Gewissheit über die eigene Cybersecurity-Resilienz herstellen

​veröffentlicht am 1. Oktober 2021

Die Veröffentlichungen und journalistischen Arbeiten über die Anzahl und Komplexität der IT-Schwächen weisen darauf hin, dass man im Zweifel den Hackern hilflos ausgeliefert ist. Wie soll denn eine „normal” organisierte Verwaltung überhaupt technisch, organisatorisch und finanziell in der Lage sein, diesen Bedrohungen Stand zu halten? Aber zum Glück gibt es Mittel und Wege.

Es ist sicherlich ratsam, über einen Top-down-Ansatz den Weg zur Beurteilung der eigenen Cybersecurity-Resilienz, also der Widerstandskraft vor den Tricks und Techniken der Angreifer, zu beschreiten.

Top-down bedeutet, dass man nicht gleich in die Tiefen der Technik und hier aufgrund der Ressourcen nur partiell einsteigt, sondern eine Bewertung vornimmt, wie gut generelle Sicherheitsmechanismen ausgelegt sind. Und erst mit dieser Kenntnis sollte man tiefer in die jeweiligen technischen wie organisatorischen Ausprägungen gehen. Eben genauso wie ein Angreifer auch vorgehen würde.

Zum Glück gibt es zwischenzeitlich entsprechende Instrumente und Systeme, die eine Bewertung der generellen Resilienz ermöglichen. Sogenannte Cybersecurity-Rating-Systeme liefern einen wertvollen ersten Einblick in das eigene Sicherheitsniveau.¹

Und nicht nur in das eigene, sondern auch in das wichtiger Geschäftspartner, denn das Sicherheits-Öko-System besteht nicht nur aus der eigenen IT, sondern auch aus der Vielzahl der an den Verwaltungsprozessen beteiligten Partner (kommunale Rechenzentren, Landkreis-IT, Behördennetze, IT-Service-Provider etc.). Gerade die Erfahrungen mit Solarwind Orion (letztes Jahr) und Kaseya VSA (dieses Jahr)² zeigen, dass auch die Sicherheitslage der Partner entscheidend für die eigene Sicherheit ist!

Das bedeutet, dass auf Basis eines flächigen Cybersecurity-Ratings über die eigene IT und über die wesentlichen Partner ein erster Eindruck gewonnen werden kann. Dabei nutzt ein solches Ratingsystem genau dieselben öffentlich verfügbaren Daten und Informationen, die in der Regel auch die Angreifer zur Verfügung haben. Denn jedes von außen erreichbare System (also alle Endgeräte, die mit dem Internet verbunden sind) will kommunizieren und dieser Sachverhalt wird im Rahmen des Ratings genutzt.

Es ist erstaunlich, wieviel die ITSysteme über eine Organisation verraten. Kombiniert man diese mit weiteren Informationen, die ebenso öffentlich zur Verfügung (Gechäftsverteilungsplan, Investitionsplan über anstehende IT-Projekte etc.) stehen, kann man das „Sicherheitsniveau” einer Organisation sehr gut von außen erkennen.

Auf Basis dieser Erkenntnisse ist der sehr genaue Einsatz von weiteren und tiefergehenden technischen Tests
möglich und sinnvoll. Sogenannte Penetrationstests teilen sich in 2 grundlegende Arten:

1. Umsetzung vollautomatischer Tests über eine große Anzahl von bekannten Sicherheitslücken und Angriffsvektoren (also die Art und Weise, wie Angreifer vorgehen).
2. Manuelle Tests, die gezielt und teilweise intuitiv/situativ auf die vorgefundene Sicherheit bzw. Konzeption
   eingehen.
3. Diese Testarten werden oft sinnvoll kombiniert und können durchaus insgesamt auch teuer werden, wenn man sie ohne Struktur oder risikoorientierte Planung anwendet. 

 
Automatisierte Tests auf die IT-Infrastruktur können, nach der Ermittlung der potenziellen Einfallswege, weitere Schwachstellen im internen Netz offenlegen und bleiben aufgrund ihrer Methode eine kostengünstige Möglichkeit, um interne Schwachstellen aufzudecken. Somit können dann die teuren, manuellen Penetrationstests gezielt nur auf die notwendigen Systeme und Schnittstellen ausgerichtet werden.

Mittels dieses Top-down-Ansatzes, in Reihenfolge:

• Das Cybersecurity-Rating zur Offenlegung der Angriffswege von außen,
• automatisierte Tests auf die IT-Infrastruktur und dann
• manuelle Penetrationstests auf konkrete Schwachstellen nach Bedarf,

Dadurch sind wir in der Lage, die Cybersecurity-Resilienz Ihres Unternehmens zielgerichtet zu beurteilen und genau an denjenigen Stellen Verbesserungen vornehmen zu können, wo dies notwendig ist, um die Mittel gezielt und mit einer hohen Wirksamkeit einzusetzen.

Lesen Sie auch aus unserem Special „Cybersecurity für Kommunen”:

• Cyberattacken als dynamische und ständige Bedrohung verstehen!

• Wie gut sind die vorhandenen Notfallkonzepte?
• Greifen die Notfallmaßnahmen im Ernstfall?
• Handlungsbedarf im Überblick

 _______________________________________________________

¹ Cybersecurity-Rating: Instrument zur kontinuierlichen Beurteilung der Cybersicherheit von Unternehmen und Institutionen | Rödl & Partner (roedl.de).

² Kaseya VSA: Wie die Lieferketten-Angriffe abliefen und was sie für uns bedeuten | heise online.