Sie sind hier: HomeTelekommunikation

Operational Security: Gelebte Sicherheitsstrategie

Viele Unternehmen haben inzwischen eine umfassende Sicherheitsstrategie implementiert. Doch wie lässt sie sich von der grauen Theorie in konkrete Praxis umsetzen? Ein erfolgversprechendes Konzept nennt sich "Operational Security". Es integriert die IT-Sicherheit direkt in den IT-Betrieb.

Bildquelle: © Rido - fotolia.com

Die zahlreichen Sicherheitsvorfälle im Jahr 2017 zeigen, dass IT-Attacken immer aggressiver und professioneller werden. Dies ist eine Entwicklung, die sich laut diverser Voraussagen auch 2018 weiter fortsetzen wird. Zum Beispiel ermittelte der Cisco 2018 Annual Cybersecurity Report, dass Cyberkriminelle zunehmend Cloud-Services, IoT-Botnetze und scheinbar vertrauenswürdige Software von Drittanbietern nutzen und dabei durch Verschlüsselung eine Erkennung vermeiden.

Gleichwohl offenbaren viele Unternehmen ein fehlendes Verständnis für die Komplexität moderner Angriffe. Eine weitere Studie macht dies deutlich: Forrester hat jüngst weltweit über 3.600 IT-Verantwortliche zur Absicherung ihrer Systeme befragt. Obwohl sie alle maßgeblichen Anteil an der Planung und Beschaffung von IT-Produkten in ihrem Unternehmen haben, investieren sie nur etwa zehn Prozent ihres Sicherheitsbudgets in die Bekämpfung aktueller Bedrohungen. Vor allem der Bereich Unified Endpoint Management (UEM) wird dabei vernachlässigt, obwohl die Sicherheit der Endpunkte im Kampf gegen Cyber-Attacken an vorderster Front steht.

Denn heute finden laut F5 Networks rund 80 Prozent der Angriffe auf Anwendungsebene statt. Demnach nutzen Cyberkriminelle zunehmend Methoden, welche die Rechenleistung und den I/O auf Layer 7 beeinträchtigen und etwa Web Application Server stören. Phishing oder andere Social-Engineering-Attacken sowie Ransomware greifen letztlich über das Endgerät den Nutzer an, damit dieser auf gefälschte Anhänge oder Links klickt. Daher muss der Schutz des Endgeräts und der Anwendungen inklusive einer entsprechenden Schulung der Mitarbeiter in die umfassende Strategie integriert sein.

Operative Sicherheit

Doch schon die Entwicklung einer solchen ganzheitlichen Sicherheitsstrategie ist alles andere als trivial. Um wirklich sämtliche Aspekte zu berücksichtigen, erfordert sie ein Zusammenwirken aller Unternehmensbereiche. Noch schwieriger gestaltet sich häufig die Umsetzung dieser Strategie in die Praxis. Denn dafür ist eine Transferleistung der aufgestellten Richtlinien in die konkreten Prozesse und Arbeitsabläufe gefordert. Auch hier sind die Mitarbeiter von Anfang an zu integrieren, da sie ja letztlich meist die ersten Betroffenen von möglichen Angriffsversuchen sind.

Ein erfolgversprechendes Konzept ist hier „Operational Security“ (OPSEC). Es geht von der Annahme aus, dass sich IT-Sicherheit unmittelbar in die IT-Betriebskonzepte integrieren muss. Es handelt sich also um einen Ansatz, der IT-Sicherheit grundsätzlich im Betrieb verankert und dort seinen Ausgangspunkt hat, um Sicherheitslücken so früh wie möglich im Prozess zu vermeiden.

Das Konzept stammt ursprünglich aus dem militärischen Bereich. So haben die USA 1966 im Vietnamkrieg ein übergreifendes Sicherheitsteam installiert, um Informationslecks zu vermeiden. Dieser Ansatz konzentriert sich auf die Ermittlung, welche Informationen kritisch sind und ob sie von Spionen genutzt werden können, um die geplanten und durchgeführten Aktionen zu erkennen. Anschließend werden mögliche Gefahren und Schwachstellen analysiert, die Risiken bewertet und geeignete Schutzmaßnahmen eingeführt.

Übersetzt in die IT-Welt lässt sich dieser Ansatz weiter vereinfachen:

  1. Informationen identifizieren: Zuerst ist festzustellen, welche Informationen kritisch sind und welche nicht. Auch die Aktivitäten, Fähigkeiten, Begrenzungen, Schwachstellen und Ziele sind hier zu berücksichtigen.
  2. Schwächen analysieren: Anschließend ist herauszufinden, ob die Informationen irgendwelche Versuche ermöglichen könnten, die Sicherheit oder den Datenschutz zu beeinträchtigen, und wo die Risiken lauern.
  3. Entsprechend reagieren: Schließlich sollten Mitarbeiter anhand der Erkenntnisse und festgelegter Richtlinien wissen, wie sie mit sensiblen Informationen umgehen sollen und welche Gefahren zu vermeiden sind.