Was ist eigentlich Stand der Technik bei IT-Sicherheit?

Welche weitreichenden Folgen eine Cyberattacke haben kann, zeigte im Juli beispielhaft der Ransomware-Angriff auf die Landkreisverwaltung Anhalt-Bitterfeld. Die Angreifer verschlüsselten mehrere Terabyte Daten und drohten, diese zu veröffentlichen, sollte kein Lösegeld gezahlt werden. Selbst die Systeme, die nicht direkt betroffen waren, musste die Kreisverwaltung sicherheitshalber herunterfahren, um eine weitere Ausbreitung der Ransomware zu verhindern. Über Wochen konnte sie keine Gehälter und Sozialleistungen auszahlen, noch zwei Monate später waren Experten damit beschäftigt, die IT-Infrastruktur wieder aufzubauen. Um schneller Unterstützung von anderen Dienststellen und Behörden zu erhalten, hatte der Landkreis sogar den Katastrophenfall ausgerufen – ein Novum nach einer Cyberattacke. Bis alles wieder normal läuft, dürfte es trotzdem noch einige Zeit dauern.

Kritische Infrastrukturen, zu denen auch die öffentliche Verwaltung zählt, sind essenziell für die Organisation und Versorgung von Bevölkerung und Wirtschaft – fallen sie aus, drohen Versorgungsengpässe oder sogar eine Gefährdung der öffentlichen Sicherheit. Insbesondere ihren Schutz will der Gesetzgeber mit dem IT-Sicherheitsgesetz, dessen zweite Ausgabe im Mai 2021 in Kraft trat, verbessern. Als sogenanntes Artikelgesetz nimmt es Anpassungen an anderen Gesetzen wie dem Telemediengesetz und dem Telekommunikationsgesetz vor. Allerdings sind nicht nur KRITIS-Betreiber verpflichtet, sich um ein Risikomanagement und die Umsetzung von Maßnahmen zur Erhöhung der IT-Sicherheit zu kümmern, sondern alle Unternehmen. Diese Pflichten ergeben sich aus dem genannten Telemediengesetz und Telekommunikationsgesetz, aber auch aus GmbH- und AG-Gesetz, der DSGVO und dem Bundesdatenschutzgesetz sowie weiteren Gesetzen und Verordnungen. Schließlich stehen nicht nur kritische Infrastrukturen im Visier von Cyberkriminellen, sondern alle Unternehmen unabhängig von ihrer Größe und ihrem Geschäftsfeld. Das zeigten zuletzt auch die Attacken auf verwundbare Exchange-Server und Nutzer der IT-Management-Tools von Kaseya und Solarwinds.

Technik entwickelt sich schneller als Gesetze

Konkrete Konzepte und Technologien schreiben die Gesetze und Verordnungen in der Regel nicht vor. Sie definieren eher Ziele der Schutzmaßnahmen und fordern, dass sich Unternehmen, Behörden und andere Organisationen am Stand der Technik orientieren, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Der Ansatz ist durchaus sinnvoll, entwickeln sich Technologien doch schnell weiter, neue Erfahrungswerte machen neue Vorgehensweisen notwendig und häufig existieren verschiedene Ansätze, die einen ähnlichen Schutz bieten. Orientierung, was Stand der Technik ist, geben beispielsweise Leitfäden und Handlungsempfehlungen von Verbänden wie dem TeleTrusT, Vereinen wie dem Cyber-Sicherheitsrat oder die von den einzelnen KRITIS-Sektoren entwickelten branchenspezifischen Sicherheitsstandards.

Als gutes Konzept zur Absicherung von IT-Infrastrukturen hat sich Zero Trust etabliert – dessen Umsetzung US-Präsident Joe Biden bei US-Behörden sogar per Executive Order vorantreibt. Dahinter steht der Gedanke, dass die klassische Perimetersicherung nicht mehr ausreicht, um das Firmennetzwerk, verteilt arbeitende Mitarbeiter und Daten in der Cloud zu schützen. Statt einem einmal authentifizierten Anwender oder Gerät implizit zu vertrauen und ihm innerhalb der Infrastruktur weitreichende Aktionsfreiheit zu lassen, setzt Zero Trust auf engmaschige Kontrollen und minimale Benutzerrechte. Wann immer ein Benutzer oder ein Gerät auf eine Anwendung oder Daten zugreift, betrachtet man dies als neuen Perimeter, der abgesichert werden muss.

Moderne Ansätze für Zero Trust konzentrieren sich allerdings nicht allein auf die Authentifizierung von Nutzern und Geräten und die Zuweisung möglichst geringer Rechte. Sie legen einen mindestens ebenso großen Fokus auf den Schutz von Daten, etwa durch eine Analyse der Datenzugriffe und des Benutzerverhaltens, um Anomalien zu entdecken, die auf Sicherheitsverletzungen hindeuten. Greift ein Mitarbeiter, der bisher ausschließlich in Deutschland gearbeitet hat, nämlich plötzlich mit einer chinesischen IP-Adresse auf Dokumente zu, so ist das höchst verdächtig – auch wenn er sich zuvor korrekt authentifiziert hat. Wahrscheinlich wurde sein Account kompromittiert.

Aus Zero Trust wird SASE

Dazu kommt, dass Unternehmen, Behörden und andere Organisationen nur die Daten und Anwendungen schützen können, die sich unter ihrer Kontrolle befinden. Sie müssen also sicherstellen, dass Daten nicht auf unbekannte Systeme abfließen oder nicht überwachte Cloud-Services und SaaS-Dienste zum Einsatz kommen. Mit Zero Trust Network Access (ZTNA) allein ist es daher nicht getan – für eine erfolgreiche Data-First-Security-Strategie müssen verschiedene Komponenten wie ZTNA, SD-WAN, Secure Web Gateway, Data Loss Prevention (DLP) und Cloud Access Security Broker (CASB) zusammenspielen. Das Analystenhaus Gartner hat für diese Kombination verschiedener Sicherheitsfunktionen vor knapp zwei Jahren den Begriff Secure Access Service Edge (SASE) geprägt. Der große Vorteil von SASE neben der hohen Sicherheit: Unternehmen können ihre Security-Infrastruktur konsolidieren und auf einen einzigen Anbieter setzen, dessen Lösungen perfekt aufeinander abgestimmt sind. Gartner schätzt, dass das bis 2030 immerhin 30 Prozent der Unternehmen tun werden.

Mehr dazu, wie Zero Trust und SASE dabei helfen, aktuellen Cyberbedrohungen zu begegnen, erfahren alle Interessierten in einem Forcepoint-Webinar am 8. Oktober 2021 um 10:00 Uhr. Neben den Experten von Forcepoint wird Hans-Wilhelm Dünn spannende und praxisnahe Einblicke in Sicherheitsherausforderungen und den Einfluss von Gesetzen auf die IT-Sicherheit geben. Dünn ist Cybersecurity-Visionär, erfolgreicher Unternehmen und Vorsitzender des Cyber-Sicherheitsrats, der Unternehmen, Behörden und politische Entscheidungsträger in IT-Sicherheitsfragen berät und im Kampf gegen Cybercrime unterstützt.