Weiterbildung im Bereich IT-Security
Formel: Wissen = Macht?
Als Mathematikerin und IT-Consultant mit fachlichen Schwerpunkten rund um Informationssicherheit begeistere ich mich für alles, was z.B. IT-Security, Grundschutzchecks oder Risikoanalysen betrifft.
Die IT-Welt entwickelt sich rasant, in einem Tempo mit der Entwicklung der Wissenschaft.
Also: Wissen = Macht?
Neue Hard- und Software machen unser Leben zwar leichter, bringen aber auch neue Risiken mit sich. Dazu kommen immer wieder neue Datenschutz- und Sicherheitslücken, tägliche Cyber- und Hackerangriffe auf Unternehmen, um nur ein paar Beispiele zu nennen. Ein Grund, warum ich mich für die Weiterbildung zum IT-Security-Koordinator (IHK) entschieden habe.
Jeder, der sich dem Thema Informationssicherheit widmet, weiß, dass IT-Sicherheit immer hinter den Bedrohungen steht. Das heißt, zuerst folgt die Bedrohung, dann eine Reaktionszeit, und dann die Gegenmaßnahmen. Je kürzer die Reaktionszeit ist, desto sicherer ist die gesamte IT-Infrastruktur im Unternehmen. Nur Wissen und erweiterte Sicherheitskenntnisse können uns helfen, starke Präventivmaßnahmen im IT-Umfeld zu bauen, um bei einem Vorfall so schnell wie möglich reagieren zu können.
Was ist aber, wenn wir nichts wissen? Lässt nichts wissen, IT-Manager ruhiger schlafen?
Sind Unternehmen machtlos?
Aus meiner IT-Security Weiterbildung gab es einige Erkenntnisse, die ich gerne mit Euch teilen möchte.
Kerninhalte der Weiterbildung und Erkenntnisse
Meine Weiterbildung beinhaltete unterschiedliche Module. Hierzu gehörten Grundlagen IT-Security, Kryptografie, Sicherheit von Betriebssystemen und Anwendungen, Datenschutz, Firewalls, Prozessmanagement bis hin zu Netzwerktechnologien und -topologie. Auf einige mir wichtige Details aus den Schulungsinhalten gehe ich nachfolgend ein.
Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
Zu Beginn das Wichtigste: BSI-Grundschutz ist ausschlaggebend. Es ist fast unmöglich, alle Maßnahmen von Kompendium umzusetzen, dennoch lohnt es sich, zielstrebig zu sein. Bedauernswert, dass nicht alle Anforderungen passende bzw. aktuelle Umsetzungsnachweise haben. Aus diesem Grund bauen immer mehr Unternehmen hybride Informationssicherheitsmanagementsysteme (ISMS), die aus einer Kombination von BSI-Grundschutz und ISO 27001 bestehen. Für kleine und mittlere Unternehmen ist es sinnvoll, eine ISMS nach CISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten) einzubeziehen. Ich finde CISIS12 elegant, nicht teuer und sicher. Eine ernüchternde Nachricht vorweg: Es gibt keine 100%ige IT-Sicherheit.
Dies mag paranoid klingen. Aber hier stellt sich die berechtigte Frage: Ergibt es überhaupt Sinn, IT zu sichern? Denn Angreifer werden immer Schwachstellen finden.
Ein deutliches – ja! Wir bauen ISMS, minimieren daraufhin die Risiken und schätzen das Restrisiko ein. Können wir diese Schwachstellen tolerieren oder muss was unternommen werden?
Einige Beispiele sind die Übergabe der IT zum Outsourcing, organisatorische Maßnahmen wie interne IT-Sicherheitsschulung, Ergänzungen des Arbeitsvertrages hinsichtlich Pflichten und Policy.
Dies alles erschwert Hackern die Arbeit. Eine weitere Maßnahme für die Unternehmen ist der Abschluss einer Risikoversicherung im Schadensfall bei Angriffen. Letztendlich gilt es Unternehmen, IT-Personal und Mitarbeiter*innen für IT-sicherheitsrelevante Themen zu sensibilisieren und nicht nur vordergründig technische Erneuerungen (Hard- und Softwareinstallationen etc.) zu betrachten.
