Grundlagen für eine robuste Cyber-Sicherheitsstrategie

Wichtige Hinweise für IT-Experten in Behörden

| Autor / Redakteur: Sascha Giese* / Ann-Marie Struck

Für eine solide Cyber-Sicherheit sollte zunächst die Basis stimmen.
Für eine solide Cyber-Sicherheit sollte zunächst die Basis stimmen. (Bild: © stockpics - stock.adobe.com)

Wir alle sind uns bewusst, wie wichtig Cyber-Sicherheit ist. Weniger bekannt ist jedoch, wie eine erfolgreiche, zukunftsgerichtete Cyber-Sicherheitsstrategie, die für einen soliden Sicherheitsstatus in Behörden sorgt, konzipiert und umgesetzt wird.

Für IT-Sicherheitsexperten in Behörden gibt es hierfür verschiedene Orientierungshilfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt unter anderem Standards und Tipps und berät Behörden im Rahmen der Allianz für Cyber-Sicherheit. Viele IT-Experten in Behörden verfügen derzeit zwar über einen Grundstock an Tools, um verschiedene Sicherheitsfunktionen auszuführen, aber weder die Tools noch die Automatisierung allein bieten einen umfassenden Schutz für die Behörden.

Daher sollte jeder IT-Experte bei einer Behörde – vor der Umsetzung – einige elementare Schritte durchführen, um eine tragfähige Sicherheitsbasis zu schaffen. Die effektivste Strategie dabei ist ein übergeordneter Plan, der mehrere Sicherheitsschichten umfasst.

1. Einen Rahmenplan für die Informationssicherheit erstellen

Niemand würde ein Haus ohne einen Bauplan bauen; das gleiche Konzept gilt für die Entwicklung einer Sicherheitsstrategie. Ein Sicherheitsrahmenplan ist im Grunde genommen der Bauplan für die Sicherheit. Er besteht aus einer Reihe gut dokumentierter Richtlinien, Leitfäden, Prozesse und Verfahren dazu, wie die Sicherheit in einer Behörde am besten umgesetzt und verwaltet werden soll.

Es gibt mehrere bewährte Sicherheitsrahmenpläne. Konkrete Sicherheitsempfehlungen für kritische Infrastrukturen hat etwa die US-Bundesbehörde National Institute of Standards and Technology (NIST) herausgegeben. Das Cybersecurity Framework richtet sich an US-Behörden, doch die Sicherheitsempfehlungen haben globalen Charakter. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte ähnliche Richtlinien.

Mithilfe dieser Richtlinien lässt sich ein Sicherheitsrahmenplan erstellen, anhand dessen man schnell und effizient Vorfälle erkennen und darauf reagieren kann.

2. Ein fortlaufendes Schulungsprogramm entwickeln

Der beste Rahmenplan der Welt ist wirkungslos, wenn das Team nicht weiß, was er beinhaltet und wie er am besten umgesetzt wird. Und genauso wichtig: Die Endnutzer müssen die Bedeutung einer guten Cyber-Sicherheitshygiene sowie die Konsequenzen schlechter Sicherheitspraktiken verstehen.

Regelmäßige, fortlaufende Schulungen für die gesamte Behörde sind von entscheidender Bedeutung. IT-Teams sollten darin geschult werden, potenzielle Schwachstellen schnell zu erkennen und die wirklich wichtigen Informationen in der Fülle der sicherheitsbezogenen Warnungen und Alarme aufspüren zu können. Entwickler sollten in sicheren Codierungsmethoden geschult werden. Zudem sollten Technikexperten darin geschult werden, Anwenderschulungen zielorientiert und interessant durchführen zu können. Zu den relevanten Themen für Endanwender zählen das Erstellen sicherer Kennwörter, das Erkennen von Phishing-E-Mails und anderen Social-Engineering-Angriffen sowie welche Informationen die Behörde verlassen dürfen und welche nicht.

