Was ist der Sicherheitsstatus?

Laut dem IBM Data Breach Kostenreport betragen die durchschnittlichen Kosten einer Datenschutzverletzung weltweit 4,88 Millionen US-Dollar. Ein starker allgemeiner Sicherheitsstatus hilft bei der Abwehr dieser Angriffe, indem er die Fähigkeiten eines Unternehmens verbessert, Bedrohungen zu erkennen, auf sie zu reagieren und sich von ihnen zu erholen.

Um einen starken Sicherheitsstatus zu erreichen, setzen Unternehmen ineinandergreifende, gezielte Sicherheitskontrollen ein, um mehrere Aspekte ihrer IT-Ökosysteme zu schützen, einschließlich Daten-, Cloud- und Identitätssicherheit.

Je effektiver die Kontrollen eines Unternehmens sind, um Bedrohungen zu erkennen, Sicherheitslücken zu schließen, Angriffe zu stoppen und Schäden zu mindern, desto stärker ist sein Sicherheitsstatus.

Der Sicherheitsstatus eines Unternehmens stellt die allgemeine Stärke seiner Cybersicherheit dar. Innerhalb dieser übergreifenden Kategorie verwenden Unternehmen verschiedene Tools und Techniken, um verschiedene Teile ihres IT-Ökosystems zu schützen. Zu den bekanntesten Arten oder Teilbereichen des Sicherheitsstatus gehören:

• Datensicherheitsstatus
• Cloud-Sicherheitsstatus
• Identitätssicherheitsstatus

Beim Datensicherheitsstatus steht der Schutz sensibler Daten im Mittelpunkt, indem unbefugter Zugriff verhindert oder verdächtiges Verhalten erkannt und blockiert wird. Dieses verdächtige Verhalten kann von autorisierten oder nicht autorisierten Benutzern, Programmierschnittstellen (APIs), Geräten für das Internet der Dinge (IoT), Malware, Phishing-Angriffen, Ransomware oder anderen Quellen ausgehen.

Wenn Unternehmen neue Technologien wie cloudnative Entwicklung, künstliche Intelligenz (KI) und maschinelles Lernen (ML) einführen, können sich die Risiken und Schwachstellen in Bezug auf Die Datensicherheit – auch aufgrund von Risiken anderer Anbieter – vervielfachen. Das kontinuierliche Hinzufügen neuer Technologien zu digitalen Systemen kann das Datensicherheitsmanagement erschweren und Unternehmen dem Risiko von Datenschutzverletzungen und Verstößen gegen gesetzliche Vorschriften aussetzen.

Data Security Posture Management (DSPM)-Tools identifizieren sensible Daten in verschiedenen Cloud-Umgebungen und -Diensten, bewerten ihre Anfälligkeit für Sicherheitsbedrohungen und unterstützen bei der Einhaltung von Vorschriften. DSPM bietet Erkenntnisse und Automatisierung, die es Sicherheitsteams ermöglichen, Datensicherheits- und Compliance-Probleme schnell zu beheben und zu verhindern, dass sie erneut auftreten.

Anstatt die Geräte, Systeme und Anwendungen zu sichern, die Daten speichern, verschieben oder verarbeiten, konzentriert sich DSPM oft auf den direkten Schutz der Daten. DSPM ergänzt die anderen Lösungen im Sicherheits-Stack eines Unternehmens, einschließlich Informationssicherheitslösungen (InfoSec).

Dadurch, dass Unternehmen Multicloud- (Services von mehreren Cloud-Service-Providern) und Hybrid Cloud- (eine Kombination aus Public-Cloud- und Private-Cloud-Infrastruktur) Konfigurationen übernehmen, vergrößern sich ihre Angriffsflächen. Der Cloud-Sicherheitsstatus konzentriert sich auf die Verringerung der Angriffsfläche durch den Schutz von Cloud-Umgebungen.

Ohne geeignete Sicherheitsmaßnahmen kann die Cloud-Infrastruktur sehr anfällig für Sicherheitsvorfälle sein. Laut dem Data Breach Kostenreport betreffen 40 % aller Datenschutzverletzungen Daten, die in mehreren Umgebungen verteilt sind, etwa in Private Clouds, Public Clouds und lokal.

Cloud-Anwendungen können Hunderte oder Tausende von Microservices, serverlosen Funktionen, Containern und Kubernetes-Clustern umfassen. Mit jeder neuen Verbindung steigt die Gefahr, Fehlkonfigurationen zu programmieren, zu verbreiten und fortzuführen, die Daten und Anwendungen anfällig für Cyberbedrohungen machen.

Cloud Security Posture Management (CSPM)-Tools können die Identifizierung und Sanierung von Fehlkonfigurationen und Cybersicherheitsrisiken in Hybrid Cloud- und Multicloud-Umgebungen und -Services automatisieren und optimieren – einschließlich Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS).

