiges Überprüfen helfen, Sicherheitsvorschriften einzuhalten und im Falle eines Falles sofortige Gegenmaßnahmen einzuleiten.
  • Endpunkt-Sicherheit – soll gewährleisten, dass die Endpunkte, auf denen sich Arbeitslasten wie Server, virtuelle Maschinen oder Container befinden, angemessen geschützt sind.
  • Cloud-Sicherheit – soll Workload-Sicherheitspraktiken auf Cloud-Umgebungen ausweiten, darunter Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS).
  • Automatisierung – soll Sicherheitsabläufe straffen und die Reaktion auf Sicherheitsvorfälle beschleunigen.

Eine wichtige Rolle bei der Workload-Sicherheit spielt Secure Access Service Edge (SASE), denn mithilfe dieser Cloud-basierten Sicherheitsarchitektur profitieren Unternehmen von einem umfassenden Rahmen für die Sicherung und Verwaltung von Zugriffen auf Workloads, Anwendungen und Daten unabhängig von ihrem Standort.

Was ist Secure Access Service Edge (SASE)?

SASE vereint Netzwerksicherheit und -konnektivität in einem einheitlichen Cloud-basierten Service und bietet einen ganzheitlichen Sicherheitsansatz, der die Dynamik moderner IT-Umgebungen adressiert. Das Secure Access Service Edge-Modell wurde als Konzept und Architektur von Gartner eingeführt, um Sicherheits- und Netzwerkfunktionen zu vereinen und als integrierten Service bereitzustellen. Ziel von SASE ist es, eine umfassende Cloud-native Plattform für die Sicherheit und Konnektivität bereitzustellen, die sich den Anforderungen moderner IT-Umgebungen anpasst. Die Komplexität herkömmlicher Sicherheits- und Netzwerkinfrastrukturen soll reduziert, die Leistungsfähigkeit verbessert und die Sicherheit für moderne, verteilte Arbeitsumgebungen gestärkt werden.

SASE bietet:

  1. Einheitliche Sicherheitsarchitektur: SASE integriert Sicherheitsfunktionen wie Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall as a Service (FWaaS), Secure Web Access Service (SWA) und Zero-Trust Network Access (ZTNA) in eine einzige, zusammenhängende Architektur. Das gewährleistet konsistente Sicherheitsrichtlinien für alle Workloads.
  2. Zero-Trust: SASE basiert auf dem Zero-Trust-Modell. Durch kontinuierliche Authentifizierung, Autorisierung und Zugriffskontrollen stellt SASE sicher, dass nur autorisierte Benutzer und Geräte auf Workloads und vertrauliche Daten zugreifen können.
  3. Edge-to-Cloud-Schutz: SASE bietet Sicherheit und Konnektivität vom einzelnen mobilen Endgerät bis zur Cloud und unterstützt Remote-Arbeitsmodelle sowie den Zugriff von Mobilgeräten und Zweigstellen auf Unternehmensressourcen.
  4. Cloud-native Sicherheit: SASE nutzt Cloud-native Technologien und Architekturen für die Bereitstellung von Sicherheitsdiensten aus der Cloud, so dass sich Sicherheitsfunktionen dynamisch entsprechend den Anforderungen der Arbeitslasten skalieren lassen. Durch die Verlagerung von Sicherheitsfunktionen in die Cloud macht SASE herkömmliche, hardwarebasierte Sicherheits-Appliances überflüssig. Das reduziert die Komplexität und erhöht die Flexibilität.
  5. Integriertes Reporting: SASE punktet mit einem einheitlichen Management- und Reporting-Framework, mit dem es Sicherheits- und Netzwerkdienste zentral verwaltet, Richtlinien durchsetzt und Compliance-Audits durchführen kann.
  6. Dynamische Durchsetzung von Richtlinien: Es lassen sich granulare Sicherheitsrichtlinien definieren, die auf kontextbezogenen Aspekten wie Benutzeridentität, Gerätezustand oder Standort basieren. Diese Richtlinien können dynamisch und in Echtzeit für alle Workloads und Zugriffspunkte durchgesetzt werden.
  7. Skalierbarkeit und Flexibilität: SASE bietet skalierbare und flexible Sicherheitslösungen, die sich an wechselnde Workloads und Geschäftsanforderungen anpassen können.

SASE-Fallstricke und Herausforderungen

Soweit die Vorteile. Aber es gibt auch Fallstricke, die bei der SASE-Implementierung beachtet werden sollten: Es ist wichtig, den Bedarf und die Anforderungen zu Beginn des Projekts klar zu formulieren, sodass es keine Ungereimtheiten gibt. Außerdem muss die Unterscheidung, ob nur der Zugriff ins lokale Netzwerk oder auch die Absicherung von Zugriffen zu Cloud oder Internet abgesichert werden soll, berücksichtigt werden. Last but not least sollte bereits im Vorfeld festgelegt werden, welcher Traffic von der SASE-Lösung unterstützt und somit auch geschützt wird. So lassen sich beispielsweise offene Flanken bei MS-Cloud-Traffic abdecken und Sicherheitslücken schließen.

Weitere Herausforderungen: Workload Security wird im Zusammenspiel mit SASE oft vor dem Hintergrund von On-Premise-Infrastruktur betrachtet. Manchmal kommen Legacy-Technologien zum Einsatz, die mit modernen Lösungsansätzen oder Architekturen nur schwer vereinbar sind. Hierauf sollte unbedingt geachtet werden. Bewerten Sie die verschiedenen Signale und Informationen im Rahmen des SASE detailliert, denn nur dann ist ein angemessen sicherer Betrieb gewährleistet.

Die SASE-Umsetzung kann auch daran scheitern, dass die mit der Realisierung betraute Personengruppe falsch gewählt wurde, etwa lediglich die Netzwerkabteilung, obwohl mehrere Bereiche eingebunden werden müssen. Eine weitere Schwierigkeit ist, wenn die Umsetzung isoliert angegangen wird, obwohl SASE im Rahmen einer Zero-Trust-Architektur zu betrachten ist. Hierzu gehört immer auch Identity und Client Management, da bei SASE auch andere Informationen außer reine Credentials betrachtet werden. Beispielsweise muss Compliance zu Vorgaben für den Patch-Stand eines Geräts gegeben sein oder geklärt werden, welche Anmeldemethode, etwa starke Authentifizierung, verwendet wird. Es werden also zusätzliche Gerätesignale kontrolliert. Hinzukommen plattformspezifische Überprüfungen, wie der erzeugte Traffic, die genutzten Anwendungen und mehr.

Mit den erfahrenen Workload Security- und SASE-Experten der SITS umgehen Sie diese Hürden und erhalten 360-Grad-Absicherung aus einer Hand. Das CSIRT (Computer Security Incident Response)-Team der SITS bereitet Sie und Ihre Workloads auf den Ernstfall vor und sorgt bei Attacken für sofortige Absicherung und Wiederherstellung.

