Prävention
Der Bereich der Prävention ist wahrscheinlich der umfassendste Bereich für die Sicherheit von IT-Systemen. Er lässt sich grundlegend in Datenschutz und Systemschutz unterteilen. Zum Datenschutz gehören Dinge wie Datenverschlüsselung, Transportverschlüsselung, Backups und sogar der Zugriffsschutz auf IT-Systeme. Der Systemschutz hingegen umfasst Dinge wie das Härten von Systemen oder das Patch-Management. Leider konzentrieren sich immer noch zu viele Unternehmen ausschließlich auf den Bereich der Prävention, wenn es um die Sicherung ihrer IT-Systeme geht. Das erschwert die forensische Arbeit, wenn in ein System eingebrochen wird. Denn...Erkennung
Unter Hackern ist es kein Geheimnis, dass es keine 100%ige Sicherheit für IT-Systeme gibt. Ein einfacher Softwarefehler kann bereits einen Angriffsvektor darstellen. Und in den meisten Fällen dauert es mindestens ein paar Stunden, bis ein geeigneter Patch verfügbar ist. Außerdem gibt es Exploits, die von Hackern nur unter der Hand weitergegeben werden, so dass es manchmal Tage oder sogar Wochen dauert, bis die Lücke bekannt wird. Manche Bugs sind sogar weitaus länger nur eingeschränkten Kreisen bekannt, wie z.B. die von Geheimdiensten genutzten Exchange-Bugs in der Vergangenheit zeigten. Es ist also notwendig, dass Anomalien in einem IT-System entdeckt werden können, an denen man sieht, wenn Hacker im Netzwerk aktiv werden.An dieser Stelle kommt die Erkennung ins Spiel. Dazu gehören Firewall-Systeme, die den Datenverkehr überprüfen, sowie Intrusion Detection Systeme und Präventionssysteme, die Anomalien in den Systemen selbst erkennen. Darüber hinaus sind moderne Intrusion Detection Systeme auch in der Lage, statistische Daten aus den Systemen zu analysieren und damit ungewöhnliche Vorgänge zu erkennen. Gute Abwehrsysteme können auch typische Angriffe (wie z.B. Bruteforces) blockieren und so bereits Schlimmeres verhindern.
Bewertung
Allerdings können auch die besten Intrusion Detection Systeme und Firewalls legitime Prozesse fälschlicherweise als Angriffe identifizieren. Sie sind bereits recht gut in der automatischen Bewertung und werden dank künstlicher Intelligenz auch immer besser. Trotzdem sollte auch eine Kontrolle durch einen Menschen stattfinden. Die Bewertung sollte daher niemals den automatisierten Systemen überlassen werden. Die automatisierte Bewertung sollte immer nur ein Teil des Bewertungsprozesses sein und mit Hilfe von Warnmeldungen darauf aufmerksam machen, dass ein ungewöhnlicher Vorgang im System entdeckt wurde. Eine menschliche Überprüfung ist immer erforderlich.Reaktion
Je nachdem, wie die Bewertung dann ausfällt, ist natürlich eine Reaktion notwendig. Wenn ein Angriff entdeckt wird, der noch im Gange ist, sollten geeignete Abwehrmaßnahmen ergriffen werden. Wenn ein System bereits erfolgreich kompromittiert wurde, muss eine forensische Untersuchung durchgeführt werden, um herauszufinden, wie der Angriff stattgefunden hat und welche Daten manipuliert oder gestohlen wurden. Außerdem muss eine Meldung an den Datenschutzbeauftragten und, falls nötig, an die zuständigen Behörden erfolgen. Es ist in der Regel auch keine schlechte Idee, betroffene Kunden zu informieren, denn die Erfahrung zeigt uns, dass Datenschutzverletzungen immer irgendwie veröffentlicht werden. Es ist besser, wenn das Unternehmen die Kontrolle über die Veröffentlichung behält.Wenn du dieses 4-Stufen-Modell in allen IT-Systemen und deinem Risikomanagement umsetzt und entsprechend qualifizierte Mitarbeiter/innen hast, kannst du zumindest davon ausgehen, dass Angriffe nicht unbemerkt bleiben und in vielen Fällen rechtzeitig abgewehrt werden können. In der heutigen Welt ist das für Unternehmen lebenswichtig. Denn neben hohen Geldstrafen und möglichen Klagen ist der Imageverlust oft nur schwer oder gar nicht zu beheben.