10 Strategien gegen Hackerangriffe E-Book

Impressum

ISBN 978-3-85402-395-1

Auch als Buch verfügbar:

ISBN 978-3-85402-394-4

1. Auflage 2021

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahmeauf oder in sonstige Medien oder Datenträger,auch bei nur auszugsweiser Verwertung, sind nur mit ausdrücklicher Zustimmung der Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen trotz sorgfältiger Bearbeitung ohne Gewähr und eine Haftung der Herausgeber, der Autoren oder des Verlages ist ­ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2021

Die Austrian Standards plus GmbH ist ein

Unternehmen von Austrian Standards International.

AUSTRIAN STANDARDS PLUS GMBH

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-818

E [email protected]

www.austrian-standards.at/fachliteratur

PROJEKTBETREUUNG

Lisa Maria Heiderer

LEKTORAT

Johanna Zechmeister

COVER – FOTOCREDIT

© iStockphoto.com/alengo

GESTALTUNG

Alexander Mang

DRUCK

Prime Rate Kft., H-1044 Budapest

Inhalt

Abkürzungsverzeichnis

Vorwort

Vom Hacker zum Cyberkrieger

1 STRATEGIE 1:Den Hacker kennen

1.1 WER GREIFT UNS AN?

1.1.1 Kein Angriff ohne Motiv

1.1.2 Kein Angriff ohne die notwendige Fähigkeit

1.1.3 Erst die Angriffsfläche ermöglicht den Angriff

1.2 SIND WIR VOR DEM ANGREIFER SICHER?

2 STRATEGIE 2:Security ist Chefsache

2.1 COMMITMENT

2.2 VORBILDWIRKUNG

2.3 PLANUNG UND LENKUNG

2.3.1 Sicherheitsziele & Risikopolitik

2.3.2 Management-Review und Reporting

2.3.3 Rollen und Ressourcen

3 STRATEGIE 3:Schutz der Kronjuwelen

3.1 ÜBERSICHT ZUR VORGANGSWEISE

3.2 IDENTIFIKATION VON INFORMATIONSWERTEN

3.2.1 Herangehensweise: Top-down und Bottom-up

3.2.2 Gruppieren von Informationswerten

3.2.3 Erhebung der Systeme

3.3 IDENTIFIKATION DES SCHUTZBEDARFS

3.3.1 Definition von Schutzzielen

3.3.2 Bewertung des Schutzbedarfs

3.3.3 Klassifizierung von Informationswerten

3.4 SCHUTZMASSNAHMEN ZUR SICHERUNG DER INFORMATIONSWERTE

3.4.1 Risikoanalyse

3.4.2 Auswahl von Schutzmaßnahmen

3.4.3 Effektivitätsprüfung und Überwachung von Risiken

3.5 GRUNDHYGIENE IN DER CYBERSECURITY

4 STRATEGIE 4:Das Projekt aufsetzen

4.1 WARUM EIN PROJEKT?

4.2 WIE PLANE ICH DAS PROJEKT?

4.2.1 Projektziele festlegen

4.2.2 Das Projekt abgrenzen

4.2.3 Darstellung des Projektkontextes

4.2.4 Die Tätigkeiten strukturieren

4.2.5 Die Projektorganisation einsetzen

4.3 DIE PROJEKTARBEIT

4.3.1 Zusammenarbeit fördern

4.3.2 Projektmarketing gestalten

4.3.3 Projektfortschritt messen und Risiken aufzeigen

5 STRATEGIE 5:Organisationsstruktur aufbauen

5.1 INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEM

5.2 DIE WICHTIGSTEN ROLLEN IM ISMS

5.2.1 Die Leitung

5.2.2 Informationssicherheitsbeauftragter

5.2.3 Schlüsselpersonal

5.3 STRUKTUREN SCHAFFEN

5.3.1 Logging- und Monitoring-Konzept

5.3.2 Verwaltung von Werten

5.3.3 Compliance-Management

5.4 AUF DEN ERNSTFALL VORBEREITET SEIN

5.5 WAS IST NOTWENDIG, UM RICHTIG REAGIEREN ZU KÖNNEN?

5.5.1 Notfallmanagement

5.5.2 Krisenmanagement

5.5.3 Üben und Testen

5.6 INTEGRIERTER ANSATZ DER BEWÄLTIGUNG

6 STRATEGIE 6:IT-Betrieb sichern

6.1 EINLEITUNG

6.2 WERTEMANAGEMENT

6.2.1 Informationswert

6.2.2 Physischer Wert

6.2.3 Personen

6.3 BACKUPS UND DATENSICHERUNG

6.4 CLOUD SECURITY

6.4.1 Risiken der Cloud

6.4.2 Sicherheit in der Cloud

6.5 SYSTEMHÄRTUNG UND SICHERE KONFIGURATION

6.6 PATCH-MANAGEMENT

6.6.1 Planen der Patches

6.6.2 Testen der Patches

6.6.3 Ausrollen der Patches

6.7 NETZWERKSICHERHEIT

6.8 SCHUTZ VOR SCHADSOFTWARE

6.9 REGELMÄSSIGE ÜBERPRÜFUNGEN UND ÜBUNGEN

6.9.1 Awareness-Trainings

6.9.2 Schwachstellen-Scans

