Synopsys

Diese Sicherheitsaspekte sollten KMUs beachten

30. März 2022, 17:23 Uhr | Tim Mackey, Principal Security Strategist bei Synopsys
Synopsys: Sicherheitstipps für KMU
© Pixabay/CC0

Cybersicherheit betrifft alle – auch kleinere und mittlere Unternehmen. Synopsys, fasst die wichtigsten Sicherheitsaspekte zusammen, die KMUs beachten sollten.

Erst vor kurzem rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenhang mit dem Russland-Ukraine-Konflikt zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf. In diesem Zuge warnte es auch vor der Verwendung von Virenschutz-Software des russischen Herstellers Kaspersky. Doch auch unabhängig des Konflikts und der erhöhten Bedrohungslage sollten sich Unternehmen des Risikos, Opfer eines Cyber-Angriffs zu werden, bewusst sein und entsprechende Maßnahmen ergreifen.

Speziell für kleine und mittelständische Unternehmen hat Synopsys Sicherheitslücken zusammengefasst, die KMUs möglichst schnell schließen beziehungsweise welche Sicherheitsaspekte sie besonders beachten sollten.

Vorsicht bei Cloud-Service-Provider

Geringe Gebühren wie sie für Cloud-Dienste üblich sind, schonen zwar das Budget. Nur: Sicherheit kostet Geld. Wenn es um den Schutz von Mitarbeiter- oder Kundendaten geht, sollte man bei der Auswahl eines Cloud Service Providers immer prüfen, über welches Sicherheitskonzept er verfügt - vor allem über welche Möglichkeiten er verfügt, Cybervorfälle zu erkennen und zu verhindern. Dazu kann man sich einige grundlegende Fragen stellen:

  • Wie lange dauert es im Durchschnitt, bis Sie Schwachstellen behoben haben?
  • Ist die Behebung von Schwachstellen ein kontinuierlicher Prozess, oder wird sie in Wartungsfenstern durchgeführt?
  • Wie oft validieren Sie Ihre Schutzmaßnahmen gegen neue Bedrohungen?

Keine automatischen Updates oder Patches bei Open Source-Software

Mit Open Source-Software verbindet man gemeinhin vor allem die Möglichkeit, sie kostenlos nutzen zu können. Diese Freiheit hat ihren Preis: Es gibt keinen Anbieter, der automatisch Updates an die Benutzer verteilt. Die Benutzer erhalten keine Updates oder Patches – es sei denn, Sie abonnieren diese proaktiv. Der Update-Prozess wird noch durch einen weiteren Umstand erschwert: Open Source-Software wird – im Gegensatz zu kommerzieller Software – oft von mehreren Anbietern bereitgestellt und kann natürlich auch von kommerziellen Anbietern heruntergeladen werden. Updates und Patches allerdings sind spezifisch für jeden Anbieter und nicht universell. Wenn Sie also nicht wissen, aus welcher Quelle Ihre Open Source-Software heruntergeladen wurde, ist es unwahrscheinlich, dass ein Patch von einem anderen Anbieter Probleme behebt, ohne neue zu verursachen. Open Source Patch Management ist hoch komplex; eine Software Composition Analysis (SCA)-Lösung sollte im Idealfall sowohl den Binär- als auch den Quellcode scannen können. Findet sie im gescannten Code neue Schwachstellen, wird das IT-Team benachrichtigt und ein Link zum entsprechenden Patch zur Verfügung gestellt.

Für potenzielle Ausfälle Trainieren

Geschäftliche Ausfälle sind so gut wie unvermeidlich und, obwohl sie störend sind, sind die Auswirkungen ohne eine angemessene Planung noch weitreichender. Sie basiert auf einem Bedrohungsmodell und den damit verbundenen Trainings durch IT-Teams. Ziel ist es, zu ermitteln, wie sich die betreffenden Systeme in Störungsszenarien verhalten, bevor es tatsächlich zu einer Störung kommt. Im Zuge solcher Übungen werden Prozesse installiert, die Details zu individuellen Verantwortlichkeiten festlegen, die Kommunikation mit Behörden und Kunden regeln und festlegen, welche Daten für eine forensische Analyse aufbewahrt werden sollen. Nicht selten werden so wichtige Lücken aufgedeckt, etwa wie das Business offline ablaufen kann, wenn ein Identitätsdienst wie Office 365 nicht verfügbar ist, oder wie sich Ausfälle bei Dienstleistern auswirken, z.B. bei der Berechnung von Versandkosten. Das Hauptziel solcher Übungen ist es, Teams darin zu schulen, vorausschauend und effizient auf Vorfälle zu reagieren.

