Risiko-Management: Neue EU-Datenschutzverordnung zwingt zur Aufrüstung

CIOProjekte

Im Mai 2018 tritt die neue Datenschutz-Grundverordnung der Europäischen Union (DSGVO) in Kraft. Reaktive Sicherheitssysteme reichen dann nicht mehr aus, um die Vorgaben für Sicherheit in IT-Systemen zu garantieren. Im Ernstfall ist der Schaden immens. Die Zukunft gehört den proaktiven Systemen.

Erfüllen Unternehmen die Anforderungen der neuen DSGVO nicht, drohen im Ernstfall saftige Strafen: Bis zu zwei Prozent des Vorjahresumsatzes können fällig werden, von den weiteren Schäden, die durch etwaige Sicherheitslücken im IT-System entstehen können, ganz zu schweigen. Im Mittelpunkt der Verordnung steht der Schutz sensibler und personenbezogener Daten.

Autor (Bild: Shutterstock/BrAt82)
Thomas Wimmer, der Autor dieses Gastbeitrags für silicon.de, ist Leiter Informationssicherheit bei AirITSystems. (Bild: Shutterstock/BrAt82)

Die Anforderungen der DSGVO zu erfüllen, sollte also im Interesse eines jeden Unternehmens sein, doch zeigen Erfahrungen aus der Praxis, dass viele Unternehmen die vorhandenen Risiken unterschätzen und Sicherheitsrichtlinien äußerst lax umsetzen – das böse Erwachen kommt zumeist erst dann, wenn es zu spät ist.

DSGVO: Neue Pflichten und Aufgaben

Die Erfüllung der DSGVO bringt nicht nur neue Pflichten, sie ist auch mit einer ganzen Reihe neuer Aufgaben verbunden. Und so sollten Firmen schon heute ihre bestehenden Sicherheitssysteme auf den Prüfstand stellen, um eventuelle Schwachstellen frühzeitig zu identifizieren und auszumerzen.

Bislang nutzen die meisten Firmen reaktive Sicherheitssysteme wie SIEM. Auch wenn sie damit in der Vergangenheit gut gefahren sind, der neuen Verordnung werden sie nicht gerecht. Denn diese Schutzmechanismen reagieren erst auf eine Bedrohung, wenn diese bereits in das System eingedrungen ist.

Sicherheit im Rechenzentrum (Bild: Shutterstock/Billion Photos)
Neue Risk- und Security-Management-Plattformen decken bestehende Risiken auf, bevor ein Angriff stattfindet. (Bild: Shutterstock/Billion Photos)

Eine Lösung bieten neue Risk- und Security-Management-Plattformen von Herstellern wie Skybox, Tufin oder Algosec. Sie decken bestehende Risiken auf, bevor ein Angriff stattfindet. Damit bieten sie nicht nur maximalen Schutz, sie erfüllen auch die Anforderungen der neuen EU-Verordnung. Vor allem Skybox drängt vermehrt auf den deutschen Markt. Das Unternehmen bietet eine Lösung, die das Firewall-Management mit Netzwerk-Visualisierung und Schwachstellen-Management kombiniert.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Dabei werden von Firewalls, SIEM-Systemen, Schwachstellen-Scannern und Systemverwaltungs-Tools gelieferte Informationen mit einbezogen und verschiedenste Datenquellen und Sicherheitssysteme miteinander verbunden. Die Untersuchung potenzieller Schwachstellen gibt Aufschluss über die Aktualität bestehender Firewalls sowie IPs und offenbart durchgeführte Attacken auf das eigene System. So erhält eine Firma einen genauen Überblick, welche Daten schlussendlich gefährdet sind und eines besseren Schutzes benötigen.

Aufbau des Systems

Das Fundament der Risk- und Security-Management-Plattform bildet die Firewall-Assurance. Sie führt die Firewall-Systeme zusammen und bewertet sie basierend auf Layer-2- und Layer-3-Parametern. Die Firewall-Assurance bündelt sämtliche eingeführten Regeln und Funktionen. Der Firewall-Assurance übergeordnet ist die Network-Assurance. Sie spiegelt alle Kommunikationsbeziehungen end-to-end wider, beispielsweise zwischen Servern, Clients oder von WLAN zu Internet.

Der Change Manager bewertet schließlich, wie sich eine Anforderung auf das System auswirken würde. Er reflektiert diese auf alle Systeme und vergleicht sie mit den bestehenden Firewall-Regularien. Am Ende liefert die Software eine Einschätzung, ob sich durch die Änderungen für das Unternehmen relevante Schwachstellen ergeben. Auf diese Weise werden Risiken deutlich, bevor sie entstehen und eine rechtzeitige Behebung vor dem Ernstfall ist möglich.

Um das bestehende IT-System auf seine Sicherheit zu prüfen, lassen sich mit der Risk- und Security-Management-Plattform durch sogenannte „Penetration Tests“ Angriffe simulieren, etwa an einem Firewall-Port. So lassen sich Kommunikationsprozesse überprüfen und, wenn nötig, korrigieren.