6.9.3 Penetration-Tests

6.9.4 Red-Team-Assessments

7 STRATEGIE 7:Physische Sicherheit etablieren

7.1 EINLEITUNG

7.2 SICHERHEITSZONEN

7.2.1 Firmengelände

7.2.2 Besprechungsräume

7.2.3 Verteilerschränke/-räume

7.2.4 Büros

7.2.5 Kritische Bereiche

7.3 ÜBERGREIFENDE SICHERHEITSMASSNAHMEN

7.3.1 Bauliche Maßnahmen

7.3.2 Zutrittskontrolle

7.3.3 Brandschutz

7.3.4 Stromversorgung

7.3.5 Weitere Schutzmaßnahmen

7.4 AGIEREN STATT REAGIEREN

8 STRATEGIE 8: Mitarbeiter begeistern

8.1 EINLEITUNG

8.2 TRAINING

8.2.1 Inhalte

8.2.2 Methoden

8.2.3 Herausforderung

8.3 MOTIVATION

8.3.1 Updates

8.3.2 Personalisierung

8.3.3 Gamification und Serious-Gaming

8.3.4 Belohnungssystem

9 STRATEGIE 9: Sicher im Homeoffice

9.1 EINLEITUNG

9.2 GOVERNANCE

9.3 IT-SECURITY

9.3.1 Device-Management

9.3.2 Bring-Your-Own-Device

9.3.3 Verschlüsselung bei Mobile Computing

9.3.4 Zugriffsschutz

9.3.5 Netzwerksicherheit

9.3.6 IT-Operations & Technology

9.4 PHYSISCHE SICHERHEIT

9.5 AWARENESS

9.5.1 Sichere Kommunikation

9.5.2 Phishing-Attacken

9.6 DATENSCHUTZ

9.7 KOMMUNIKATION IM HOMEOFFICE

9.8 ZUKUNFT IM HOMEOFFICE

10 STRATEGIE 10: Qualität steigern

10.1 DER KVP-PROZESS

10.2 MESSEN DER INFORMATIONSSICHERHEIT

10.2.1 KPIs entwickeln

10.2.2 Daten sammeln und analysieren

10.2.3 Massnahmen identifizieren und umsetzen

10.3 REPORTING

Ausblick

Literatur- und Normenverzeichnis

DIE AUTOREN

Abbildungsverzeichnis

ABBILDUNG 1:SCHEMATISCHE DARSTELLUNG DES PROZESSES

ABBILDUNG 2:BEISPIELHAFTE MATRIX ZUR BEWERTUNG VON BEDROHUNGEN

ABBILDUNG 3:ZUSAMMENWIRKEN VON BEDROHUNG, SCHWACHSTELLE UND RISIKO

ABBILDUNG 4:BEISPIEL GANTT-DIAGRAMM

ABBILDUNG 5:DREI DIMENSIONEN IN DER PROJEKTSTEUERUNG ALS DREIECK

ABBILDUNG 6:BEISPIEL FÜR SICHERHEITSZONEN

Abkürzungsverzeichnis

AV Antivirus

BCM Business Continuity Management

BSI Bundesamt für Sicherheit in der Informationstechnik

BIA Business-Impact-Analyse

BYOD Bring Your Own Device

CISO Chief Information Security Officer

CEO Chief Executive Officer

CFO Chief Financial Officer

DoS Denial-of-Service-Attacken

DDoS Distributed-Denial-of-Service-Attacken

DSGVO Datenschutz-Grundverordnung

EDR Endpoint Detection and Response

IDS Intrusion-Detection-System

IEC International Electrotechnical Commission

IKT Informations- und Kommunikationstechnik

IoT Internet of Things

IPS Intrusion-Prevention-System

ISB Informationssicherheitsbeauftragter

ISMS Informationssicherheits-Managementsystem

ISO International Organization for Standardization

KPI Key-Performance-Indicator

KMU Kleine und mittlere Unternehmen

KVP Kontinuierlicher Verbesserungsprozess

NIST National Institute of Standards and Technology

PDCA Plan-Do-Check-Act

SLA Service Level Management

SOC Security Operations Center

ToD Test of Design

ToE Test of Effectiveness

TOMs Technische und organisatorische Maßnahmen

USV Unterbrechungsfreie Stromversorgung

VPN Virtual Private Network

WBT Web-Based-Training

Vorwort

Georg Beham

In den letzten Jahren haben mein Team und ich viele Cyberangriffe für Kunden abgewehrt. In den meisten Fällen werden Angriffe, in denen beispielsweise Lösegelder für das Entschlüsseln von widerrechtlich verschlüsselten Dateien das Ziel sind, nicht mehr nach dem Prinzip von Postwurfsendungen[1] durchgeführt. Unternehmen werden immer häufiger ganz gezielt von Cyberkriminellen ausgewählt. Besonders Unternehmen, die niedrige Einstiegshürden aufgrund von Sicherheitslücken aufweisen bzw. deren Geschäftsfeld eine hohe Digitalisierung und somit eine Abhängigkeit der Wertschöpfung von der IT vermuten lässt, werden zum Opfer.

