Wie kann ein Unternehmen die Angriffsoberfläche reduzieren?

Schwachstellen vermeiden, frühzeitig erkennen und zeitnah reduzieren. Wie Sie die Cyber-Resilienz erhöhen und neue Compliance-Anforderungen erfüllen

Fabian Faistauer
Director, Head Cybersecurity Technology & Transformation, PwC Schweiz

Christoph Ulmer
Cybersecurity und Privacy, PwC Schweiz

Gravierende Cyberattacken sind schon fast täglich in den News und führen zu Datenverlust oder dem Ausfall der Lieferfähigkeit von Firmen oder Organisationen. Das Verständnis von der Abhängigkeit einer funktionierenden IT für das tägliche Leben und die Arbeitswelt steigt im selben Rhythmus. Die zunehmend komplexen und verteilten IT-Strukturen bieten immer mehr Angriffsflächen, die durch Cyberkriminelle schamlos ausgenutzt werden.

Das schwache Verteidigungsdispositiv vieler Firmen führt dazu, dass der regulatorische Druck zugenommen hat. Insbesondere bei «kritischen Infrastrukturen» verlangen die Regulatoren zunehmend, die Cyber-Resilienz zu erhöhen. Die Erkenntnis ist gereift, dass ein hundertprozentiger Schutz nicht erreicht werden kann und stattdessen ein Umgang mit den nie endenden Angriffen gefunden werden muss.

Traditionell ist die Finanzindustrie am stärksten reguliert. So hat die FINMA das Rundschreiben zu operationellen Risiken und Resilienz überarbeitet und das Standardisierungsgremium für Kredit- und Debitkarten hat den neuen PCI DSS 4.0 herausgegeben. Auch viele andere Regulierungen zielen darauf ab, dass Organisationen sorgfältiger und entschlossener die Cyber-Risiken erkennen und auf ein akzeptables Mass reduzieren.

Cybersecurity and Privacy

Cybersecurity und Datenschutz

Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.

Mehr erfahren


In fünf Schritten zur Cyber-Resilienz

Die Angriffsoberfläche kennen und aktiv reduzieren

Jedes Unternehmen benötigt Transparenz zu IT-Umgebungen, die es nutzt. Dazu braucht es ein Inventar der IT-Assets mit allen Geräten, den Versionen der Firmware, der Betriebssysteme und aller anderen wichtigen Software. Zur Reduktion der Angriffsoberfläche werden:

  • nur aktuelle Versionen eingesetzt
  • Funktionen, die nicht genutzt werden, deaktiviert
  • bekannte Schwachstellen reduziert

Cyber-Angriffe schnell und zuverlässig erkennen

Das schnelle und zuverlässige Erkennen von Cyber-Angriffen gelingt nur dann, wenn eine Organisation in der Lage ist die folgenden Aspekte zu überwachen und daraus Anomalien oder bekannte Angriffsmuster zu erkennen:

  • Überwachung des oder der Verzeichnisse mit allen User IDs, welche die Organisation nutzt und durch Externe genutzt werden, um auf die IT und Daten zuzugreifen
  • Überwachung der Client-Endpunkte (PC, Tablets, Smartphons) mit welchen die legitimen User auf die Daten zugreifen
  • Überwachung der Server-Endpunkte, auf denen die Daten gespeichert und verarbeitet werden
  • Überwachung aller Netzwerkverbindungen vom/ins Internet, in die Server-Zonen, zu den Partnernetzwerken und in die Cloud-Services

Der Zusammenzug von Logs aus verschiedenen Systemen kann helfen, reicht aber definitiv nicht für ein schnelles Erkennen von Anomalien. Dazu sind moderne – heutzutage meist cloudbasierte – «Extended Detection and Response»-Systeme mit einem schlagkräftigen Team erforderlich. Dies bedeutet aber nicht, dass jede Organisation selbst ein «Security Operations Center» (SOC) einrichten muss. Schliesslich hat auch nicht jede Organisation eine eigene Feuerwehreinheit für den Brandfall aufgebaut in der Vergangenheit.

Schnelles und wirksames Reagieren auf Angriffe

Sobald ein Angriff, eine Anomalie oder ein suspekter Datenabfluss erkannt wird, muss das «Incident Response Team» schnell reagieren und wirksame Massnahmen ergreifen können. Insbesondere Cyber-Krisen müssen geübt werden, da der Mensch nur dann Krisen bewältigen kann, wenn er die Krise auch begreift. Ein Cyberangriff-Szenario unterscheidet sich genau in diesem Punkt von anderen Krisensituationen wie Hochwasser, Feuer oder Erdbeben – die Krise ist nicht sichtbar und nur schwer «begreifbar».

Ausbau der Fähigkeit zur Wiederherstellung im Falle eines Ausfalles

Trotz aller Vorsicht kann es zu Angriffen oder Ausfällen der IT-Infrastruktur kommen. Die Fähigkeit zur Wiederherstellung vom «bare metal» nach einem Ransomware-Angriff sowie das Verständnis der Abhängigkeit der einzelnen IT-Komponenten und der geordnete Wiederaufbau braucht Konzepte und Übung.

