5 Best Practices für schnelle Reaktionen auf Sicherheitsvorfälle

3. Mai, 2021

Allein in Österreich gehen die Schätzungen von über 7.500 betroffenen Systemen aus [1]: Verschiedene Schwachstellen in Microsoft Exchange Servern erlaubten (oder erlauben) die Übernahme und Kompromittierung kritischer Unternehmenskommunikation – die sogenannten Hafnium Hacks. Viele Systeme wurden nicht rasch genug aktualisiert und gepatcht. Schnelle und effiziente Reaktionen gelingen im Ernstfall  anhand einfacher Best-Practices zur Erreichung und Erhaltung von aktueller Cyber-Security.

Konkrete Handlungsempfehlungen: Basis CIS Security Controls

Bereits 2012 wurden die 20 Best-Practices als Richtlinien für Unternehmen entwickelt, um IT-Sicherheit auch in Nicht-IT affinen Unternehmen und Institutionen dauerhaft zu verbessern. Seit 2015 werden sie vom Center for Internet Security (CIS) herausgegeben und regelmäßig aktualisiert, die aktuelle Version 4 ist aus dem Jahr 2019. Neben detailliert beschriebenen Anleitungen sind auch tiefergehende technische Handlungsempfehlungen frei verfügbar. [2]

Top 5 der CIS IT-Security Richtlinien

Beginnen Sie mit der Etablierung folgender Prozesse, um Ihre IT-Systeme auf ein robustes Fundament zu stellen.

  1. Erzeugen und halten Sie ein aktuelles Inventar für verwendete Software und Hardware.
    Nur wenn Sie wissen, welche Systeme und Versionen in Ihrem Unternehmen im Einsatz sind, können Sie schnell auf aktuelle Empfehlungen und Meldungen reagieren. Ein Inventar ist somit die Grundlage für eine erste Lageeinschätzung und ermöglicht eine schnelle Identifikation und Reaktion auf mögliche Bedrohungen.
  2. Bewerten und beheben Sie Schwachstellen kontinuierlich.
    Aufbauend auf dem aktuellen Bestand können die vorhandenen Systeme auf Hinweise zu Problemen und Schwachstellen überprüft werden. Dieser Prozess ist durch dementsprechende Werkzeuge meist automatisationsgestützt, ermöglicht die rasche Erkennung von Schwachstellen und beinhaltet ein umgehendes Einspielen von Updates durch Patchmanagement.
  3. Limitieren Sie die Rechte der Benutzer und arbeiten Sie nie mit Admin-Rechten.
    Ein unüberlegter Klick, eine falsche Website – 100%-ige Sicherheit wird nie erreichbar sein. Umso wichtiger ist es, dass alle Nutzer*innen nur mit den benötigten Rechten arbeiten (Principle of least Privilege). Administrator, Backup- oder auch andere wichtige und mächtige Rollen in IT-Systemen sollten nie für die tägliche Arbeit eingesetzt sein. Somit wird bei möglichen Zwischenfällen eine grobe Schadensbegrenzung erreicht.
  4. Verwenden Sie E-Mail-, Browser- und Malwareschutz auf allen Systemen.
    Die häufigsten Einfallstore für Schadsoftware sind nach wie vor E-Mails und Webbrowser. Stellen Sie sicher, dass nur die vorgegeben aktualisierten Systeme verwendet werden, ausnahmslos ein Schutz gegen Schadsoftware auf allen Systemen vorhanden ist und auch nicht umgangen werden kann.
  5. Führen Sie regelmäßige Backup- und Wiederherstellungstests wichtiger Daten durch.
    Die Frage lautet mittlerweile nichtmehr, ob ein Sicherheitsvorfall auftreten wird, sondern wann es dazu kommen wird. Von wichtigen Systemen und Daten sind daher unbedingt regelmäßige Sicherungen anzulegen. Vergessen Sie dabei nicht, auch Backupdaten im Intervall auf Wiederherstellbarkeit und Integrität zu testen. Schützen Sie Ihr Backupsystem zusätzlich gegen unbefugte Änderungen und Sabotage, z.B. durch Auslagerung von Daten auf nicht online erreichbare Medien.

Diese fünf Punkte, angelehnt an die Top 20 der CIS Richtlinien tragen wesentlich zur Erreichung eines Mindeststandards einer langfristig orientierten IT-Security-Strategie bei. Sie sind jedoch erst der Anfang – die vollständige Liste und weitere Details finden Sie direkt auf der Website des CIS.

Auch lesenswert:

Drei Jahre nach NotPetya: 5 Tipps für Ihr Unternehmen

Daten-Backups im Visier neuer Angriffsstrategien

Sicheres Arbeiten von Zuhause

Quellen:

[1] https://cert.at/de/aktuelles/2021/3/microsoft-exchange-server-von-neuen-und-alten-schwachstellen

[2] https://www.cisecurity.org/controls/cis-controls-list/

Christian Fritz - Loipersdorf 2021
top-3-sicherheitsluecken-in-oesterreich-wie-sicher-sind-ihre-server
Digital Days 21
mshtml-zero-day-exploit

MSHTML Zero-Day-Exploit

fireeye-mandiant
Die Ansicht "Alerts" im Nozomi Networks Dashboard zeigt die Warnung "Threat BlackMatter found".
Kamera
IBM
CIOSUMMIT-WIEN
save remote
Cyber Versicherungen

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download