Beim Identitätssicherheitsstatus liegt der Schwerpunkt auf der Erkennung und Sanierung von Identitätsfehlkonfigurationen und Transparenzlücken. Diese Funktion ist entscheidend für den allgemeinen Sicherheitsstatus eines Unternehmens, zumal die Identität zum neuen Perimeter und wichtigen Pfeiler der Cybersicherheit geworden ist.

Viele herkömmliche Sicherheitsmaßnahmen konzentrieren sich auf die Durchsetzung von Zugriffskontrollen am Netzwerkperimeter. Mit der Einführung von Cloud Computing, Software as a Service (SaaS) und hybriden Arbeitsplätzen ist der Netzwerkperimeter jedoch für die Netzwerksicherheit weniger relevant geworden. In dieser neuen Geschäftswelt sind die vollständige Transparenz und Kontrolle der Aktivitäten sowohl menschlicher als auch maschineller Identitäten der Schlüssel zur Abwehr von Cyberbedrohungen.

Der IBM Threat Intelligence Index Report zeigt, dass Identitätsangriffe, bei denen Bedrohungsakteure gültige Identitäten kapern, um in ein Netzwerk einzudringen, zu den häufigsten Angriffsvektoren geworden sind. Der Bericht stellte fest, dass die Zahl der bei Cyberangriffen verwendeten gültigen Identitäten im Vergleich zum Vorjahr um 71 % zunahm. Und das trotz erheblicher Investitionen in Lösungen für Infrastruktursicherheit, Identitätszugriff und Schwachstellenmanagement.

Heutzutage hacken sich Cyberkriminelle nicht einfach nur ein. Viele melden sich an, indem sie Fehlkonfigurationen und Transparenzlücken ausnutzen. Eine Identitätsfehlkonfiguration tritt auf, wenn die Identitätsinfrastruktur, die Systeme und die Zugriffskontrollen nicht korrekt konfiguriert sind. Transparenzlücken sind Risiken, die von den bestehenden Identitätskontrollen eines Unternehmens übersehen werden können und so unentdeckte Schwachstellen hinterlassen, die Bedrohungsakteure ausnutzen könnten.

Identity und Access Management (IAM)-Tools sowie umfassende Identity Orchestration-Lösungen können Unternehmen dabei helfen, Konten zu schützen und den Missbrauch gültiger Berechtigungen zu verhindern. 

Starke Sicherheitsstatus sind das Ergebnis starker Sicherheitsprogramme. Umfassende Sicherheitsprogramme umfassen in der Regel folgende Komponenten:

• Asset-Bestand
• Governance
• Sicherheitsmaßnahmen
• Notfallpläne
• Training
• Kontinuierliche Verbesserung

Um IT-Systeme und Daten zu schützen, benötigt ein Unternehmen eine vollständige Bestandsaufnahme seiner Assets: was sie sind, wo befinden sie sich, wie anfällig sind sie und wie können die Risiken gemindert werden. Dieser Bestand hilft dabei, die zu verteidigende Angriffsfläche und die Kontrollen zu definieren, die diese Oberfläche benötigt.

Governance bezieht sich auf Frameworks und Prozesse, die Unternehmen dabei helfen, die angemessene Nutzung von IT-Systemen zu gewährleisten und die relevanten Gesetze und Vorschriften einzuhalten.

Bei Governance-Prozessen liegt der Schwerpunkt häufig auf der Kontrolle des Zugriffs auf und der Verwendung von Assets wie personenbezogenen Daten (PII), Finanzdaten, proprietären Systemen oder Geschäftsgeheimnissen. Die Zugriffsebenen werden häufig auf Grundlage der relativen Sensibilität der Daten und des Informationsbedarfs einer Person bestimmt. Benutzer haben in der Regel nur Zugriff auf die Assets, die sie für ihre Arbeit benötigen, und zwar mit der angemessenen Berechtigungsstufe.

Auch müssen Unternehmen an bestimmten Standorten oder in bestimmten Branchen möglicherweise bestimmte regulatorische Frameworks einhalten, wie die Datenschutz-Grundverordnung (DSGVO), den Payment Card Industry Data Security Standard (PCI DSS) oder den California Consumer Privacy Act (CCPA). Verstöße gegen diese regulatorischen Anforderungen können kostspielige Bußgelder und negative Reaktionen der Öffentlichkeit nach sich ziehen.

Die Automatisierung von Governance, Risiko und Compliance (GRC) kann dazu beitragen, laufende Governance-Aufgaben zu stärken und zu beschleunigen. Unternehmen können außerdem spezifische Frameworks für Governance und Risikomanagement einführen, etwa das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF).