Der stetige Verbesserungsprozess und das Lernen von Vorfällen

Wie das Sprichwort schon sagt: «Es ist noch kein Meister vom Himmel gefallen». Darum sollte jede Organisation bestrebt sein zuerst schnell die besonders wichtigen Daten und IT-Systeme zu schützen und sich dann stetig zu verbessern sowie den Umfang des Schutzes zu erweitern. Der grosse Wurf von Anfang an gelingt nur wenigen, da sich das Umfeld und die eigene IT-Landschaft so schnell ändern.

Starten Sie mit dem ersten Schritt zur Cyber-Resilienz – dafür richtig

Der erste Schritt zur Cyber-Resilienz verlangt, die eigene Angriffsoberfläche zu kennen und auf ein akzeptables Mass zu reduzieren. Folgende Aspekte spielen in diesem ersten Schritt eine entscheidende Rolle:

Überblick über die IT-Landschaft verschaffen und ein Inventar erstellen

Verschaffen Sie sich einen Überblick über die IT-Landschaft und erstellen Sie ein Inventar der IT-Assets:

  • User IDs: Wie viele User sind in Ihrer Organisation registriert? Wie viele davon sind IT-Administratoren, welches sind externe Partner und wie viele Kunden haben Zugriff auf sensitive Daten?
  • Device-Management: Wie viele «managed» Devices wie PCs und Laptops verwaltet die IT? Was ist der Stand der Betriebssysteme darauf und welche Standard- oder Individualsoftware ist darauf installiert?
  • On-Premises Data Center: Welche IT-Geräte stehen in Ihrem Data Center / IT-Raum? Wie viele Netzwerksegmente verwaltet die IT und wo genau sind die Schnittstellen nach aussen? Was ist der Stand der Betriebssysteme darauf und welche Standard- oder Individualsoftware ist darauf installiert? Nutzen Sie selbst entwickelte Softwarelösungen
  • Outsourcing: Was genau von Ihrer IT ist ausgelagert? Was genau machen Ihre Partner und wie ist Ihre Rolle dabei? Wir erinnern uns: Alles kann ausgelagert werden – bis auf die Verantwortung. Diese trägt immer das Unternehmen, das etwas auslagert.
  • Cloud: Auch Cloud ist eine Art von Outsourcing. Zuallererst müssen Sie sich im Klaren sein, welchen Service Sie dadurch beziehen, sei es Software as a Service (SaaS), Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS). Der Schutz der Daten und die Verwaltung der Zugriffsrechte bleibt stets in Ihrer Verantwortung als Cloud-Kunden. Bei IaaS müssen Sie wahrscheinlich sogar das Betriebssystem und die Software Ihrer VMs patchen.
  • Liste der Datensammlungen: Diese umfasst einerseits personenidentifizierende Daten, welche dem jeweiligen Datenschutzgesetz unterstehen oder noch weiter reichende Schutzanforderungen wie das Berufsgeheimnis (z.B. für Ärzte oder Anwälte) oder den Schutz der Bankkundendaten zu erfüllen haben. Eine weitere Kategorie sind «kritische» Daten, welche ein Unternehmen für den Fortbestand seiner Geschäftstätigkeit braucht. Das können Geschäftsgeheimnisse oder Verfahrensanweisungen sein. Diese Daten müssen kategorisiert, dann klassifiziert und schliesslich einer Schutzbedarfsanalyse unterzogen werden – unabhängig davon, ob sie in der Cloud oder im eigenen Data Center gespeichert werden.

Dieses Inventar als Auflistung Ihrer IT-Assets ist die Voraussetzung dafür, dass eine Organisation überwachen kann, welche Nutzer, mit welchen Geräten, über welche Netzwerke, auf welche Applikationen und schliesslich Daten zugreifen. Fehlt die Transparenz, können keine Anomalien erkannt werden.

Nur aktuelle Versionen einsetzen 

Jede IT-Landschaft hat einen Lebenszyklus. Wenn Sie ein IT-Gerät oder ein Betriebssystem einsetzen, dann ist Ihnen bewusst, wie lange dieses vom Hersteller unterstützt wird. Sollten Sie dies vergessen, machen Sie Ihre Anbieter in der Regel darauf aufmerksam, wann ein System nicht mehr weiter unterstützt wird («End of Support»). Danach erhalten Sie keine Sicherheitsupdates oder «Patches» mehr, um mögliche Lücken zu schliessen. Es klingt banal, doch die tägliche Realität zeigt, dass in vielen Fällen Systeme noch im produktiven Einsatz sind, obwohl sie von Seiten der Hersteller nicht mehr weiter unterstützt werden, was die Firmen-IT erheblich schwächt.

Es mag betriebliche Gründe geben, die rechtfertigen, dass Geräte in diesem Zustand nicht ersetzt werden. In diesen Fällen müssen aber die zusätzlichen Risiken identifiziert, bewertet und auf ein akzeptables Mass reduziert werden. Wird ein «End of Support»-Gerät ohne weitere Massnahmen betrieben, ist das sehr riskant. Besser ist die frühzeitige Ablösung von nicht mehr unterstützten Geräten und Versionen.

Hardening-Standards / Security Configuration Baselines

Jeder Hersteller und verschiedene Organisationen wie CIS, NIST, etc. liefern Grundlagen, wie Geräte und Systeme so konfiguriert werden, dass nur die Funktionen aktiviert sind, die benötigt werden und bekannte Angriffsvektoren so gut wie möglich reduziert werden. Das bedeutet, dass ein Unternehmen für seine Server, PCs und Netzwerkgeräte sogenannte «Hardening-Standards» erstellt, diese regelmässig überprüft und anpasst. Es reicht nicht, den Standard niederzuschreiben und zu publizieren. Die jeweiligen Betriebsorganisationen müssen dafür sorgen, dass Neuinstallationen den Vorgaben entsprechen.

Im Weiteren ist in regelmässigen Abständen (gemäss PCI DSS zum Beispiel mindestens alle 3 Monate) zu prüfen, ob das «Hardening» an den laufenden Systemen noch den Vorgaben entspricht.

Was unter Security-Compliance-Management zu verstehen ist und warum es so wichtig ist, erfahren Sie in unserem Blog.

Regelmässiger Schwachstellen-Scan (Vulnerability Scan & Management)

Zusätzlich zum «Hardening» muss ebenfalls in regelmässigen Abständen überprüft werden, ob auf den Systemen bekannte Schwachstellen erkannt werden. Diese müssen dann in einem geordneten Prozess risikobasiert beseitigt oder durch kompensierende Massnahmen abgeschwächt werden.

White Paper zum Vulnerability Management

Vertiefen Sie Ihr Wissen zum effizienten und wirksamen Umgang mit Software-Schwachstellen in unserem White Paper.
 Zum Download

IT & Security Governance

All diese Dinge passieren nur dann zuverlässig, wenn die Rollen und Zuständigkeiten klar sind und Aufgaben den Teams mit ausreichenden Ressourcen und Fähigkeiten übergeben werden. Dazu sollten ein IT-Servicemanagement / eine IT-Security-Prozesslandschaft gemäss ITIL 4 erstellt werden, damit zu den jeweiligen Prozessschritten die Rollen und Zuständigkeiten formalisiert, dokumentiert und an Personen übergeben werden. Diese müssen auch Rechenschaft darüber abliefern, wenn die Vorgaben nicht eingehalten werden.

Integrierte Werkzeuge und Schnittstellen

Cyber-Resilienz erfordert, dass Transparenz über die IT-Landschaft und über den Zustand der Komponenten herrscht. Dazu müssen das Inventar und der Schwachstellen-Scanner miteinander verbunden sein, um zu prüfen, ob die im Inventar aufgeführten Informationen mit den im Netzwerk gescannten Eckpunkten übereinstimmen. Nur so kann das Inventar aktuell und die Datenqualität hochgehalten werden.


#social#

Eine Lösung nach Mass

Unser Lösungsansatz deckt Ihre gesamte Reise zur Cyber-Resilienz ab.


Im Assessment stellen wir fest, wie weit ihre Organisation schon auf dem Weg zur Cyber-Resilienz ist. Dazu werden gängige «Best Practices» und Maturity-Modelle als Referenz beigezogen, die Ihnen die grössten Lücken aufzeigen.


Zum Schliessen der erkannten Lücken wird über ein Projekt eine Transformation geplant und eingeleitet. Diese ist umfassend und berücksichtigt sowohl das «Tooling», wie auch Prozesse und Governance-Aspekte.


Eine Lösung ist nur so gut wie sie in die Betriebsprozesse der Organisation integriert ist. Dazu unterstützen wir sie mit unterschiedlichen Modellen wie «early life support», «Managed Service» oder was immer für die spezifische Umgebung und Problemstellung am sinnvollsten ist.

Dank unserem Managed Service können Sie sich auf Ihr Kerngeschäft konzentrieren

Im Bereich Vulnerability Management und Hardening-Standards / Security Configuration Baseline Management sowie Managed Cyber Defense verfügt PwC über umfangreiche Erfahrung und Expertise, die wir gerne im «pay per use»-Modell inklusive Tooling zu attraktiven Preisen anbieten. Somit kann Ihre Organisation innert kurzer Zeit profitieren und einen markanten Schritt in Richtung Resilienz machen.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000DYCIQA4&embed=true&lang=de

Mit Vertrauen zum Erfolg

Vertrauen Sie auf ein Team, das bei der Transformation Ihres Unternehmens wirklich mitdenkt, die passenden Cybersecurity-Lösungen entwickelt, implementiert und kontinuierlich begleitet. So schaffen wir gemeinsam mit Ihnen nachhaltigen Wert und Vertrauen – heute und in Zukunft.

Mehr zu unseren Dienstleistungen

Kontaktieren Sie uns

Fabian Faistauer

Fabian Faistauer

Director, Cybersecurity Technology & Transformation, PwC Switzerland

Tel.: +41 58 792 13 33

Christoph Ulmer

Christoph Ulmer

Cybersecurity and Privacy, PwC Switzerland

Tel.: +41 58 792 23 14