Mit DevOps wachsen Software-Entwicklung (Dev) und -Betrieb (Ops) zusammen. Tools zur Prozessautomatisierung, die kontinuierliche Integration und das Teamwork zwischen Dev- und Ops-Einheiten fördern die Effizienz der gesamten Entwicklung. Die agile Entwicklung hat neben Vorteilen wie einer hohen Software-Qualität, Innovationsfähigkeit und schnellen Bereitstellung auch eine Schattenseite: Isolierte Sicherheitsmodelle verlieren an Wirksamkeit, weil Security-Prüfungen und -Optimierungen nun den gesamten DevOps-Lifecycle umfassen und ineinandergreifen müssen.

DevSecOps: Sicherheit ohne Bruchstellen

Mit DevSecOps hat sich deshalb ein Modell etabliert, das Sicherheitsaspekte und -verfahren von Anfang als integrale Bestandteile des Entwicklungsprozesses betrachtet, anstatt sie, wie bisher, als separate Phase oder Nachbearbeitung zu behandeln.

Ziel ist es, Sicherheitslücken trotz der heterogenen Zusammenarbeit zwischen Devs und Ops frühzeitig zu erkennen, zu beheben und präventive Maßnahmen ergreifen zu können. Damit entsteht nicht nur eine Kultur der gemeinsamen Verantwortung, Sicherheitsmaßnahmen und -Tools decken nun auch den kompletten DevOps-Lebenszyklus ab.

Das beginnt bereits mit dem Design und der Definition von Sicherheitsanforderungen und -zielen sowie der Auswahl geeigneter Architekturen und Technologien. Auch im Microsoft-Kosmos haben sich bewährte Praktiken, Werkzeuge und Ressourcen durchgesetzt. Dazu gehört in erster Linie der Microsoft Security Development Lifecycle (SDL). SDL integriert Sicherheitsstrategien und -verfahren in alle Phasen des Entwicklungsprozesses, von der Planung, über das Design und die Implementierung, bis hin zur Überprüfung und Wartung. Um die Anfälligkeit für Angriffe während der Entwicklungsphase zu reduzieren, haben sich Werkzeuge wie die Microsoft Security Code Analysis Tools bewährt. Sie ermöglichen es, den entwickelten Code automatisch und kontinuierlich auf Schwachstellen zu überprüfen und zu beheben, noch bevor die Anwendung in die produktive Umgebung gelangt.

Steht dann die Bereitstellung im Pflichtenheft, ist eine kontinuierliche Integrations- und Bereitstellungs-Pipeline (CI/CD) zweckmäßig. Sie umfasst Sicherheitstests und -überprüfungen für jeden Schritt: Dienste wie Microsoft Azure DevOps Services lassen sich beispielsweise dazu verwenden, die Pipeline zu erstellen und zu verwalten, während Komponenten wie Microsoft Azure Security Center die Anwendungen und Infrastruktur in der Cloud schützen und überwachen.

Schutz für Container und Microservices

Neue Sicherheitsstrategien sind allerdings auch nötig, wenn es um die Implementierung von Container-Technologien und Microservices geht. Um Schwachstellen in Container-Images und Microservices zu identifizieren und zu beheben, finden in der Regel folgende Werkzeuge Beachtung:

  • Microsoft Azure Container Registry verwendet vertrauenswürdige Quellen für Container-Images und umfasst regelmäßige Aktualisierungen, um bekannte Sicherheitslücken zu schließen.
  • Microsoft Azure Defender for Container Registries scannt Container-Images auf Schwachstellen, bevor sie in die CI/CD-Pipeline gelangen.
  • Microsoft Azure Kubernetes Service (AKS) dient der Implementierung von Sicherheitsrichtlinien und -regeln für Container-Orchestrierung und -Ausführung.
  • Microsoft Azure Monitor und Azure Sentinel eignen sich dazu, den Zustand und das Verhalten von Containern und Microservices zu überwachen und auf Anomalien zu reagieren.

Um schließlich den Zugriff und die Nutzung von vertraulichen Informationen in DevOps-Pipelines zu verwalten und zu schützen, haben sich sichere Speicherorte wie Microsoft Azure Key Vault durchgesetzt. Eine Zusammenführung von Azure Key Vault mit DevOps-Tools, wie Azure DevOps Services, ermöglicht es DevOps-Teams, den authentifizierten Zugriff auf sensible Inhalte während des Build- und Bereitstellungsprozesses zu automatisieren.

Prävention gegen Cyber-Attacken

Und auch für den Schutz der DevOps-Infrastruktur vor möglichen Bedrohungen, wie DDoS-Angriffen und anderen Cyber-Attacken, hat Microsoft ein Paket geschnürt. Unter diesen Lösungen befindet sich Microsoft Azure DDoS Protection. Sie ermöglicht eine adaptive und intelligente Erkennung sowie Abwehr von Angriffen, die auf normale Datenverkehrsmuster von Anwendungen abzielen. Zusätzlich bietet Microsoft Azure Firewall die Möglichkeit, den ein- und ausgehenden Datenverkehr der Azure-Ressourcen zu filtern und zu überwachen. Dabei folgt die Filterung und Protokollierung des Datenverkehrs verschiedenen Kriterien, wie Anwendungen, Protokollen, Ports, Quellen und Zielen, wodurch eine zentrale Netzwerksicherheitskontrolle für die DevOps-Infrastruktur gewährleistet wird. Ein weiterer bedeutender Schritt zum Schutz moderner DevOps-Umgebungen ist Microsoft Azure Sentinel. Die Cloud-basierte Sicherheitsinformations- und Ereignisverwaltungsplattform (SIEM) sammelt Sicherheitsdaten aus verschiedenen Quellen, analysiert sie mithilfe Künstlicher Intelligenz (KI) und Maschinellem Lernen (ML) und visualisiert sie für eine umfassende Sicherheitsüberwachung und -analyse.

API: Schwächstes Glied der Kette

Um auch die Sicherheit von APIs und anderen Schnittstellen zu gewährleisten, greifen Entwicklungsteams häufig auf Microsoft Azure API Management, Azure Application Gateway und Microsoft Entra ID zurück. Diese Dienste umfassen ein weites Funktionsspektrum, darunter zentrales Management, Schutz vor Web-Bedrohungen sowie Identitätsmanagement. Weiterhin können Microsoft Azure DevOps Services dazu genutzt werden, verschiedene Tests wie statische Code-Analyse, dynamische Anwendungssicherheitstests und Penetrationstests durchzuführen.

Azure Security Center ermöglicht schließlich die Überwachung und Behebung von Sicherheitsrisiken und Schwachstellen in DevOps-Ressourcen. Um Sicherheitsrisiken im Zusammenhang mit Open-Source-Komponenten und -Frameworks anzugehen, empfiehlt sich der Einsatz von Microsoft Azure Defender for App Service zur regelmäßigen Überprüfung auf bekannte Sicherheitslücken sowie Azure Application Insights für die Überwachung und Verbesserung der Leistung und Zuverlässigkeit von Anwendungen. Abschließend ist es ratsam, Lösungen wie Microsoft Azure Sentinel, Azure Backup und Azure Site Recovery für Incident Response und Disaster Recovery in die DevOps-Umgebung zu integrieren.