Den Grad der Digitalisierung kann ein Unternehmen heutzutage nicht reduzieren. Im Gegenteil, ist doch die Digitalisierung einer der Erfolgsfaktoren für die Zukunft. Die Hürde für Cyberkriminelle, nämlich eine funktionierende Cybersecurity, kann jedoch sehr wohl beeinflusst werden. Das Beispiel Ransomware[2] ist nur eine von vielen Varianten, wie sich Cyberkriminelle zu Lasten ihrer Opfer bereichern.

Wenn Sie nun als verantwortlicher Geschäftsführer oder als Teil des Managements in Ihrem Unternehmen dieses Buch lesen, dann sollten Sie sich die Frage stellen: „Wie hoch ist meine Hürde?”. Auch sollten Sie sich überlegen: „Wer kümmert sich für mich um dieses Risiko?” „Wer ist verantwortlich, wenn meine Produktion aufgrund einer Ransomware ausfällt?”

Sie sehen, worauf ich hinaus möchte: In den 1990er Jahren wurden IT-Bedrohungen vom IT-Verantwortlichen durch technische Maßnahmen abgewehrt. Ransomware ist zwar Software, dahinter stehen allerdings Cyberkriminelle, deren Ziel die Einnahme von Lösegeld ist. Es handelt sich hierbei nicht mehr um eine reine IT-Bedrohung, sondern um eine Unternehmensbedrohung. Auch die Maßnahmen, die das Risiko in Bezug auf derartige Bedrohungen minimieren, sind nur zum Teil technischer Herkunft. Ein Cyberangriff richtet sich nicht gegen die IT Ihres Unternehmens, sondern direkt gegen Ihr Unternehmen, für welches Sie haften.

Cybersecurity ist daher definitiv Chefsache! Übernehmen Sie selbst diese Verantwortung und delegieren Sie dieses Risiko nicht an die IT.

Als leidenschaftlicher Segler möchte ich die Kernaussage des vorliegenden Werks mit einem an ein Zitat von Aristoteles angelehnten Satz zusammenfassen:

„Wir können den Wind nicht ändern, aber die Segel richtig setzen.“

Cyberangriffen werden wir immer wieder ausgesetzt sein. In diesem Buch zeigen wir Ihnen, wie Sie Ihr Unternehmen mit höchstmöglicher Sicherheit für solche Turbulenzen rüsten bzw. es durch diese hindurch steuern können.

Georg BehamGeschäftsführerPwC Advisory Services GmbH Österreich

Einleitung

Georg Beham

An dieser Stelle möchte ich Ihnen das Thema Cybersecurity anhand meiner Erfahrungen und einer kurzen Geschichte dazu näherbringen.

Seit 1989 arbeite ich in der IT-Branche und konnte so die Digitalisierung österreichischer Unternehmen hautnah miterleben. In den frühen 1990er Jahren gab es nur wenige vereinzelte Computersysteme in Unternehmen. Ich selbst war zu dieser Zeit IT-Leiter einer Reisebürokette. EDV, so hieß die Disziplin dazumal, umfasste hauptsächlich das Auftragsbearbeitungssystem; E-Mails gab es keine. Es wurden Briefe geschrieben und Faxe versendet. Flüge und Pauschalreisen wurden zwar vereinzelt schon über vernetzte Software gebucht, fiel diese aus, dann war der Griff zum Telefonhörer eine rasche und effektive Backup-Lösung. Die kritischen Geschäftsprozesse liefen also entweder gar nicht über die IT und wenn, dann konnte ein Ausfall durch manuelle Verfahren ausgeglichen werden.

Diese Zeiten sind in fast allen Unternehmen, ob KMU oder Konzern, längst vorbei. Die wertschöpfenden Geschäftsprozesse sind weitestgehend IT-abhängig. Ein manuelles Verfahren gibt es im Regelfall nicht mehr.

Zudem drehte sich die Geschäftswelt in den 1990er Jahren viel langsamer. Gerade die fehlende IT-Durchdringung und die vielen Medienbrüche durch manuelle Tätigkeiten wirken im Rückblick geradezu entschleunigend. Zu dieser Zeit machten sich KMUs keine Gedanken über „Business-Kontinuität”. In großen Unternehmen wurden zumindest regelmäßig Datensicherungen durchgeführt und jährlich wurde die Wiederherstellung von Daten und Systemen nach einem Notfall geübt. Die Sicherheitsmaßnahmen fanden hauptsächlich auf technischer Ebene statt. Die größten Bedrohungen in dieser Zeit waren defekte Festplatten und dadurch verursachter Datenverlust oder Naturereignisse wie Überschwemmungen im Serverraum. Diese Bedrohungen wurden von den meisten IT-Abteilungen identifiziert und die Risiken durch technische Maßnahmen mitigiert. Dass die Informationssicherheit in der alleinigen Verantwortung der IT-Abteilung liegt, hat niemand bezweifelt.