Schutz vor Cyber Crime

Gut gewappnet gegen Cyber Crime: das Security Architecture Framework

Die globale Cyber-Kriminalität hat in den letzten Jahren durch die Digitalisierung der Gesellschaft und die Professionalisierung von Cyberkriminellen dramatisch zugenommen. Heute wird nicht mehr diskutiert, ob, sondern dass die Unternehmen angegriffen werden. Dies ist auch ein Fazit des BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Bericht zur Lage der IT-Sicherheit von Oktober 2020:

„Von Cyber-Angriffen betroffen sind Unternehmen und Institutionen aller Größen und Branchen. So wurden Automobilhersteller und ihre Zulieferer angegriffen, ebenso wie Flughäfen und Fluggesellschaften. Auch kleine und mittelständische Unternehmen, die sich durch Alleinstellungsmerkmale wie zum Beispiel die Produktion spezieller Komponenten im Maschinenbau auszeichnen, wurden Opfer von Cyber-Angriffen. Ebenso waren kommunale Verwaltungen, Krankenhäuser und Hochschulen von Ransomware-Angriffen betroffen.“

Quelle: BSI

Das Ziel ist, Angriffe schnell zu erkennen und darauf zu reagieren. Es gilt, neue und neu auftretende Bedrohungen zu identifizieren und die Möglichkeit zu schaffen, die Verteidigung proaktiv an diese Angriffe anzupassen. Unser Kunde, eine der fünf größten Wirtschaftsprüfungsgesellschaften in Deutschland, ist sich dieser Gefahren bewusst und hat als eine der ersten ihrer Branche die Erstellung eines Security Architecture Frameworks über die direkt gruppe beauftragt. In diesem Artikel beschreiben wir die Bestandteile des Security Architecture Frameworks, den Weg dorthin sowie die Hürden und Höhepunkte des Projekts – auch in Bezug auf die Auswirkungen der Corona Pandemie.

Technology Security People

Security Awareness bei den Mitarbeitenden ist genauso wichtig wie die Technologie.

Was ist eine Sicherheitsarchitektur?

Die Sicherheitsarchitektur (Security Architecture) in der Informationsverarbeitung beschreibt die Sicherheitskonzepte zur Umsetzung der IT-Sicherheitsstrategie (IT Security Strategy).
Die IT-Sicherheitsstrategie definiert die Richtlinien zur Planung, Gewährleistung und ständigen Aufrechterhaltung der IT-Sicherheit. Unter der Sicherheitsarchitektur eines Unternehmens ist die Gesamtheit aller in den verschiedenen Unternehmensbereichen realisierten Sicherheitskonzepte und der daraus abgeleiteten Sicherheitsmaßnahmen zu verstehen (Information Security).

 

Schematische Darstellung Security ADarstellung Security Architecture Framework

Security Architecture Framework

 

Ein Sicherheitskonzept besteht aus einer Reihe von aufeinander abgestimmten Sicherheitsmaßnahmen, die erst in ihrer Kombination die gewünschte Schutzwirkung ergeben. Die notwendige Schutzwirkung ist auf der Grundlage einer systematischen Risikoanalyse und anhand von Schutzzielen zu definieren (Risiko-Management).

Projektablauf: Sicherheitsarchitektur beim Unternehmen

Zuerst wurde ein Kick-off-Workshop durchgeführt. Er diente der Abstimmung der Projektinhalte und -Ziele zur Erstellung einer Sicherheitsarchitektur (Framework) sowie der Aufnahme aller notwendigen Rahmenbedingungen. Dabei wurden gemeinsam die wesentlichen Einflussfaktoren wie zum Beispiel wichtige Stakeholder, laufende Projekte und Regularien identifiziert sowie notwendige Vorarbeiten durchgeführt. Außerdem wurden Termine für Workshops und Interviews festgelegt.