Ein weiteres Thema: Angriffsszenarien
Das Szenario ist fast immer gleich. Ein klassisches Beispiel: Ein Mitarbeiter*in erhält eine Mail mit einem falschen Websitelink oder Dokumentenanhang. Dieser sieht zwar vertrauenswürdig aus, ist es aber nicht. Ein unbedarfter Klick genügt, und schon breitet sich ein Virusangriff aus. Wie können Angriffe vermieden werden? Auch hier gibt es mehrere Präventivmaßnahmen.
Wie bereits erwähnt, gehört hierzu die IT-Sicherheitsschulung der Belegschaft. Die restlichen Maßnahmen sollten vom IT-Team zusammen mit dem Sicherheits-Team umgesetzt werden. Die IT-Infrastruktur ist auf die Security-Bedürfnisse anzupassen. Zum Beispiel die richtige Passwort Policy einsetzen (obwohl, der einzige Vorteil von einem Passwort ist, dass das Passwort kostenlos ist, Ansonsten bedeutet dies für die Mitarbeiter*innen nur Stress). Ebenso nutzt eine Zweifaktor-Authentifizierung. „Your own device“ – ist verboten. Eine weitere Risikominimierung ist auch, Hard- und Software zu inventarisieren und Patches einzuspielen. An sich gar nicht so schwer, oder?
Hier kann ich nur noch einmal auf das BSI-Grundschutzkompendium hinweisen.
Ausschlaggebend ist, welche Bausteine für welches Unternehmen nach einer vorherigen Analyse relevant sind. Danach gilt es so weit wie möglich die Anforderungen umzusetzen.
Kryptografie
Der Einsatz von Kryptografie hilft, Integrität und Vertraulichkeit der Information zu erreichen.
Gleichzeitig ist es wichtig zu verstehen, dass die Kryptoanalyse der natürliche Feind der Kryptografie ist. Das heißt, dass die permanent steigende Rechenleistung sogenannte „Brute-Force Attacken“ vereinfacht. Wer sich für die Anwendung der Kryptografie entscheidet, sollte über folgende Konsequenzen nachdenken:
· Schlüssellängen müssen regelmäßig angepasst werden (Information: BSI-GS-Kompendium, BSI TR-02102).
· „gebrochene“ bzw. „schwache“ Verfahren müssen abgelöst werden.
· Nach aktuellem Stand bleiben sicher verschlüsselte Daten nur für eine bestimmte Zeit geschützt.
· Realistische Abschätzung des Aufwands / Sicherheitsbedarfs nötig: Gegen wen will ich mich schützen? Geheimdienste mit spezieller Hardware? Wettbewerber? Script-Kiddies?
Sicherheit von Betriebssystemen und Anwendungen
Es herrscht ein Kampf zwischen den Welten: Microsoft-Welt gegen Open-Source-Welt.
Open Source kann nur dann sicher sein, wenn die Software von einer großen Anzahl der Nutzer ausprobiert bzw. genutzt wird. Diese Nutzer testen die Software, suchen Lücken und geben über Kommentare ihr User-Feedback. Wenn die Community zuverlässig ist, dann verbessert sie die Anwendung.
In der MS-Welt gibt es 214 Millionen Nutzer weltweit. Gerade durch die hohe Anzahl von Kundenfeedback werden zum Beispiel Schwachstellen dadurch viel schneller gefunden.
Datenschutz nach DSGVO
Ist Datenschutz wichtig? Auf jeden Fall! Wir sollten uns alle bewusst sein: Wer über unsere persönlichen Daten verfügt, kann uns manipulieren. Was noch gefährlicher ist, dass genau diese Manipulation sich hinter der Bequemlichkeit versteckt.
Wenn wir wollen, dass uns in der Zukunft die künstliche Intelligenz mehr und mehr steuert, wenn KI immer mehr Wissen und Kenntnisse über uns erlangt, dann wird es deutlich schwieriger, seine eigene Identität weiterzubehalten. Denn auch hier gilt: Wissen = Macht.
Auch wichtig zu wissen: Im Datenschutzumfeld sind zwar viele Personen beteiligt, z.B. Datenschutzbeauftragter (DSB), Datenkontrolleure, Datenschutzkoordinatoren, Aufsichtsbehörden – in letzter Instanz ist jedoch immer der Leiter, bzw. der Geschäftsführer des Unternehmens verantwortlich und auch haftbar. Diese Verantwortung lässt sich auch nicht durch die Bestellung eines Auftragsverarbeiters übertragen.