Kein DevOps ohne Sec

Fest steht: Um agile Entwicklungsmethoden tatsächlich auch geschäftskritisch verwenden zu können, sind DevSecOps von entscheidender Bedeutung. Das gilt vor allem deshalb, weil in der zunehmend digitalisierten Welt Sicherheitsbedrohungen ständig zunehmen. Traditionelle Ansätze, bei denen Sicherheit erst am Ende oder in Teilbereichen des Entwicklungsprozesses berücksichtigt wird, sind nicht mehr ausreichend. Durch die Integration von „Sicherheit von Anfang an“ in den DevOps-Lebenszyklus werden Sicherheitslücken frühzeitig erkannt und behoben. DevSecOps fördert zudem eine proaktive Sicherheitskultur, in der Entwickler, Betriebsteams und Sicherheitsteams zusammenarbeiten, um sicherzustellen, dass Anwendungen und Systeme robust gegenüber Sicherheitsbedrohungen sind.

Biometrie – Sicherheit fast ohne Passwort

  • Identifikationssysteme auf Basis biometrischer Daten bieten eine gute Mischung aus Sicherheit und Komfort.
  • Bei der Einführung biometrischer Systeme sind erhöhte Anforderungen an den Schutz personenbezogener Daten zu beachten.
  • Biometrische Merkmale sind schwer zu fälschen, sollten jedoch niemals als alleinige Authentifizierung für den Zugang zu kritischen Systemen verwendet werden.

Moderne IT-Sicherheit ist ohne Biometrie nicht mehr denkbar. Ob am Handy oder am PC – biometrische Merkmale wie Fingerabdruck und Gesichtsstruktur werden täglich milliardenfach zur Anmeldung an Geräten genutzt. Sie versprechen Sicherheit und Bequemlichkeit, ersparen sie dem Nutzer doch die umständliche Eingabe komplexer Logins und Passwörter. Doch wie sicher ist die Technik wirklich? Welche Grundlagen sind nötig und was muss beachtet werden, wenn man Biometrie in der IT-Sicherheit einsetzen will? Dieser Post gibt einen Überblick.

Wie funktioniert Biometrie?

Unter dem Begriff Biometrie werden verschiedene Verfahren zusammengefasst. Am bekanntesten ist wohl die Erkennung von Fingerabdrücken, wie sie in vielen Smartphones zum Einsatz kommt. Spätestens seit Apple das FaceID-System in seinen Produkten eingeführt hat, ist auch die Erkennung der Gesichtsgeometrie über Kameras weit verbreitet.

Darüber hinaus gibt es weitere Verfahren, die eine biometrische Erkennung ermöglichen. So können beispielsweise die Iris oder die Netzhaut des Auges zur Identifikation genutzt werden. Ebenso eignet sich das Venenmuster der Hand und auch die Analyse der DNA ermöglicht eine genaue Identifikation.

Neben diesen gängigen Methoden gibt es auch exotischere Ansätze: So gibt es Verfahren, die Menschen anhand ihres Gangs, ihres Körpergeruchs, ihrer Unterschrift oder ihres Tippverhaltens auf einer Tastatur erkennen können.

Diese vier Faktoren sind wichtig

Egal welches Verfahren angewandt wird – es muss vier Voraussetzungen erfüllen:

  • Eindeutigkeit: Die Merkmale dürfen tatsächlich nur bei jeweils einer Person auftauchen.
  • Konstanz: Die Ausprägung des Merkmals darf nicht vom Alter oder der Umgebung abhängen.
  • Messbarkeit: Es muss klar definierte Messgrößen und -verfahren geben.
  • Universalität: Möglichst viele Personen sollen das betreffende biometrische Merkmal aufweisen.

Sind Fingerabdrücke wirklich einzigartig?

Seit weit über 100 Jahren gilt der Fingerabdruck als ideales Mittel zur eindeutigen Identifizierung von Personen. Die Methode beruht auf der bislang unbewiesenen Annahme, dass jeder Fingerabdruck absolut einzigartig ist.

Eine Studie aus dem Jahr 2024 stellt diese Annahme infrage. Eine KI-basierte Analyse von über 60.000 Fingerabdrücken hat ergeben, dass es signifikante Ähnlichkeiten zwischen den Mustern verschiedener Finger gibt.

Für die Biometrie stellt dies jedoch kein Problem dar. Denn die gefundenen Ähnlichkeiten bestehen zwischen den verschiedenen Fingern ein und derselben Person. Eine Verwechslung zweier Personen anhand eines Fingerabdrucks ist daher nach wie vor praktisch ausgeschlossen.

Die notwendige Technik

Grundsätzlich funktioniert jede biometrische Erkennung nach dem gleichen Prinzip.

  1. Zunächst muss der Nutzer registriert werden. Bei diesem Enrolment werden alle relevanten Merkmale erfasst, die zu seiner eindeutigen Identifizierung notwendig sind.
  2. Aus diesen Daten werden mit einem Algorithmus sogenannte Templates Sie enthalten nicht mehr die vom jeweiligen Sensor erfassten Rohdaten, sondern nur die für den späteren Vergleich notwendigen Informationen. Diese Templates werden verschlüsselt gespeichert.
  3. Soll eine Person später biometrisch identifiziert werden, wird beim sogenannten Matching der neue Datensatz (also zum Beispiel der Finger auf dem Sensor) mit den gespeicherten Daten im Template verglichen. Dabei kommt es praktisch nie zu einer exakten Übereinstimmung der Daten. Sie werden also nicht auf absolute Gleichheit, sondern auf hinreichende Ähnlichkeit im Rahmen einer vorher definierten Toleranz geprüft.

Um diese Methode umzusetzen, ist neben einem entsprechenden Scanner, etwa einem Kamerasystem, auch ein leistungsfähiger Computer nötig. Der muss nicht nur fähig sein, das Matching durchzuführen, er muss gleichzeitig auch sensible Daten schnell und sicher verschlüsseln können.

Voraussetzung in Unternehmen

Für den Einsatz biometrischer Verfahren in Unternehmen ist es wichtig, dass die erhobenen Daten tatsächlich nur für den geplanten Zweck ) genutzt werden, beispielsweise zur Zugangskontrolle oder zur Anmeldung an Systemen. Weitere Daten müssen aus den Rohdaten entfernt werden – es dürfen also nur Template-Daten gespeichert werden.

Optimal ist eine Speicherung der biometrischen Daten beim Mitarbeiter, also etwa auf einer Chipkarte oder innerhalb einer Smartphone-App. Müssen biometrische Daten zentral gespeichert werden, sollten sie pseudonymisiert und verschlüsselt werden.

Wichtig: Bei der Einführung biometrischer Verfahren sollten sowohl der Betriebsrat als auch Datenschutzbeauftrage frühzeitig eingebunden werden. Eine verdeckte Erfassung der Mitarbeitenden ist nicht zulässig.

Wie sicher sind biometrische Verfahren?

Je nach eingesetztem Verfahren ist das Sicherheitsniveau sehr unterschiedlich. So gibt es Gesichtserkennungssysteme, die nur mit einer Kamera arbeiten. Diese können zum Teil mit einem einfachen Foto überlistet werden. Fortgeschrittene Gesichtserkennungssysteme (wie z.B. FaceID von Apple oder Hello von Microsoft) verwenden daher bis zu drei Kameras und eine damit verbundene Erfassung der Gesichtsgeometrie – und erreichen so ein sehr hohes Sicherheitsniveau.

