Grundsätzlich kann der Schutz von IT-Systemen in 4 Stufen unterteilt werden. Diese sind Prävention, Erkennung, Bewertung und Reaktion. In der richtigen Kombination können sie die IT-Plattform eines jeden Unternehmens so weit wie möglich schützen.

Prävention

Der Bereich der Prävention ist wahrscheinlich der umfassendste Bereich für die Sicherheit von IT-Systemen. Er lässt sich grundlegend in Datenschutz und Systemschutz unterteilen. Zum Datenschutz gehören Dinge wie Datenverschlüsselung, Transportverschlüsselung, Backups und auch der Zugriffsschutz auf IT-Systeme. Der Systemschutz hingegen umfasst Dinge wie das Härten von Systemen oder das Patch-Management. Leider konzentrieren sich immer noch zu viele Unternehmen ausschließlich auf den Bereich der Prävention, wenn es um die Sicherung ihrer IT-Systeme geht. Das erschwert die forensische Arbeit, wenn in ein System eingebrochen wird. Denn...

Erkennung

Unter Hackern ist es kein Geheimnis, dass es keine 100%ige Sicherheit für IT-Systeme gibt. Ein einfacher Programmfehler kann bereits einen Angriffsvektor öffnen. Und in den besten Fällen dauert es mindestens ein paar Stunden, bis ein geeigneter Patch verfügbar ist. Oft dauert es sogar länger. Denn es gibt durchaus Exploits, die von Hackern nur unter der Hand weitergegeben werden, so dass es manchmal Tage oder sogar Wochen dauert, bis die Lücke bekannt wird. Erinnerst du dich an den Exchange-Bug? Er war den Geheimdiensten schon lange vorher bekannt. Es ist also notwendig, dass Anomalien in einem IT-System entdeckt werden.

An dieser Stelle kommt die Erkennung ins Spiel. Dazu gehören Firewall-Systeme, die den Datenverkehr überprüfen, sowie Angriffserkennungssysteme und Präventionssysteme, die Anomalien in den Systemen selbst erkennen. Darüber hinaus sind moderne Angriffserkennungssysteme auch in der Lage, statistische Daten aus den Systemen zu analysieren und damit ungewöhnliche Vorgänge zu erkennen. Gute Abwehrsysteme können auch typische Angriffe (wie z.B. Bruteforces) blockieren und so bereits Schlimmeres verhindern.

Bewertung

Doch auch die besten Angriffserkennungssysteme und Firewalls können Prozesse fälschlicherweise als Angriffe identifizieren. Sie sind bereits recht gut in der automatischen Bewertung und werden dank künstlicher Intelligenz auch immer besser. Dennoch sollte auch eine Kontrolle durch einen Menschen stattfinden. Die Bewertung sollte daher niemals außschließlich den automatisierten Systemen überlassen werden. Die automatisierte Bewertung sollte immer nur ein Teil des Bewertungsprozesses sein und mit Hilfe von Warnmeldungen darauf aufmerksam machen, dass ein ungewöhnlicher Vorgang im System entdeckt wurde. Eine menschliche Überprüfung der Warnmeldungen ist immer erforderlich.

Antwort

Je nachdem, wie die Bewertung dann ausfällt, ist natürlich eine Reaktion notwendig. Wenn ein Angriff entdeckt wird, der noch im Gange ist, sollten geeignete Abwehrmaßnahmen ergriffen werden. Wenn ein System bereits erfolgreich kompromittiert wurde, muss eine forensische Untersuchung durchgeführt werden, um herauszufinden, wie der Angriff stattgefunden hat und welche Daten manipuliert oder gestohlen wurden. Außerdem muss eine Meldung an den Datenschutzbeauftragten und, falls nötig, an die zuständigen Behörden erfolgen. Es ist in der Regel keine schlechte Idee, die Kunden zu informieren, denn die Erfahrung zeigt uns, dass Datenschutzverletzungen immer irgendwie veröffentlicht werden. Es ist besser, wenn das Unternehmen die Kontrolle über die Veröffentlichung behält.

Wenn du dieses 4-Stufen-Modell in allen IT-Systemen und deinem Risikomanagement umsetzt und entsprechend qualifizierte Mitarbeiter/innen hast, kannst du zumindest davon ausgehen, dass Angriffe nicht unbemerkt bleiben und in vielen Fällen rechtzeitig abgewehrt werden können. In der heutigen Welt ist das für Unternehmen lebenswichtig. Denn neben hohen Bußgeldern und möglichen Klagen ist der Imageverlust oft nur schwer oder gar nicht zu beheben.