3. Richtlinien und Verfahren erläutern

Das Erstellen des Sicherheitsrahmenplans ist das eine; Sicherstellen, dass jeder die Richtlinien und Verfahren im Zusammenhang mit diesem Rahmenplan versteht – oder Sicherstellen, dass das Bauteam den Bauplan versteht – ist genauso wichtig wie der Rahmenplan selbst.

Das Weitergeben dieser Informationen an alle Mitarbeiter, Sicherheitsteams und Endnutzer gleichermaßen, sollte in der Regel am besten bei der Einstellung erfolgen. Richtlinien und Erwartungen sollten von Anfang an klar und deutlich erläutert werden, um Missverständnisse zu vermeiden.

4. IT-Systeme überwachen

Tagtägliche Sicherheitsüberwachung und Wartung sind der Schlüssel zu einer erfolgreichen Eindämmung von Risiken und Schwachstellen. Im Rahmen der Sicherheitshygiene muss sichergestellt werden, dass sämtliche Updates und Patches für Hardware und Software auf dem neuesten Stand sind. Jeden Tag wird neue Malware entdeckt. Die Sicherstellung, dass alle Systeme aktuell sind, sollte die Ausgangsbasis sein.

Eine weitere, wichtige Form der Wartung ist das Vorhandensein eines robusten Sicherungssystems. Wenn eine Sicherheitsverletzung stattfindet und Daten kompromittiert werden, sorgt ein gutes Sicherungssystem für minimalen Datenverlust und geringe Produktivitätseinbußen.

Selbst wenn alle Endnutzer mit den Sicherheitsschulungen auf dem Laufenden sind, besteht schließlich immer die Möglichkeit, dass sie – absichtlich oder unabsichtlich – die Sicherheitsrichtlinien verletzen. IT-Sicherheitsexperten in Behörden müssen in der Lage sein, die Aktivität von Endnutzern zu überwachen, um dieses Risiko abzuschwächen und Richtlinienverstöße abzufangen, bevor sie zu Sicherheitsverletzungen werden.

IT-Sicherheit in der Cloud

Themen-Special zu Sicherheit und Wirtschaftlichkeit von Cloud Computing (Teil 5)

IT-Sicherheit in der Cloud

29.09.14 - Cloud Computing wird erst durch das Zusammenspiel vieler IT-Bereiche möglich, wie z. B. Netzwerk- und Internet-Technologien, Virtualisierung moderner Software-/Webtechnologien (HTML, Java, Apps, …), IT-Service-Management Prozesse und eine Vielzahl an administrativen Tools. All das bedarf einer entsprechenden Absicherung. lesen

5. Über staatliche Vorschriften auf dem Laufenden halten

Jeder IT-Sicherheitsexperte in einer Behörde ist sich darüber im Klaren, wie wichtig die Einhaltung der gesetzlich festgelegten Vorschriften ist. Mit der EU-Datenschutz-Grundverordnung wurden neue Regularien für personenbezogenen Daten eingeführt, um die ¬Persönlichkeitsrechte und die ¬Privatsphäre von Bürgern zu schützen. Zusätzlich enthält die Richtlinie zur Netzwerk- und Informationssicherheit (NIS) eine umfassende Definition von schützenwerten Patientendaten.

Die Einhaltung solcher Vorschriften ist nicht nur obligatorisch, sondern trägt auch erheblich zur Verbesserung des Sicherheitsstatus insgesamt bei.

Fazit

Diese fünf Grundlagen sind erst ein Anfang. Wenn die Grundlagen stimmen, werden weitere Schichten notwendig, um einen Strategieplan für Cyber-Sicherheit zu stützen und sich bestmöglich aufzustellen. Durch das Hinzufügen weiterer Schichten, wie Perimeterabwehr, Überwachung auf Geräteversagen und Stromausfall sowie erweiterte Überwachung auf Insider-Bedrohungen, kann eine stabile Grundlage verbessert und für mehr Sicherheit in einer Behörde gesorgt werden.

*Autor: Sascha Giese, Head Geek bei SolarWinds

Sascha Giese, Head Geek bei SolarWinds
Sascha Giese, Head Geek bei SolarWinds (© SolarWinds)

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45758063 / Projekte & Initiativen)