Ähnlich sieht es bei Fingerabdruck-Scannern aus. Einfache Systeme erkennen nur das Muster der Fingerkuppe, bessere Sensoren messen, ob es sich tatsächlich um einen Finger oder nur um einen Gegenstand mit einem Muster darauf handelt.

Generell bieten biometrische Verfahren einen guten Kompromiss zwischen Sicherheit und Komfort. Die meisten Systeme können umgangen werden, allerdings ist der Aufwand dafür hoch.

Bei kritischen Systemen sollte die Biometrie nie allein, sondern immer in Kombination mit anderen Authentisierungsfaktoren (wie Passwörtern, Schlüsselgeneratoren etc.) eingesetzt werden.

Stellt Biometrie ein Datenschutz-Risiko dar?

Biometrische Daten ermöglichen die direkte Identifizierung von Personen. Ihre Speicherung unterliegt daher dem Bundesdatenschutzgesetz. Lassen die erhobenen Daten Rückschlüsse auf die ethnische Herkunft oder den Gesundheitszustand zu (z.B. Iris-Scan, Gesichtserkennung etc.), gelten sie als besonders schützenswert. Für ihre Erhebung ist die ausdrückliche Einwilligung der Betroffenen erforderlich. Unabhängig von der Art der erhobenen biometrischen Daten sollten die Informationen nur verschlüsselt und bestenfalls nie zentral auf einem Server, sondern dezentral beim jeweiligen Nutzer gespeichert werden.

Das Bundesamt für Sicherheit in der Informationstechnik rät, biometrische Systeme nur sparsam einzusetzen. Anders als ein verlorenes Passwort können Fingerabdruck, Gesichtsgeometrie & Co. nicht einfach ausgetauscht werden, wenn sie einmal kompromittiert sind. Biometrische Daten sollten daher nur bei vertrauenswürdigen Anbietern hinterlegt werden.

Wichtig bei der Implementierung ist auch: Biometrische Daten sollten nie als alleinige Zugangsinformation hinterlegt werden. Die Kombination mit Passwörtern, PINs etc. erhöht Sicherheit und Zuverlässigkeit der Anmeldung.

Fazit: Biometrie als guter Kompromiss aus Sicherheit und Bequemlichkeit

Richtig eingesetzt kann Biometrie die Sicherheitsarchitektur einer Organisation sinnvoll erweitern. Die Benutzerakzeptanz ist hoch, die Handhabung einfach und die Erkennungsqualität sehr gut. Dennoch müssen bei der Einführung wichtige Punkte wie Datenschutz, Verschlüsselung, Einwilligungspflicht und eine gründliche Schulung der Mitarbeitenden beachtet werden. Sind diese Faktoren erfüllt, ist die Biometrie sicherer und komfortabler als viele andere Authentifizierungsverfahren.

Threat Intelligence (TI), auch Cyber Threat Intelligence (CTI) genannt, liefert detaillierte und direkt umsetzbare Informationen zur Vermeidung und Bekämpfung von Cyber-Sicherheitsbedrohungen für Unternehmen und Organisationen. TI umfasst detaillierte, umsetzbare Bedrohungsinformationen, die Sicherheitsteams proaktives Handeln ermöglicht. Anhand von TI lassen sich gesteuerte und manuelle Maßnahmen ergreifen, um Cyber-Angriffe zu verhindern, bevor sie auftreten. Darüber hinaus helfen die Bedrohungsinformationen dabei, Angriffe schneller zu erkennen und darauf zu reagieren.

Warum ist Threat Intelligence so wichtig?

Nur mit aktuellen und detaillierten Informationen können Schutzlösungen, wie etwa eine Endpoint Detection and Response-Lösung, kurz EDR, bereits vor einem Angriff wissen, welche Bereiche eines Unternehmensnetzwerks aktuell im Fokus von Angreifern liegen. Neben EDR nutzen auch NDR-, SIEM- oder XDR-Lösungen diese Daten zur Verbesserung der Verteidigung.

Aber gute Threat Intelligence ist nicht nur wichtig für Schutzlösungen. Auch SOC-Teams eines Unternehmens und deren Threat Hunter nutzen die detaillieren Informationen, um direkt Schwachstellen im Unternehmensnetzwerk zu identifizieren und geeignete Gegenmaßnahmen einzuleiten. Setzt ein Unternehmen auf ein Managed-SOC-Team, setzt auch dieses Team Threat Intelligence ein.

Quellen für Threat Intelligence

Sicherheitsanalysten erstellen Bedrohungsinformationen, indem sie „rohe“ Bedrohungsdaten aus verschiedenen Quellen sammeln. Anschließend korrelieren und analysieren sie diese Daten, um Trends, Muster und Beziehungen im Zusammenhang mit tatsächlichen oder potenziellen Bedrohungen aufzudecken.

Eine Plattform, die solche Informationen liefert, ist zum Beispiel AV-ATLASs. Dort finden sich die ausgewerteten Bedrohungsdaten, die von den AV-TEST-Experten gesammelt und von den Analyse-Systemen des Instituts bereitgestellt werden. Die Plattform ist in der Basis-Version für jedermann kostenlos zugänglich und zeigt einen eindrucksvollen Ausschnitt der verfügbaren TI-Daten. Für Unternehmen stellt das System auch Threat Intelligence Feeds bereit, die sich mit Schutzlösungen verknüpfen lassen oder Threat Hunter mit passenden Tools nutzen können. Wie Maik Morgenstern, CTO der AV-TEST und selbst Threat Hunter, anmerkt: „Für die Auswertung eines potenziellen Vorfalls ist gute Threat Intelligence, zum Beispiel in Form von IoC – Indicators of Compromise – für Schutzlösungen sowie Threat Hunter unerlässlich. Mit Hilfe der in der TI enthaltenen TTPs – Tactics, Techniques, and Procedures – lässt sich eine IT-Security-Abwehr- oder Verteidigungsstrategie erst verlässlich planen und umsetzen.“

Weitere Quellen für Threat Intelligence sind CTI-Reports, wie der von AV-TEST, die in kurzen Zeitfenstern, hier wöchentlich, die Sicherheitslage beschreiben und über Angriffskampagnen von APT-Gruppen berichten. Aber auch über große Zeiträume angelegte Reports, wie zum Beispiel Check Point Software’s 2023 Cyber Security Report liefern wichtige Threat Intelligence in einer internationalen Übersicht. Der Bericht nennt Trends, besonders gefährdete Branchen, oft genutzte Angriffs-Tools und Taktiken, sowie Hintergründe zu Netzwerk- und Cloud-Angriffen. Weniger international ausgerichtet, aber nicht weniger informativ ist der aktuelle AV-TEST-Report „Cyber-Vorfälle in Zahlen: Das Jahr 2023“, der frei zum Download steht.

Was steckt alles in Threat Intelligence?