Die Definition einer Sicherheitsarchitektur folgt einem Top-down-Ansatz. Dazu haben wir mit der Betrachtung der Unternehmensziele und -strategie unseres Kunden begonnen. Darauf folgte die Identifizierung aller Risiken (IT-Sicherheits-Risiken), die das Unternehmen daran hindern könnten, die Ziele zu erreichen. Der nächste Schritt bestand darin, die erforderlichen Kontrollen zu ermitteln, um das Risiko zu steuern. Im Anschluss wurden die zu erfüllenden Anforderungen aufgenommen. Die Reifegrade der ITIL-Prozesse, des laufenden ISMS-Projekts und des Business Continuity Managements mussten Berücksichtigung finden. Die Anforderungen seitens der Konzernmutter und der Cloud-Strategie waren mit einzubeziehen, genau wie die Anwendungsentwicklung im Off-Shoring-Modell und bei den Tochtergesellschaften. Ebenso musste die aktuelle wie auch die zukünftige IT-Infrastruktur betrachtet werden.

Auf der Erfahrungsbasis unserer Experten Michelle Stehle (Expert Security Consultant, direkt gruppe) und Thomas Ullrich (Management & Security Consultant, Viziv) wurden zur Definition der Sicherheitsarchitektur die Standards der ISO/IEC 27001 und des NIST verwendet. Die Sicherheitsarchitektur sollte auf die Geschäftsanforderungen der Gesellschaft abgestimmt sein und alle Kriterien der Stakeholder erfüllen.


Eine fortwährende Überwachung der IT-Architektur minimiert das Risiko von unerkannten Sicherheitslücken und kann zugleich verborgene Potenziale aufdecken. Erfahren Sie mehr dazu in der Aufzeichnung unseres Webinars

expertHUB online: AWS Well-Architected Review – In der Cloud den Durchblick behalten
vom 24.11.2020 jetzt in unserer Mediathek!


Konkretes Projektergebnis

Das Ergebnis des Security Architecture Frameworks führte im Wesentlichen zu wichtigen Vorschlägen für die nächsten Umsetzungsschritte.

Die Top-5-Handlungsempfehlungen waren:

1. Awareness-Maßnahmen starten (Protect)

2. Security-Kernprozesse implementieren und weiterentwickeln (Detect, Respond)

3. Technologie-Lösungen (Detect, Protect, Respond)

4. Operations-Prozesse implementieren und weiterentwickeln

5. Cloud Security

Des Weiteren fand eine Priorisierung der Outcomes für eine informationssicherheitskonforme Infrastruktur statt.
Eingangs wurde der Geltungsbereich des Konzepts der Sicherheitsarchitektur festgestellt. Der Geltungsbereich der IT-Sicherheitsarchitektur erstreckt sich auf die gesamte Infrastruktur sowie alle Geschäftsprozesse der Holding und deren Tochtergesellschaften. Eine Ist-Analyse/Standortbestimmung half dabei, die Anforderungen in Bezug auf die Sicherheitsarchitektur und den aktuellen Reifegrad der hierfür relevanten Prozesse zu bestimmen. Auf Basis der ermittelten Ergebnisse wurden die Empfehlungen für die konforme Implementierung der Sicherheitsarchitektur ausgesprochen. Zur Erreichung der vorab definierten Ziele ist es notwendig, technische und organisatorische Maßnahmen zu planen, zu implementieren und deren Wirksamkeit in einem kontinuierlichen Prozess zu überprüfen.

Herausforderungen, Ausblick und Fazit

Der Projektstart im März 2020 fiel genau in die Zeit der in Deutschland eingeführten Maßnahmen zur Eingrenzung der Corona-Pandemie. Die Projektplanung hatte den Kick-off-Termin und die Workshops als Vor-Ort-Termine am Hamburger Firmensitz vorgesehen. Kurzerhand wurde der Kick-off remote durchgeführt. Auch die gesamte nachfolgende Projektdurchführung inklusive Workshops und Interviews fand ausschließlich virtuell statt. Alle Termine und Abstimmungen mit dem Kunden wurden ohne Projektverzug durchgeführt und führten schließlich zu einem erfolgreichen Abschlussgespräch.
Durch die strategische Planung des Unternehmens lag ein wesentlicher Fokus auf der Cloud. Dies begünstigte das Fortlaufen des Projekts trotz der widrigen Umstände.
Wirtschaftsprüfungen unterliegen besonderen Regularien im Rahmen ihrer sensiblen Tätigkeiten und haben somit auch strenge Compliance-Anforderungen zu erfüllen. Die Definition eines Security Architecture Frameworks ist im Hinblick auf die strategische infrastrukturelle Ausrichtung zur Cloud wesentlicher Erfolgsfaktor und ein Weg zu einer konformen Informationssicherheitskultur.