Hierzu ein Beispiel zu erfolgten Sanktionen & Bußgelder: DSGVO: 20 Millionen € oder 4 % Jahresumsatz weltweit. BDSG: 10 Millionen € oder 2 % Jahresumsatz weltweit. Freiheitsstrafen bis zu 3 Jahre.
Noch ein Aspekt: Internetprotokoll Version 6.
Die Anzahl von Geräten im Internet wächst kontinuierlich. Als Folge daraus werden IPv4 -Adressen knapp. Die Lösung ist das IPv6. Mit einer Nutzung von IPv6 kann jedes Gerät im Internet eine eigene Adresse erhalten. Es lohnt daher, sich schon jetzt über die Einführung von IPv6 Gedanken zu machen und sich entsprechend darauf vorzubereiten. Dies bedeutet, IT-Administratoren müssen sich in IPv6 einarbeiten, Monitoring- /Verwaltungs- und weitere Konzepte müssen erneut geschrieben werden. Dies bedeutet viel Spaß mit temporär-doppeltem Aufwand (IPv4/IPv6) und einer neuen Implementierung der IT-Sicherheit.
Einige sicherheitsrelevante Aspekte:
Bei der Migration von IPV4 auf IPV6 entsteht die Notwendigkeit Sicherheit neu zu implementieren. Auch IPv6 besitzt Implementierung- und Designfehler, mit zunehmendem Verbreitungsgrad werden die Fehler entdeckt. Laut CVE wurden im Jahr 2002 ca. 3 Schwachstellen gefunden und im Jahr 2015 schon 47.
Wer sich weiterhin für IPv4 entscheidet, wägt sich zunächst einmal in Ruhe. Dann sollte man doch nachdenken, dass auf moderne Systeme IPV6 per Default „schlafend aktiviert“ ist. Also IPv6 ist schon da.
Wireless
Hier möchte ich über Bluetooth, genauer Bluetooth-Mesh, über ein paar mir wichtige Erkenntnisse schreiben. Eine Möglichkeit, Beleuchtungssteuerung, Gebäudeautomation oder Sensornetzwerke in Unternehmen zu implementieren. Als Netzwerktopologie wird Mesh-Netzwerk genutzt, in dem Geräte Nachrichten weiterleiten können. Es können Tausende von Geräten in einem einzigen Netzwerk gesteuert sein. Die Reichweite erhöht sich durch Hopping von Nachrichten zwischen den Geräten. Was heutzutage auch sehr wichtig ist – energiesparende Nodes (z.B. batteriebetriebene Sensoren). Das Ganze ist auch für Betrüger/Hacker interessant. Als einfache Gegenmaßnahmen ist folgendes zu beachten: Regelmäßige Updates, sichere Konfiguration, Zugangskontrolle, Netzwerksegmentierung, Überwachung & Protokollierung, Sicherheitsbewertung und wieder: IT-Schulung & Sensibilisierung.
Fazit
Mein Fazit auf die Frage „Ist Wissen gleich Macht, oder lässt Nichts wissen IT-Manager ruhiger schlafen?“: Jeder entscheidet für sich, ob Informationssicherheit für ihn wichtig ist.
Fakt ist – IT-Sicherheit spielt eine immer wichtigere Rolle für eine erfolgreiche Existenz des Unternehmens. Für mich steht fest: Ich stelle weiterhin unangenehme Fragen, wenn es um IT-Sicherheit geht.
Wir von sapiens42 entscheiden uns für Wissen, um unser Wissen intern und an unsere Kunden weiterzugeben. Im Mai wird mein Kollege an einer Weiterbildung teilnehmen. Thema ist „ChatGPT“. Ich freue mich schon auf den Wissensaustausch.
Meine Weiterbildung endete vor kurzem erfolgreich mit der schriftlichen IHK-Prüfung. Diese fand allerdings vor Ort statt, da der Online-Testanbieter noch während unseres Seminars „gecibert“ wurde. So viel zum IT-Sicherheitsthema. Willkommen im wahren Leben!
Geschrieben von Natalia Sukhanov, sapiens42