Die verfügbaren Threat Intelligence Feeds haben teils verschiedene Inhalte. Einige Schlüsselkomponenten sind:

  • Bedrohungen, die Unternehmen betreffen: Dabei geht es meist um aktuelle Kampagnen gegen bestimmte Branchen, zum Beispiel deren Lieferketten, die im Fokus von Angreifern stehen und um die Art und Weise, wie diese Attacken ausgeführt werden.
  • Bedrohungsakteure: Mit Hintergrunddaten zu APT-Gruppen und anderen Angreifern lassen sich Abwehrstrategien aus deren bisherigem Vorgehen entwickeln.
  • TTPs – Tactics, Techniques, and Procedures: TTP informiert über Techniken und Werkzeuge, die Angreifer bei ihren Attacken einsetzen.
  • IoCs – Indicators of Compromise: Diese Daten benennen Signale bzw. verdächtige Vorgänge, mit der sich eine Cyber-Attacke ankündigt und identifizieren lässt.
  • Ausgewertete Daten-Streams und Dateien: Aus einem Feed mit gefährlichen URLs wird zum Beispiel eine Endpoint-Schutzlösungen mit EDR versorgt. Diese verhindert aufgrund aktueller Informationen, dass Mitarbeitende eines Unternehmens auf gefährliche Websites gelangen oder als gefährlich klassifizierte Downloads durchführen.
  • Schwachstellenauswertungen: Hinweise zu neuen Schwachstellen, für die es noch keine Patches, aber bereits einen Walktrough oder vorläufige Gegenmaßnahmen gibt, wie etwa die Sperrung eines Netzwerk-Ports oder das Herabstufen von Nutzerrechten.

Die verschiedenen Arten von Threat Intelligence

Die Experten unterteilen Threat Intelligence häufig in drei Kategorien: strategisch, taktisch und operativ. Da diese Einteilung nicht standardisiert sind, wandern die Unterpunkte je nach bearbeitendem Experten etwas in den Kategorien. Klassisch sind sie wie folgt aufgeteilt:

  • Strategische Threat Intelligence: Diese Analyse ist stark zusammengefasst und richtet sich an Nicht-Experten, etwa Vorstandsmitglieder. Dabei wird der Fokus nur auf bedrohte Bereiche gelegt. Weiterhin stehen aktuelle Trends im Mittelpunkt die oft aus öffentlichen Reports stammen. Das Ganze ist eine Art Risikobarometer.
  • Taktische Threat Intelligence: Dabei werden bereits erste praktische Schritte eingeleitet und etwa IoCs genutzt, um Netzwerke zu prüfen und wahrscheinliche Angriffe abzuwehren. Die Informationen kommen meist per TI- oder CTI-Feed und werden in der Regel automatisiert ausgewertet.
  • Operative Threat Intelligence: Dieser Teil bezeichnet die TI während und nach einem Angriff. So werden aktuelle Informationen zu den Taktiken, Techniken und Verfahren (TTP) der Angreifer bewertet und genutzt. Aber auch nach der abgewehrten Attacke gilt es Rückschlüsse zu ziehen, etwa auf Angriffsziele: Hatten es die Angreifer auf bestimmte Daten abgesehen, und falls ja, welche? Oder ist der Angriff vielleicht nur als Test der einzelnen Verteidigungspunkte zu bewerten und der richtige Angriff steht erst noch aus?

Lebenszyklus von Threat Intelligence

Wenn Security-Experten vom Lebenszyklus einer Cyber-Bedrohung sprechen, meinen sie damit eine Aufteilung nach folgenden „Phasen der Bedrohung“:

  • Planning (Richtung)
  • Collection (Erfassung)
  • Processing (Verarbeitung)
  • Analysis (Analyse)
  • Dissemination (Verteilung)
  • Feedback

Dieser Prozess ist nicht einmalig, sondern sollte für eine perfekte und kostenoptimierte Cyber-Verteidigung immer wieder durchgespielt werden.

In der Phase „Richtung“ gilt es, Ziele für die Threat Intelligence zu setzen, etwa welche Teile des Unternehmens besonders geschützt werden müssen und welche Folgen ein Angriff haben könnte.

In der 2. Phase „Erfassung“ werden die Daten und IT-Strukturbereiche definiert, die in der 1. Phase als besonders gefährdet erkannt wurden. In dieser Phase sollte sich ein Unternehmen für die Datenquellen seiner zukünftige Threat Intelligence entscheiden, etwa Reports, Blogs, CTI-Feeds von Sicherheitsanbietern oder auch Metadaten aus dem eigenen Netzwerk, die etwa EDR oder SIEM liefern.

In der 3. Phase „Verarbeitung“ muss geklärt werden, wie der Strom an Information sinnvoll verarbeitet wird. Können verfügbare Systeme diese Feeds bereits direkt verwerten und haben SOC und Threat Hunter die richtigen Tools?

Ist das geklärt, geht es in die Phase 4, die „Analyse“. Dabei sollen die Informationen ausgewertet und in praktisch verwertbare Erkenntnisse transformiert werden. Die Ergebnisse dieser Prüfung zeigen auch schnell, ob noch wichtige Security-Tools fehlen und ob etwas das aktuelle Security-Budget ausreichend bemessen ist.

Die Phasen 5 und 6, „Verteilung“ und „Feedback“, nutzen die eigentlichen Erkenntnisse des Lebenszyklus von Threat Intelligence. Die Schlussfolgerungen müssen innerhalb der unterschiedlichen Teams eines Unternehmens umgesetzt werden, etwa dem SOC und der klassischen IT-Abteilung. Aber auch die Unternehmensleitung sollte in diese Phasen eingebunden sein. In der Feedback-Phase müssen die Verantwortlichen Abteilungs- und Projektleiter sicherstellen, dass alle Phasen zuvor auch sinnvoll für die Sicherheitsanforderungen und -ziele umgesetzt sind.

NIS2-Konformität durch Umsetzung von ISO/IEC 27001:2022

NIS2 stellt zahlreiche Anforderungen zur Beherrschung von Cyber-Risiken. Dies dient dem Schutz von Netz- und Informationssystemen, deren Nutzern und anderen Personen innerhalb der EU vor Umständen, Ereignissen oder Handlungen, die Verfügbarkeit, Authentizität, Integrität und/oder Vertraulichkeit von Daten oder Services beeinträchtigen. Um das erreichen zu können, müssen geeignete Prozesse – im NIS2-Kontext „Cyber-Sicherheitspraxis“ genannt – und Maßnahmen  – im NIS-Kontext „Cyber-Sicherheitshygiene“ genannt – wirksam implementiert werden.

Sowohl die Festlegung der benötigten Prozesse als auch die Ableitung geeigneter Maßnahmen erfolgt zweckmäßigerweise im Rahmen eines Informations-Sicherheits-Management-Systems (ISMS). Der zentrale und insbesondere EU-weit geltende Standard für ein ISMS ist die ISO/IEC 27001. Schon bei der Abfassung der NIS2-Richtlinie war ein enger Bezug zur ISO/IEC 27001 durch die Vorgabe aus Art. 21 Abs. 1 in Verbindung mit Erwägungsgrund 79 klar erkenntlich: Bei der Abwehr von Cyber-Risiken sind einschlägige internationale Normen wie die ISO/IEC 27000er Reihe einzubeziehen!

Neue Controls aus dem Annex A der ISO/IEC 27001, welche in der neuen Fassung der ISO/IEC 27002 näher beschrieben sind, eignen sich sogar perfekt zur Umsetzung von NIS2-Anforderungen. Bei der Erfüllung von NIS2-Vorgaben werden aber auch wesentliche Bestandteile aus dem unmittelbar im Rahmen einer Zertifizierung zu erfüllenden Teil der ISO/IEC 27001:2022 benötigt. Hier lohnt ein genauer Blick.