Die 5 Handlungsempfehlungen im Detail

  1. Awareness-Maßnahmen starten (Protect)
  • Definition und Implementierung einer Awareness-Strategie, von Schulungsplänen, Schulungsmaßnahmen zur Verbesserung des Sicherheitsbewusstseins, Verhalten und Kultur.
  1. Security-Kernprozesse implementieren und weiterentwickeln (Detect, Respond)
  • Fehlende Prozesse definieren, dokumentieren und implementieren
      • Cloud Security Management Prozess, Security Information Event Management, Security Patch Management, Threat Management, Privileged User Access Management, Security Incident & Crisis Management
  • Vorhandene Prozesse verbessern, fehlende bzw. veraltete Dokumentation aktualisieren, Messbarkeit herstellen
      • Data Management Prozess, IAM, BCM, Cryptography/Certification Management, Vulnerability Management
  1. Technologie Lösungen (Detect, Protect, Respond)
  • Eine PUAM (Privileged User Access Management) Lösung zu implementieren hilft der Gesellschaft, den notwendigen Schutzbedarf zu erfüllen, die privilegierten Rechte zu steuern – insbesondere auch vor dem Hintergrund der Zusammenarbeit mit externen Dienstleistern – und die Anzahl der privilegierten Anwender so gering wie möglich zu halten. So werden potenzielle Bedrohungen reduziert.
  • Im Rahmen der Endpoint Security ist eine DLP (Data Leakage Prevention) Lösung für den Kunden zu empfehlen, um ungewollten Datenabfluss und Missbrauch zu verhindern, als auch zu erkennen.
  • Detection Lösung implementieren 
      • Kurzfristig empfiehlt es sich, eine KI-basierte IDS/IPS Lösung zu implementieren, die kurzfristig mit geringem Aufwand die IT-Sicherheit und die Erfüllung des Schutzbedarfes des Unternehmens deutlich verbessert.
      • Mittelfristig ein SIEM (ergänzt um eine EDR (Endpoint Detection Response Lösung), das in Kombination mit einem KI-basierten IDS/IPS die Basis als ganzheitliche Sicherheitslösung bildet, um den Anforderungen der Firma an die heutige und zukünftige Bedrohungslage gerecht zu werden.
  1. Operations Prozesse implementieren und weiterentwickeln
  • Fehlende Prozesse definieren, dokumentieren und implementieren; vorhandene Prozesse verbessern
      • Patch Management, Change Management, Asset Management, Log Management
  1. Cloud Security
  • Cloud Security & Compliance muss konkret betrachtet werden, da das Thema Cloud bei der zukünftigen Ausrichtung der IT des Kunden eine zukunftsweisende Rolle spielt.
  • Durch die Cloud Strategie sind wesentliche Bereiche wie Infrastruktur (Datacenter, Betriebsmodell), Anwendungsentwicklung (DevOps/DevSecOps), Governance & Prozesse betroffen. Es gibt viele einzelne Aktivitäten, jedoch fehlt eine ganzheitliche Sicht und Abstimmung der Aktivitäten aufeinander. Daher wird empfohlen, eine End-to-end-Sicht für den Weg in die Cloud herzustellen, die alle betroffenen Bereiche umfasst.

Nehmen Sie Kontakt auf, für ein unverbindliches Gespräch mit unseren Security-Experten!


Diesen Artikel teilen: