IT-Sicherheit: Organisatorische und technische Maßnahmen zum IT-Selbstschutz

Inhaltsverzeichnis

Es mangelt nicht an Rahmenwerken für die IT-Sicherheit (wie ISO 27001, BSI-Grundschutz, Top 20 CIS Controls, VdS 10000:2018 Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), MITRE ATT&CK), Best-Practice-Empfehlungen, Studien oder Fachartikeln. Zum Teil ist solches "told you so" seit Jahren oder Jahrzehnten verfügbar.

Aber warum ist deren Umsetzung im Alltag so schwer? Warum werden IT-Systeme und IT-Netze immer wieder erfolgreich angegriffen? Warum fällt das RAID genau dann aus, wenn die Tapes soeben im hochwassergefluteten Keller ertrunken sind? (Nein, ein RAID ist kein Backup-Ersatz. Nein, Online-Backups, die für Verschlüsselungstrojaner erreichbar sind und sich so auch online verschlüsseln oder löschen lassen, sind kein Ersatz für die Lebensversicherung Offline-Backups). Warum versagt die Managementkonsole der Endpoint Protection prompt, während ein Angriff mitten im Gange ist, lief davor aber fünf Jahre (vermeintlich …) so schön unauffällig durch? Sind wir selbst schuld, wenn unsere Systeme, Dienste und Daten kompromittiert werden oder nicht verfügbar sind? Oder anders gefragt: Wie viel Sicherheit brauchen und erreichen wir für unsere IT-Systeme im pragmatischen Alltagschaos?

Mehr zum Thema Emotet

• Raus aus dem Maßnahmensumpf: eine Anleitung zum Emotet-Selbsttest
• Wie sich Emotet durch Windows frisst
• Pragmatischer Schutz vor Emotet & Co.
• Incident Response: Was tun, wenn man betroffen ist?
• Wie Malware heimlich das Kommando übernimmt
• Emotet: Wie Cyber-Kriminelle von staatlichen Hackern lernen
• Dynamit-Phishing: So schützen Sie sich vor Emotet & Co.
• Erste Hilfe nach einem Hackereinbruch
• Notfall- und Krisenprävention gegen Hackerangriffe

Aktuelle Fälle wie der SolarWinds-Hack zeigen, mit wie viel Energie und Know-how Täter vorgehen können und wie schwer es ist, sich vor solch hinterhältigen Angriffen zu schützen, die auch nicht vor der Lieferkette haltmachen, deren Sicherheitsprodukte man sich ja gerade zur Erhöhung der Sicherheit ins Haus geholt hat. Dagegen wird eine typische Organisation nicht gefeit sein. Es ist jedoch möglich, sich mit überschaubarem Aufwand gegen erwartbare, typische und ständig stattfindende Angriffe viel besser als in der Praxis üblich zu schützen. Zu diesen in ihrer fatalen Auswirkung abwehrbaren Angriffen gehören auch zunächst ungerichtet ablaufende wie Emotet und Co., bei denen eine breite Masse an Organisationen beispielsweise per Spam-E-Mails geködert wird. Nach dem ersten Anbeißen bringen die Täter in erpresserischer Absicht mit händischen Aktionen ihre Killchain mehr oder weniger individualisiert aus und vergrößern so den Schaden bis zum Totalverlust.

Das war die Leseprobe unseres heise-Plus-Artikels "IT-Sicherheit: Organisatorische und technische Maßnahmen zum IT-Selbstschutz". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.