Ausrichtung des Risikomanagements

Bei der klassischen Informationssicherheit werden in erster Linie die Sicherheitsziele der Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Services geschützt. Im NIS2-Kontext kommt die Authentizität als eigenständig zu erfüllendes Sicherheitsziel hinzu.

Bei der üblichen Risikoanalyse wird nur die Auswirkung auf den unmittelbaren Betreiber der Netz- und Informationssysteme im Geltungsbereich von dessen ISMS betrachtet. Im NIS2-Kontext wird dies hinsichtlich unerwünschter Risiken für die Gesellschaft ausgeweitet.

Die neue Fassung der ISO/IEC 27001 fordert im Gegensatz zu ihrem Vorgänger nunmehr, dass die Erfüllung von Sicherheitszielen zu überwachen ist und Kriterien für ISMS-Prozesse festzulegen und deren Steuerung in Übereinstimmung mit diesen Kriterien zu erfolgen haben. An dieser Stelle konvergieren beide Rahmenwerke. Durch die angestrebte Beherrschbarkeit vor unerwünschten Beeinträchtigungen, die sich auch auf Nutzer und andere Personen auswirken können, wird ein Kriterium zur umzusetzenden Güte vorgegeben. Zugleich erhöht sich damit spürbar und nachdrücklich die erreichte Resilienz gegenüber bestehenden Cyber-Gefährdungen. Beide Seiten gewinnen also.

NIS2-spezifische Controls aus der ISO/IEC 27001:2022:

  • Die vorhandene Bedrohungslage ist explizit zu analysieren (A.5.7)
  • Zu schützende Daten sind gemäß aller vier Sicherheitsziele zu kennzeichnen (A.5.13)
  • Der komplette Lebenszyklus von Identitäten ist bei der Ausgestaltung von Zugangsrechten zu betrachten (A.5.16)
  • Die etablierte Cyber-Sicherheitspraxis in der Lieferkette ist ausdrücklich zu überwachen (A.5.19 – A.5.22)
  • Lessons Learned aus Vorfällen sind bei der Verbesserung der Cyber-Sicherheit zu nutzen (A.5.27)
  • Netz- und Informationssysteme müssen so ausgerichtet werden, dass sie Business Continuity-Ziele erfüllen und der Resilienz dienen (A.5.30)
  • Eingesetztes Personal und interessierte Parteien sind auf besondere Anforderungen zur Cyber-Sicherheit hin zu schulen (A.6.3)
  • Die Aufrechterhaltung physischer Sicherheit bedarf einer ständigen Überwachung (A.7.4)
  • Netz- und Informationssysteme sind sicher zu konfigurieren (A.8.9)
  • Unübliches Systemverhalten ist zu überwachen (A.8.16)
  • Nur sichere Netzwerke und Netzgeräte sind einzubinden (A.8.20)

Die oben aufgelisteten Controls haben im Zuge der Neufassung der ISO/IEC 27001 faktisch einen engen Bezug zu NIS2-Anforderungen bekommen und tragen damit aktiv zur NIS2-Konformität bei.

Mehrere Fliegen mit einer Klappe

Durch konsequente Umsetzung von NIS2-Anforderungen im Rahmen eines an der ISO/IEC 27001:2022 ausgerichteten ISMS wird damit nicht nur NIS2-Konformität erreicht, sondern auch ein zukunftsweisendes ISMS implementiert bzw. fortentwickelt. Das ist somit leichter zertifizierungsfähig und dient damit wiederum als Nachweis wirksam implementierter NIS2-Konformität der Cyber-Sicherheitspraxis in der Lieferkette.

Die Experten der SITS helfen Ihnen sowohl dabei, Ihr ISMS NIS2-konform bzw. konform zur neuen Fassung der ISO/IEC 27001auszurichten, sowie geeignete, zielorientierte und wirksame Maßnahmen zur Cyber-Sicherheitshygiene abzuleiten und praxistauglich umzusetzen.

Privileged Access Management – mehr Sicherheit für die wichtigsten Nutzer

  • PAM erhöht die IT-Security durch die konstante Überwachung sensibler Daten und Just-in-Time- und Just-Enough-Einschränkung von Zugriffsrechten.
  • Die Implementierung erfordert Sachverstand und eine umfassende Beurteilung der IT-Systeme und der gesamten Sicherheitsarchitektur.
  • Richtig eingesetzt minimiert PAM Risiken, unterstützt beim Reporting, schafft mehr Transparenz und hilft, Compliance-Vorgaben zu erfüllen.

Neben den Zugangsdaten für normale Benutzer gibt es in Unternehmensnetzwerken auch Accounts mit sehr weitreichenden Berechtigungen für Mitarbeitende, die Systeme administrieren oder auf sensible Daten zugreifen müssen. Wird einer dieser Accounts kompromittiert, kann schnell erheblicher Schaden entstehen. Ein Privileged Access Management (PAM) hilft, diese kritischen Accounts umfassend zu schützen. Wie PAM funktioniert, wie es implementiert wird und welche Vorkehrungen ein Unternehmen dafür treffen sollte, erfahren Sie in diesem Post.

Was leistet ein Privileged Access Management?

PAM ist eine moderne Form des Identitätsmanagements. Es wird im Wesentlich aus zwei Gründen eingesetzt: Zum einen, weil es die Sicherheit kritischer Daten steigert, indem es den Diebstahl von Anmeldeinformationen verhindert, Daten absichert und Angriffe erkennt, bevor Schaden entsteht. Wie wichtig dies ist, zeigt eine Untersuchung von Gartner, nach der rund 70 Prozent aller relevanten Sicherheitsvorfälle auf die Kompromittierung privilegierter Zugänge zurückzuführen sind.

Darüber hinaus kann der Einsatz von PAM notwendig sein, um Compliance-Standards einzuhalten oder entsprechende Vorgaben zu erfüllen. So erstellen PAM-Lösungen auch unveränderliche Audit-Trails, die nachweisen, dass erforderliche Zugriffskontrollen vorhanden und wirksam sind.

Was sind privilegiert Konten?

Privilegierte Konten sind im PAM-Kontext Nutzer-Zugänge, die weitreichende Zugriffsrechte auf Daten, Systeme und Dienste haben.

Das wohl naheliegendste Beispiel für ein privilegiertes Konto ist der Administrator, der Zugang auf sämtliche Systeme haben muss. Daneben gibt es aber auch Konten, die vollen Datenzugriff haben, weil ihre Nutzer Teil der Geschäftsführung sind, Accounts von Anwendern, die Apps verwalten und dafür Zugriff auf spezielle Administrations-Interfaces brauchen oder Konten von Nutzern, die Zugriff auf sensible Daten wie Zahlungsinformationen, Gesundheitsdaten, etc. haben. Sie alle werden vom Unternehmen mit Credentials ausgestattet, die mehr Rechte haben als Standardnutzer.

Wie wird PAM implementiert?

