Seiten

Dienstag, 12. Januar 2016

Achtung Schwachstelle! Die Bedrohungslage spitzt sich weiter zu

Das Bundesamt für Sicherheit (BSI) in der Informationstechnik beschreibt im aktuellen Bericht zur "Lage der IT-Sicherheit in Deutschland 2015" eine fortschreitende Professionalisierung von Cyber-Angriffen. Auch andere IT-Sicherheitsexperten warnen vor einem Trend zur Optimierung der Angriffe durch Cyber-Kriminelle und sprechen ganz offen von einer Automatisierung der Geschäftsprozesse potentieller Angreifer. Trotzdem wird in mittelständischen Unternehmen häufig funktionalen und ökonomischen Faktoren mehr Beachtung geschenkt als der Security. Ein fataler Fehler!


yourIT unterstützt Unternehmen beim Finden und Beheben von Schwachstellen in der IT

99,9 Prozent der ausgenutzten Sicherheitslücken sind über 12 Monate bekannt


Sie denken: "Wir haben doch alles im Griff!" Weit gefehlt. Das typische Einfalltor für Malware und Cyber-Kriminelle sind "alte Bekannte" - Software-Schwachstellen die nicht rechtzeitig per Update oder Patch behoben wurden. Und deren Zahl nimmt dramatisch zu: Von 1.200 im Jahr 2014 um 50% auf 1.800 in 2015 in den Referenz-Softwareprodukten des BSI. Allein in  den 11 am weitesten verbreiteten Anwendungen (darunter MS Office, Browser, Betriebssysteme, Flash und Adobe Reader) wurden von Januar bis September 2015 knapp 850 kritische IT-Schwachstellen entdeckt.

Besonders gefährdet: Kleine und mittelständische Unternehmen


Kleinen und mittelständischen Unternehmen fehlen häufig die notwendigen Fachleute und Ressourcen, um neben den "reaktiven Maßnahmen" wie Firewalls, Virenschutz oder Intrusion Detection zusätzlich auch "proaktive Maßnahmen" einzuleiten. Dadurch sind diese Unternehmen aktuell in besonderem Maße durch IT-Schwachstellen bedroht. Werden nur reaktive Maßnahmen eingesetzt, wartet man quasi, bis eine Malware oder ein Cyber-Angreifer mit dem Angriff beginnt und versucht danach, diesen draußen zu halten. Aber was, wenn das schief geht?

Reaktives Verhalten allein reicht nicht aus - Sie müssen proaktiv handeln!


Sinnvoller ist da der Einsatz von proaktiven Risikovermeidungs-Strategien. "Um die Angreifer zu verstehen, müssen Sie Ihr IT-Netzwerk wie ein Hacker betrachten. Diese scannen erst nach erkennbaren lohnenswerten und angreifbaren IT-Schwachstellen - erst dann beginnen Sie mit dem Angriff." so Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit bei der yourIT GmbH aus Hechingen. "Wir empfehlen daher, das IT-Netzwerk in regelmäßigen Abständen mit automatisierten Penetrationstests auf IT-Schwachstellen zu überprüfen und die gefundenen kritischen Schwachstellen zu beheben, um eben dieses Risiko eines Angriffs durch Hacker zu verringern." Das Motto lautet: "Bloß nicht auffallen!"

Hierzu bietet yourIT zwei Vorgehensweisen an:
  1. Der Kunde beauftragt einen Dienstleister wie z.B. yourIT oder einen der 100 deutschlandweiten yourIT-Partner, das IT-Netzwerk mit einer Berater-Subscription als Managed Service zu überprüfen.
  2. Alternativ mietet der Kunde über yourIT eine zu seinem IT-Netzwerk passende Security-Subscription und scannt damit sein Netzwerk regelmäßig selbst.
Das Systemhaus yourIT aus Hechingen arbeitet hier mit über 300 Systemhäusern der Systemhausverbände comTeam, Novacur und Winwin zusammen. Damit können wir flächendeckende Penetrationstests im Zollernalbkreis sowie den angrenzenden Landkreisen Tübingen, Reutlingen, Sigmaringen, Tuttlingen, Rottweil und Freudenstadt und darüber hinaus in ganz Deutschland anbieten.

IT-Security muss als kontinuierlicher Prozess verstanden werden


Die Security-Subscriptions finden die Schwachstellen ganz automatisch, bewerten diese und erstatten ausführlich schriftlich Bericht mit Nennung von Bedrohungen, Auswirkung und Lösungsvorschlägen. Selbst ausführliche Reports hat der Kunde am nächsten Tag in der Hand.

Aber dann beginnt erst die eigentliche Beratungs-Dienstleistung, denn nicht jede Schwachstelle kann mit einem Update oder Patch geschlossen werden. Manchmal laufen wichtige Anwendungen eben nur auf veralteten Betriebssystemen. Dann muss gemeinsam eine andere Maßnahme zur Risikominimierung gefunden und getroffen werden. Dennoch ist es wichtig, dass diese Schwachstelle erkannt wurde und künftig speziell überwacht wird. Schwachstellen-Management ist eben keine rein technische Aufgabe, sondern muss als kontinuierlicher Prozess verstanden werden. Erst die Einbindung in Organisationsprozesse bringt die gewünschte Wirkung.

Zusätzlich bietet yourIT als Dienstleistung an, die Verzahnung des Schwachstellen Managements (Vulnerability Management) mit den IT-Security-Prozessen des Unternehmens voran zu treiben. Häufig starten yourIT bei den Kunden mit einem der Beratungspakete Basis-Check ISO27001 oder einem Sicherheitsaudit IT-Infrastruktur bzw. Webapplikationen.

Proaktives Schwachstellen-Management erhöht das Sicherheitsniveau signifikant


Wenn Sicherheitslücken frühzeitig erkannt und behoben werden, ist das Unternehmen weniger interessant für potentielle Angreifer. Deren Scans zeigen weniger erfolgversprechende Schwachstellen an - signifikant weniger als bei anderen potentiellen Opfer-Unternehmen. Nachdem erst etwa 30% der Unternehmen in Deutschland proaktives und professionelles Schwachstellen-Management betreiben, verhält es sich im Mittelstand wie bei dem bekannten Witz, bei dem zwei Männer durch die Wüste laufen und plötzlich einem Löwen gegenüberstehen. Der eine Mann fasst in seinen Rucksack, holt ein Paar Turnschuhe heraus und beginnt, diese anzuziehen. Der andere Mann fragt ihn: "Glaubst Du wirklich, dass Du mit Turnschuhen schneller laufen kannst als der Löwe?" Darauf der andere: "Ich muss ja nur schneller laufen als Du..."

Auch wenn Sie diese nicht sehen: Die Löwen sind bereits da - als Cyber-Kriminelle, die es auf Ihr Unternehmen abgesehen haben. Fragen Sie Ihre IT-Verantwortlichen: Jeden Tag laufen fremde Schwachstellen-Scans auf Ihr Unternehmen! Wann ziehen Sie Ihrem Unternehmen die Turnschuhe an? Zögern Sie nicht länger und beginnen Sie jetzt - mit Schwachstellen-Managemt von yourIT. Wir machen Sie für bezahlbares Geld zumindest schneller (heißt: unauffälliger und damit uninteressanter) als die übrigen 70% Mittelständler ohne proaktives Schwachstellen-Management. Das sollte reichen!

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

Das könnte Sie auch interessieren: