Es ist unschöne Realität: Alle paar Tage kommt irgendwo in der Welt ein Datenskandal ans Licht. Etwa wurde kürzlich bekannt, dass Hacker Millionen Kundendaten einer Fluggesellschaft einsehen konnten, inklusive Kreditkartennummern. Mit einem Datenleck konfrontiert sah sich auch ein Rüstungskonzern: Im Netz kursierten interne Dokumente des Unternehmens. Österreichische Behörden machten ebenfalls Schlagzeilen, weil vertrauliche Daten von Bürgern auf ungeschützten Servern zugänglich waren. In der EU ansässige Firmen meldeten seit Inkrafttreten der DSGVO rund 160.000 Datenlecks– 2019 noch einmal deutlich mehr als im Vorjahr. Derartige Pannen untergraben nicht nur das Vertrauen von Kunden und Öffentlichkeit – es drohen auch hohe Bußgelder und möglicherweise Schadenersatzforderungen.

Je komplexer die IT-Landschaft eines Unternehmens, desto größer die Sorge, sicherheitskritische Aspekte zu vernachlässigen. Unserer Erfahrung nach ist es vielfach üblich, neue Infrastruktur, Hardware und Programme zu bestehenden Systemen hinzuzufügen – und erst danach etwaige Sicherheitslücken zu schließen. Beispielsweise mussten Unternehmen wegen der Pandemie-Maßnahmen schnell auf Remote-Arbeit umstellen und ad hoc zahlreiche Fernzugänge einrichten. Häufig kümmerte man sich erst nachträglich darum, die Systeme zu verschlüsseln und das allgemeine Sicherheitsniveau zu erhöhen. Das Risiko, zu spät zu reagieren oder etwas zu übersehen, ist dann vergleichsweise hoch.

Security by Design ist aus Expertensicht die bessere Strategie, um sich vor Angreifern und Datenverlust zu schützen. Hier einige ausgewählte Kriterien für die wesentlichen IT-Segmente:

Software

• Einfachheit: Eine Software sollte nur so viele Funktionen abdecken wie notwendig. Je universeller sie eingesetzt wird, desto größer ihre Angriffsfläche.
• Transparenz: Je mehr Personen ein Programm prüfen, desto eher fallen Fehler auf (Linus‘s Law). Entwickler sollten Codes daher so früh und weit wie möglich teilen und Sicherheitsspezialisten einladen, die Programmierung auf Schwachstellen zu testen (Code Review). Sicherheit ist einer der Gründe, weshalb Firmen für bestimmte Anwendungen bereits häufiger Open-Source-Lösungen einsetzen als proprietäre Software, etwa für Desktop-Browsing und Webserver.
• Minimale Rechte: Standardnutzer erhalten in allen Systemen nur die notwendigsten Berechtigungen. Per Opt-in können Administratoren weitere Funktionen freigeben. So kommen Kriminelle, die einen beliebigen Mitarbeiteraccount hacken, schnell nicht mehr weiter.

Hardware

• Aufrüstung: Immer neue Sicherheitslücken bei marktüblichen Prozessoren stellen Unternehmen vor die Frage, ob sie für sensible Arbeitsbereiche auf alternative, speziell verschlüsselte und in der Regel teurere Alternativen zurückgreifen sollten.
• Authentifizierung: Bei sensiblen Services wie Online-Banking ist es bereits Standard, und auch in Unternehmen kann es sinnvoll sein, Systeme durch doppelte Authentifizierung zu schützen. Dafür ist entsprechende Hardware notwendig, etwa Access Tokens oder Fingerabdruckscanner.

Netzwerk

• Segmentierung: Unternehmen fahren gut damit, mehr oder weniger geschäftskritische sowie vertrauliche Bereiche zu unterscheiden und entsprechend abzusichern. Beispielsweise lässt sich für Web-Kundendienste eine sogenannte neutrale Zone (demilitarized zone, DMZ) einrichten, die technisch vom internen Netzwerk entkoppelt ist und so nicht autorisierte Zugriffe erschwert.
• Monitoring: Unverzichtbar sind Kontrollsysteme, die Angreifer aufspüren bzw. abwehren (intrusion detection/prevention systems), Datenabfluss verhindern (data loss prevention) und Vorgänge in der Datenbank überwachen (database activity monitoring).

Wie bereits erwähnt handelt es sich hier um eine Auswahl an Kriterien, die für Security by Design relevant sind. Einige, aber nicht alle verlangen den Unternehmen höhere Investitionen ab. Selbst wenn die sicherere Bauart anfangs teurer sein mag, wird sie sich über die Jahre auszahlen. Welche Schwerpunkte ein Unternehmen setzen sollte, ist eine komplexe Frage. Eine Analyse zieht meist größere Projekte nach sich, und viele Firmen schieben das Thema vor sich her. In der Praxis haben wir häufiger erlebt, dass erst reagiert wird, wenn Probleme auftreten. Angesichts wachsender Risiken sollten mehr Unternehmen zur Prophylaxe übergehen und ihre IT-Security vom Kopf auf die Füße stellen.

Mehr über unsere Cyber-Security-Beratungsleistungen erfahren Sie hier.