PAM kann entweder als Software-as-a-Service oder mit lokalen IT-Mitteln umgesetzt werden. In beiden Fällen ist ein umfassender Ansatz für die Verwaltung und Kontrolle von Konten, Zugängen, Systemen, Diensten und Prozessen erforderlich. Dabei kommt eine Zero-Trust-Architektur zum Einsatz, die Zugriffsrechte nach dem Least-Privilege-Prinzip verteilt. Das bedeutet, dass alle Zugriffe ständig überprüft werden und jeder Nutzer nur auf die Daten zugreifen kann, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt.

Die Implementierung einer PAM-Architektur sollte die folgenden Schritte umfassen:

  • Privilegiert Konten identifizieren: Im ersten Schritt wird ermittelt, wer überhaupt Credentials benötigt, die über die Rechte eines Standardnutzers hinausgehen. In der Regel werden hier zwei Gruppen unterschieden: Nutzern, die Zugriff auf sensible Informationen benötigen und IT-Administratoren, die Systeme und Dienste verwalten müssen.
  • Risiken bewerten: Wenn die erforderlichen Nutzer definiert sind, sollte für jeden Satz von Rechten eine Risikobewertung durchgeführt werden.
  • Kontrollen implementieren: Die Systeme müssen darauf vorbereitet werden, privilegierte Konten einzuschränken und zu überwachen. Mit welchen Mitteln dies geschehen kann, wird im Folgenden erläutert.
  • Die Kontrollen beziehen sich nicht nur auf Konten oder Benutzer. Auch Geräte und Dienste müssen mit entsprechenden Privilegien oder Einschränkungen versehen werden können.
  • Überwachung und Monitoring: Alle Aktivitäten der Mitarbeitenden im Netzwerk müssen überwacht und protokolliert werden. Diese Log-Daten werden ständig auf ungewöhnliche Aktivitäten oder auffällige Nutzungsmuster überprüft. Um Datenschutzprobleme zu vermeiden, sollten die gesammelten Daten so weit wie möglich pseudonymisiert werden.
  • Mitarbeitende schulen: Wenn alle Maßnahmen in Kraft sind, müssen die Mitarbeitenden für die Bedeutung von PAM sensibilisiert und in der Anwendung des Systems geschult werden.

Welche Elemente braucht ein PAM-System?

Ein PAM-System muss als Teil einer Sicherheits- und Risiko-Managementstrategie die Möglichkeit bieten, Personen, Dienste und Systeme zu identifizieren, die privilegierte Zugriffsrechte benötigen. Diese Zugriffe müssen gesichert, protokolliert und überwacht werden. Um diese Aufgaben erfüllen zu können, sind folgende Elemente erforderlich:

  • Privileged Password Management: Eine automatisierte Passwortverwaltung, die Credentials rollenbasiert mit Zugriffsrechten ausstattet. Optimal sind hier Lösungen, die es erlauben, sensible Zugriffsrechte auch zeitlich begrenzt zu vergeben. Darüber hinaus sollte das System ermöglichen, auch externen Partnern oder Gastbenutzern (zeitlich begrenzte) Berechtigungen zu erteilen.
  • Privileged Session Management: Ist ein System, das den Zugriff auf privilegierte Konten überwacht und protokolliert. Es kann auch Audit-Protokolle und Sitzungsaufzeichnungen zur Erfüllung von Compliance-Vorgaben erstellten.
  • Nutzungs-Analyse: Ein Analysesystem erfasst alle Aktivitäten und kann so frühzeitig auffällige Nutzungsmuster erkennen.
  • Flexible Rechte-Vergabe: Das System erkennt, ob Benutzer mit erweiterten Zugriffsrechten ihre Privilegien aktuell benötigen – und stuft diese Rechte gegebenenfalls auf eine niedrigere Sicherheitsklasse herab, wenn keine sensiblen Daten benötigt werden. Kritische Daten werden “just in time” angeboten und nicht ständig verfügbar gehalten.
  • Multi-Faktor-Authentifizierung (MFA): Alle privilegierten Credentials sollten nur mit einer vorherigen MFA-Anmeldung verwendet werden können.
  • Konten-Sparsamkeit: Privilegierte Zugriffsrechte sollten nur an die Nutzer vergeben werden, die diese auch wirklich benötigen. Die Liste dieser Nutzer sollte regelmäßig überprüft und die gewährten Rechte entsprechend angepasst werden.

Unterschied zu PIM

Privileged Identity Management (PIM) hat auf den ersten Blick viele Ähnlichkeiten mit PAM. PIM konzentriert sich jedoch auf die Verwaltung von Accounts, während PAM zusätzlich dazu auch den Zugriff auf Ressourcen überwacht und sichert.

PAM – mehr Sicherheit durch individuellere Nutzer-Rechte

Richtig eingesetzt kann ein PAM nicht nur die Qualität der IT-Sicherheit verbessern, sondern auch die Erstellung von Berichten und Sicherheitsaudits erleichtern. Gleichzeitig steigert die Verwaltung von Zugriffsrechten für das Unternehmen selbst die Transparenz. Die Implementierung eines Preferred Access Managements lohnt sich daher überall dort, wo in Unternehmen mit sensiblen Daten gearbeitet wird und ein Verlust dieser Daten einen signifikanten Schaden für das Unternehmen bedeuten würde.

vCISO - Externe Expertise für mehr IT-Sicherheit

  • Ein virtueller Chief Information Security Officer verbessert die IT-Sicherheit, bietet personelle Flexibilität und Kostensicherheit.
  • Die Aufgaben des vCISO reichen von der Entwicklung eines individuell angepassten Sicherheitskonzepts über die Implementierung eines Informationssicherheits-Managementsystems bis hin zur Überwachung des Tagesgeschäfts.
  • Gute vCISOs sind hochqualifiziert, zertifiziert, verfügen über Branchenkenntnisse und kommunikative Fähigkeiten.

Täglich werden über 2.000 Cyber-Angriffe auf Unternehmen registriert und mit zunehmender Digitalisierung steigt auch das Schadenspotenzial, das ein erfolgreicher Angriff in einem Unternehmen anrichtet. Gleichzeitig steigt das Angebot an Sicherheitslösungen, Frameworks und Methoden zur Abwehr von Angriffen, doch auch die Regulierung im Bereich der IT-Sicherheit immer komplexer. Viele große Unternehmen beschäftigen deshalb inzwischen einen Chief Information Security Officer, kurz CISO. Er ist dafür verantwortlich, dass die IT-Sicherheitsstrategie des Unternehmens kostengünstig, effektiv und rechtlich einwandfrei aufgestellt ist.

Doch was tun, wenn sich mittlere und kleine Unternehmen keinen eigenen CISO leisten können oder wollen? Dann ist ein virtueller Chief Information Security Officer (vCISO) eine gute Alternative, um Zugang zu hochqualifiziertem Sicherheitsmanagement zu erhalten und Lücken in der IT-Sicherheitsarchitektur zu vermeiden.

Was macht ein CISO?

Ein CISO ist für die Cyber-Sicherheitsstrategie, also die Zuverlässigkeit der Unternehmens-IT, verantwortlich und stellt gleichzeitig sicher, dass alle regulatorischen Anforderungen an die Computer-, Software- und Dateninfrastruktur eines Unternehmens erfüllt werden.

Meist ist der CISO dem Chief Information Officer oder dem Chief Technology Officer unterstellt. Gelegentlich berichtet er auch direkt an den Chief Executive Officer.