“Wanna Cry” hätte verhindert werden können

Experten sind sich heute einig, dass eine solche Plattform oder ein Schwachstellen-Manager auch die Sicherheitslücke erkannt hätte, die vor wenigen Monaten dem Schadprogramm „Wanna Cry“ in Millionen von Windows-Systemen Tür und Tor geöffnet hat. Ein einfacher Scan hätte ausgereicht, um auf die bestehende SMB-Schwachstelle hinzuweisen. Moderne Risk-Management-Plattformen erstellen automatisch einen Report, der auch die CVE-Nummer der Sicherheitslücke beinhaltet. Die Ersparnis an Zeit und Kosten ist offensichtlich, da die Bearbeitung entsprechender Aufgaben durch Sicherheits-Experten entfällt.

Mehr zum Thema

WannaCry: Armutszeugnis für betroffene Unternehmen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein

Je öfter das System gecheckt wird, desto eher wird die Sicherheit garantiert. Es empfiehlt sich, einmal täglich einen Scan vorzunehmen. Idealer Weise sollte dieser nachts stattfinden, wenn das IT-System weniger stark beansprucht wird und der Schwachstellen-Scanner weniger Kapazitäten in Anspruch nimmt. Eine Ausnahme bilden Krankenhäuser oder Unternehmen, die ihre Systeme rund um die Uhr beanspruchen.

Im Zuge der Inbetriebnahme eines Sicherheitssystems, erfolgt zunächst eine Überprüfung und Analyse aller bestehender Netzwerk-Konfigurationen. Dazu muss die Software mit allen notwendigen Credentials ausgestattet sein. Der Ist-Zustand wird anschließend automatisch in einer Kommunikations-Map oder -Matrix abgebildet, anschließend erfolgt eine Adaption sämtlicher Wechselwirkungen bestehender Kommunikationsbeziehungen. Dies schließt Virenscanner ebenso ein, wie das Patch- und Asset-Management. Die beteiligten Hardware-Systeme werden überprüft und erste Schwachstellen direkt nach der Implementierung aufgezeigt und behoben.

Grafische Darstellungen erleichtern Handhabung

Zum besseren Verständnis erfolgt die grafische Darstellung von Risiken und Schwachstellen über ein Dashboard, beispielsweise über ein Ampelsystem. So können auch Führungskräfte ohne tiefer gehendes IT-Fachwissen das moderne Sicherheitssystem leichter interpretieren. Auch die verschiedenen Standorte der Systeme sind über ein solches Dashboard darstellbar. Das Dashboard macht somit auch komplexere Risk- und Security-Management-Plattformen managementtauglich.

Konkrete Handlungsanweisungen für besseren Schutz

Checkliste (Bild: Shutterstock/Karuka)

Ein weiterer Vorteil moderner Systeme: Sie weisen nicht nur auf Schwachstellen und Bedrohungen hin, sie geben auch konkrete Handlungsanweisungen. Hier greift der Change Manager ein, der im Anschluss an den Scan notwendige Maßnahmen ableitet. In der Regel existieren drei mögliche Optionen: Entweder die Installation eines neuen Patches oder die Einführung einer neuen IPS-Signatur. Eine weitere Option ist die Anpassung der Firewall-Regeln.

Die jeweils passende Anweisung erstellt der Change Manager basierend auf den Change-Anforderungen und leitet sie an den verantwortlichen Mitarbeiter weiter. Alternativ kann der Change Manager ein Zeitfenster erstellen. Über sogenannte Service Level Agreements empfiehlt der Change Manager die Umsetzung einer bestimmten Maßnahme. Die Empfehlungen erscheinen priorisiert, an erster Stelle stehen Maßnahmen, um einen gewissen Sicherheitsstandard zu gewährleisten.

Transparenz erleichtert Überblick

Das Programm arbeitet stets transparent. Sowohl der Status des aktuellen Scans, bestehende oder mögliche Sicherheitsrisiken, als auch Handlungsempfehlungen und empfohlene Zeitfenster für deren Umsetzung sind jederzeit einsehbar. Alle beteiligten Fachabteilungen haben einen Überblick darüber, welche Aufgaben bereits erledigt sind und welche noch ausstehen. Auf diese Weise werden auch Verbindungen und Wechselwirkungen zwischen den einzelnen Fraktionen des Netzwerks sichtbar. Denn diese sind vielen Beteiligten häufig nicht bewusst, insbesondere je größer ein Unternehmen oder je globaler es aufgestellt ist. Zum besseren Verständnis ist eine grafische Darstellung der Verbindungen über die Map möglich.

Fazit

Nicht nur aufgrund der neuen EU-Datenschutz-Grundverordnung sollten Unternehmen, die mit personenbezogenen und anderweitig vertraulichen Daten arbeiten, ihre bestehenden Sicherheitssysteme überprüfen und auf moderne Risk- und Security-Management-Plattform setzen. Neben Bußgeldern bei Verstößen gegen die Verordnung, droht weiterer finanzieller oder materieller Verlust, wenn Schadsoftware nicht rechtzeitig Einhalt geboten wird. Moderne Sicherheitssysteme überzeugen durch Transparenz und einfache Handhabung, auch für Nicht-Experten. Reaktive Systeme allein reichen künftig nicht mehr aus.