Beste Practice 14.11.2022, 06:50 Uhr

«IT-Security wird vielfach zu wenig stark gewichtet»

Das Absichern von IT-Landschaften in Unternehmen ist eine grosse Herausforderung. Oftmals wird die IT-Security zu wenig stark gewichtet, beobachtet Stephan Berger von InfoGuard.
Stephan Berger ist Head of Investigations bei InfoGuard

(Quelle: InfoGuard)
Administratorinnen und Administratoren haben mit dem Betrieb der IT-Infrastruktur in Schweizer Unternehmen schon vielfach alle Hände voll zu tun. Parallel steigt die Komplexität von IT-Gefahren nahezu täglich. Überall lauern Bedrohungen, und sei es nur wegen eines zu spät eingespielten Patches. Die IT-Security quasi nur im «Nebenjob» zu betreiben, sei dann keine gute Idee, sagt Stephan Berger von InfoGuard.
Computerworld: Sie skizzieren sieben vermeidbare Fehler in IT-Organisationen. Welcher kommt in der Praxis am häufigsten vor?
Stephan Berger: Das fehlende Patch-Management. Diesen Punkt sehen wir natürlich auch sehr häufig bei unseren Incident-Response-Fällen, wenn kritische Schwachstellen nicht oder erst zu spät gepatcht wurden. Ein Beispiel ist die neuste Fortinet-Lücke (CVE-2022-40684): Nach Veröffentlichung des Patches wurde nach nur drei Tagen öffentlicher Exploit-Code publiziert. Danach untersuchten wir bereits die ersten kompromittierten Firewalls bei einigen Kunden. Das Patchfenster ist sehr klein geworden. Unternehmen müssen ihr Patchmanagement entsprechend ausrichten.
CW: Aus welchem Grund passieren diese vermeidbaren Fehler typischerweise?
Berger: Nicht nur IT-Security, sondern die ganze IT-Landschaft ist in den letzten Jahren immer komplexer geworden. Von typischen IT-Administratoren wird heute erwartet, dass sie verschiedene Produkte und Technologien in einer gewissen Tiefe verstehen. Es ist klar, dass bei diesem Anspruch natürlich nicht alle Bereiche abgedeckt werden können. Gerade IT-Security wird dabei vielfach zu wenig stark gewichtet. Oftmals ist es auch eine Abwägung der Prioritäten, da operative Probleme behoben werden müssen und langfristige Investitionen in die Sicherheit im Tagesgeschäft fast keinen Platz haben.
CW: Wenn trotz aller Vorkehrungen einer der Fehler doch passiert ist: Was sind Ihre Empfehlungen?
Berger: Mit der «Defense in Depth», sprich der Verteidigung in der Tiefe, können Fehler im Sicherheitsdispositiv kompensiert werden. Dazu gehören unter anderem regelmässige Assessments, ausgearbeitete Tiering-Modelle, Least-Privilege für die Benutzer sowie das Überwachen des Firmennetzwerkes mit einem Endpoint Detection and Response Agent usw.
CW: Die Bedrohungslage wird immer unübersichtlicher. Wo starten Unternehmen bestenfalls, um sich gegen die grössten Gefahren zu wappnen?
Berger: Wir empfehlen Unternehmen vielfach, mit einem Compromise Assessment zu starten, das auch eine vertiefte Untersuchung des Active Directorys beinhaltet. Durch solch ein gezieltes Assessment können schon erste gröbere Fehler entdeckt werden. Danach ist es sicherlich auch sinnvoll, einen vertieften Penetrationstest durchführen zu lassen, der auch das Perimeter beinhaltet, um noch weitere Löcher im Sicherheitsdispositiv erkennen und dadurch schliessen zu können. Natürlich sollten Unternehmen auch IT-(Security-)News regelmässig lesen, um über die neusten Angriffstechniken und die entprechende Verwundbarkeit im Bilde zu sein.
CW: Viele Firmen können sich ein eigenes Sicherheitsteam schlicht nicht leisten. Oder sie bekommen die Talente nicht. Was raten Sie diesen Kunden?
Berger: IT-Security ist ein komplexes Thema, und jeden Tag werden neue Bedrohungen und Angriffe veröffentlicht. Bei dieser Informationsflut den Überblick zu behalten ist schwer, wenn man sich nicht in Vollzeit damit befasst. Deshalb raten wir unseren Kunden, die IT-Security – auch die Überwachung des Netzwerks – nicht inhouse durchzuführen, sondern entsprechende Dienstleistungen durch einen erfahrenen Managed Security Provider durchführen zu lassen. Denn die Gefahr, dass ein Alarm falsch interpretiert oder ein Netzwerk schlecht geschützt wird, ist gross. Diese Fehler sehen wir vielfach auch bei unseren Incident-Response-Fällen, bei denen nicht adäquat auf eine akute Bedrohung reagiert wurde.
Zur Person
Stephan Berger ist heute als Head of Investigations bei InfoGuard tätig. Er stiess 2020 als Senior Cyber Security Analyst zu dem Sicherheitsspezialisten aus Baar/Zug. Zuvor war er jeweils vier Jahre in ähnlicher Funktion beim Bundesamt für Informatik und Telekommunikation BIT und der Schweizerischen Post beschäftigt. Berger hält einen Master in Engineering mit Vertiefung Computer Science/IT-Security von der Berner Fachhochschule.



Das könnte Sie auch interessieren