Die Internetplattform kununu gibt für diese Position ein durchschnittliches Jahresgehalt von rund 95.000 Euro an.

Wie arbeitet ein vCISO?

Virtuelle CISOs sind Experten, die von Unternehmen nach Bedarf eingesetzt werden können. Sie belasten also nicht das Personalbudget, sondern werden immer dann angefordert, wenn Projekte anstehen, dringendProblemlösungen gefragt sind oder Probleme im Vorfeld vermieden werden sollen.

  • In der Regel beginnt der Implementierungsprozess mit der Durchführung eines Security Audits. Hier stellt der vCISO fest, wie das jeweilige Unternehmen in den Bereichen IT-Sicherheit und Regulierung aufgestellt ist. Er prüft Sicherheitsarchitektur, Identitäts- und Zugriffsmanagement sowie die Einhaltung gesetzlicher Rahmenbedingungen.
  • Im zweiten Schritt erarbeitet der vCISO eine Empfehlung für den Aus- oder Umbau der bestehenden Sicherheitsarchitektur. Dabei stehen neben der Effizienz der Systeme auch Kostenoptimierung, Verlässlichkeit und Zukunftssicherheit im Fokus.
  • Anschließend unterstützt der vCISO bei der Umsetzung der überarbeiteten Sicherheitsmaßnahmen. Häufig unterstützen ein Information Security Management System (ISMS) oder die Anbindung an ein Security Operations Center (SOC) die evaluierten Maßnahmen.
  • In der Folge wird die Qualität des Systems in regelmäßigen Abständen neu bewertet, um die Gefährdungslage in den Bereichen Betrieb, Datenschutz, IT-Sicherheit und Cyber-Resilienz so gering wie möglich zu halten.
  • Und natürlich steht der vCISO im Problemfall jederzeit zur Verfügung, um beispielsweise akute Sicherheitslücken zu schließen oder den Verlust wertvoller Unternehmensdaten zu verhindern.
„Ein CISO sollte über aktuelle Cyber-Security-Bedrohungen und gängige Abwehrmechanismen im Bilde sein. Gesetzliche, sowie branchenspezifische Anforderungen müssen dem CISO ebenso bekannt sein, wie gängige Methoden, um diese Anforderungen effektiv und kostenschonend zu erfüllen.“

Oliver Teich (Strategic Consultant)

Zu den weiteren Aufgaben eines vCISO gehören:

  • Beratung in Fragen der Sicherheitsstrategie und bei der Auswahl von Software, Frameworks, etc.
  • Betreuung und Überwachung von Managed Service Providern (MSP)
  • Weiterentwicklung der IT-Sicherheitsstrategie
  • Erstellung von IT-Sicherheitsberichten
  • Beratung der Geschäftsführung im Bereich Cyber Security
  • Kontaktpflege zu Aufsichtsbehörden
  • Überprüfung der IT-Sicherheit von Partnern und Lieferanten
  • Regelmäßige Aktualisierung der Sicherheitsrichtlinien

Darüber hinaus ist ein vCISO ein wertvoller Sparringspartner für alle IT-Bereiche des Unternehmens. Er bringt eine externe Perspektive und Markterfahrung in die Planung von Projekten ein. Dadurch erkennt er auch Schwachstellen in bestehenden Sicherheitsarchitekturen schnell und zuverlässig.

Unabhängig davon kann ein vCISO natürlich auch als Interimslösung die Aufgaben eines festangestellten CISO übernehmen, um z.B. Elternzeiten, Krankheiten, Urlaube oder sonstige Ausfälle zu kompensieren oder als Unterstützung bei vorübergehend hohem Arbeitsaufkommen zu dienen.

Wie findet man einen guten vCISO?

Da ein virtueller CISO sowohl mit der IT-Abteilung als auch mit dem Management und teilweise mit den Mitarbeitenden eines Unternehmens spricht, muss er neben der fachlichen Qualifikation auch gute kommunikative Fähigkeiten mitbringen. Der Kandidat sollte in der Lage sein, komplexe Sachverhalte herunterzubrechen und verständlich zu erklären. Verhandlungsgeschick, Strategisches Denken und Erfahrung im Stakeholder-Management gehören ebenfalls zu den Softskills eines guten vCISO.

Zu den fachlichen Voraussetzungen für die Arbeit als vCISO gehören ein Informatikstudium (oder eine vergleichbare Ausbildung) und entsprechende Zusatzqualifikationen. Auch eine Weiterbildung wie z.B. ein MBA mit Schwerpunkt Informationssicherheit zeigt, dass ein Kandidat für die Aufgabe als vCISO gut vorbereitet ist. In jedem Fall sollte der vCISO gute Branchenkenntnisse und mehrjährige Berufserfahrung in der Leitung von IT-Sicherheitsprogrammen und -projekten nachweisen können.

Wichtige Zertifikate, die eine umfassende Qualifikation für die Arbeit als vCISO nachweisen:

  • CISSP (Certified Information Systems Security Professional): Dieses international anerkannte Zertifikat gilt als wichtigster Nachweis für Fachwissen im Bereich Informationssicherheit.
  • CISM (Certified Information Security Manager): Zeigt, dass der Kandidat die Managementaspekte der Informationssicherheit beherrscht.
  • CEH (Certified Ethical Hacker): Das CEH-Zertifikat weist nach, dass der Inhaber über umfangreiche Erfahrungen im Bereich des ethischen Hackings und der Penetrationstests verfügt.
  • ISO 27001 Lead Implementer: Bescheinigt die Fähigkeit, ein Informationssicherheits-Managementsystem nach ISO 27001 aufsetzen zu können.
  • ISO 22301 Business Continuity Managementsystem: Sicherstellung des Fortbestands des Unternehmens auch bei hohem Schaden und in Krisen- und Notfallsituationen.

Übrigens: Die Entscheidung für einen virtuellen CISO bietet die Möglichkeit, einen Partner zu wählen, der perfekt zu den aktuellen Anforderungen der eigenen Branche passt – und diesen gegebenenfalls einfach und flexibel austauschen zu können, sollten sich diese Anforderungen im Laufe der Zeit ändern.

Neben all diesen Überlegung sollte bei der Entscheidung für einen vCISO auch dessen Verfügbarkeit im Notfall geklärt werden.

„Ein vCISO muss auch in kritischen Situationen verfügbar sein. Im Ernstfall muss sichergestellt sein, dass eventuell eine Vertretung oder ein Notfall-Team einspringen kann.“ - Oliver Teich (Strategic Consultant)

Ist ein vCISO die beste Wahl für Sie?

Gerade für kleine und mittelständische Unternehmen ist die Entscheidung für einen virtuellen Chief Information Security Manager eine Chance, die Qualität der eigenen IT-Sicherheit auf ein höheres Niveau zu heben. Der externe Berater übernimmt Aufgaben, für die dem CTO oder CIO meist die Zeit fehlt und für die andere IT-Mitarbeiter oft nicht ausreichend qualifiziert sind. Einige Richtlinien fordern auch eine personelle Trennung von CTO und CISO.

So bringt ein vCISO externe Expertise und Kompetenz in das Sicherheitsmanagement des Unternehmens ein und bietet gleichzeitig personelle Flexibilität und volle Kostenkontrolle.