Sicherheitsaspekte bei Technologieinvestitionen beachten

Es bietet sich an, neue Technologien als Wegbereiter für geschäftliche Agilität zu betrachten. Wenn Sicherheit nicht mit einbezogen wird, erhöhen sich die Sicherheitsrisiken. Die Migration zu Cloud-gehosteten Container- und Microservice-basierten Anwendungen, hat beispielsweise das Potenzial, kritische Anwendungen vor Ausfallzeiten zu schützen, indem sie zusätzliche Kapazitäten für die Skalierung bereitstellt. Nehmen wir an, die bestehenden Sicherheitsrichtlinien schreiben vor, dass in der gesamten virtuellen Infrastruktur jederzeit Verwaltungsagenten laufen müssen. Dann kann man diese Richtlinie so interpretieren, dass dieselben Agenten in allen Containern und Microservices laufen müssen. Das führt allerdings dazu, dass die Verwaltung zunehmend komplexer wird, weil Microservices oft nur eine kurze Lebensdauer haben. Durch die Agenten und deren Konfiguration vergrößert sich gleichzeitig die Angriffsfläche. Besser ist es, über Container-Verwaltungsplattformen den Zustand der Container zu überwachen und Updates in Golden Images vorzunehmen. Nicht gepatchte Container werden dann automatisch über die Verwaltungsplattform entfernt und ersetzt. 

Riskante Geschäftspraktiken erkennen

Diejenigen, die täglich direkt mit Prozessen und Anwendungen zu tun haben, können riskante Aktivitäten am besten erkennen. Sie wissen, ob ein Prozess zum Zurücksetzen von Passwörtern das tatsächliche Passwort an einen Benutzer sendet, ob eine Sicherheitskontrolle umgangen werden kann oder ob ein Bericht potenziell sensible Informationen enthält. Diese Mitarbeiter sind nicht zwingend Sicherheitsfachleute, aber sie sind Experten in ihrem Job und verfügen über kontextuelles Fachwissen, das einem Sicherheitsspezialisten möglicherweise fehlt. Wenn es einem Unternehmen gelingt, eine Sicherheitskultur zu etablieren, innerhalb derer die Mitarbeiter selbst potenzielle Risiken aufzeigen, ist das sehr viel zielführender als sich auf jährliche Schulungen zu beschränken. 

Risiko für Schatten-IT verringern

Sind Sicherheitspraktiken und -richtlinien so rigide, dass sie sich potenziell auf die Produktivität der Mitarbeiter auswirken, erhöht sich die Wahrscheinlichkeit einer Schatten-IT. Solche Lösungen umgehen zwar die Unternehmenskontrollen, sind aber in Wirklichkeit ein Versuch der Mitarbeiter, ihre Arbeit effizienter zu erledigen. Schatten-IT verweist auch auf eine Diskrepanz zwischen Führungsetage und Fachpersonal. Um das Potenzial von Schatten-IT in einem Unternehmen zu verringern, braucht es sowohl einen risikobasierten Sicherheitsansatz als auch ein Verständnis der IT- und Sicherheitsteams für die Auswirkungen der von ihnen gewählten Verfahren und Technologien. Schatten-IT umgeht per Definitionem Bedrohungsmodellierung und Risikoanalyse, denn sie konzentriert sich in erster Linie auf die Produktivität. Tritt eine Schatten-IT-Situation auf, ist es vorteilhaft diese Implementierung einer Bedrohungsanalyse zu unterziehen. Dadurch kann man Lücken im aktuellen Prozess aufdecken, Annahmen verifizieren und die Erfolgsmetriken des Fachpersonals aufdecken (und verstehen).


Das könnte Sie auch interessieren

Verwandte Artikel

Synopsys

Safety & Security