Eine umfassende Sicherheitsarchitektur umfasst verschiedene ergänzende Sicherheitstools zum Schutz vor allen Arten von Angriffen, einschließlich Phishing und Social Engineering, Ransomware, Distributed Denial-of-Service-Angriffe und Insider Threats. Zu den gängigen Kontrollen gehören:

• Lösungen für Endpunktsicherheit
• Firewalls
• Systeme zur Erkennung und Verhinderung von Angriffen von außen (IDPS)
• Security Information and Event Management (SIEM)
• Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR)
• Data Loss Prevention (DLP) 
• Identity und Access Management (IAM)-Kontrollen
• Threat-Intelligence-Plattformen

Viele Sicherheitslösungen der Unternehmensklasse bieten einen hohen Grad der Automatisierung und scannen kontinuierlich sensible Daten und Assets, wo auch immer sie sich befinden. Die automatisierte, kontinuierliche Überwachung hilft Unternehmen, in Echtzeit Ressourcen zu verfolgen und Bedrohungen zu erkennen und darauf zu reagieren.

Ein Notfallplan (IRP) definiert die Schritte, die ein Unternehmen unternimmt, um laufenden Angriffen entgegenzuwirken. Diese Pläne beschreiben die Rollen und Verantwortlichkeiten der Mitglieder des Sicherheitsteams, die Tools, die sie verwenden sollten, und die Aufgaben, die sie erledigen müssen, um Bedrohungen zu beseitigen.

Bei der Durchführung eines Notfallplans verlassen sich Sicherheitsteams häufig auf Sicherheitslösungen, die Bewertungen durchführen, Echtzeitberichte liefern und über Dashboards verfügen, mit denen sie potenzielle Risiken nach Schweregrad priorisieren können. Diese Lösungen können auch Schritt-für-Schritt-Anweisungen zur Sanierung oder vorgefertigte Playbooks zur Reaktion auf Vorfälle enthalten, die die Beseitigung von Bedrohungen vereinfachen.

Einige Lösungen können Systemeinstellungen automatisch ändern oder neue Kontrollen und Patches anwenden, um die Cybersicherheit zu stärken und besser vor laufenden Angriffen zu schützen.

Mitarbeiter, Stakeholder und andere Benutzer sind oft das schwächste Glied in der Sicherheitskette. Regelmäßige Schulungen zum Thema Sicherheitsbewusstsein können dazu beitragen, die Abwehrfähigkeit eines Unternehmens gegen Bedrohungen zu stärken, indem alle Benutzer mit Governance-Anforderungen und Best Practices vertraut gemacht werden.

Die Bedrohungslandschaft verändert sich ständig. Um die neuesten Risiken zu erkennen und die Cyber-Resilienz aufrechtzuerhalten, überprüfen Unternehmen regelmäßig die Sicherheitsmetriken, bewerten die Sicherheitsleistung und führen Penetrationsprüfungen sowie vollständige Bewertungen des Sicherheitsstatus durch.

Diese Maßnahmen helfen Unternehmen dabei, Risiken zu erkennen und Möglichkeiten zur Abwehr neuer Angriffe zu entwickeln. Dadurch wird ein kontinuierlicher Verbesserungsprozess ermöglicht, bei dem Unternehmen ihre Sicherheitsprogramme aktualisieren, um besser auf sich entwickelnde Bedrohungen reagieren zu können.

Die ständig wachsende Vielfalt an Angriffen und die ständig wachsenden Angriffsflächen von Unternehmen können die Entwicklung angemessener Sicherheitsstrategien erschweren und den Sicherheitsstatus von Unternehmen beeinträchtigen.

Insbesondere sollten Unternehmen bedenken, wie sich die folgenden Punkte auf den Sicherheitsstatus auswirken können.

• Künstliche intelligenz (KI)
• Herausforderungen im Bereich Identity und Access Management (IAM)
• Schatten-IT

KI kann verwendet werden, um Cyberangriffe zu starten, und die zum Trainieren von KI verwendeten Daten können ein verlockendes Ziel für Sicherheitsverletzungen darstellen.

Zum Beispiel können große Sprachmodelle (LLMs) Angreifern helfen, persönlichere und ausgefeiltere Phishing-Angriffe zu entwickeln. Da es sich bei KI-Modellen um eine relativ neue Technologie handelt, bieten sie Bedrohungsakteuren auch neue Möglichkeiten für Cyberangriffe, wie etwa Angriffe auf die Lieferkette und Adversarial Attacks.

Die Antwort könnte eher mehr KI als weniger sein. Laut dem Data Breach Kostenreport können Unternehmen, die KI im Sicherheitsbereich und Automatisierung in ihren Security Operations Centern bereitstellen, die Systemsicherheit erhöhen und Kosten sparen.

Bei einem umfassenden Einsatz dieser Maßnahmen in allen Präventionsworkflows – Attack Surface Management (ASM), Red-Teaming und Posture Management – fielen in Unternehmen die durch Datenschutzverletzungen entstandenen Kosten im Durchschnitt um 2,2 Millionen US-Dollar geringer aus als in Unternehmen, die in ihren Präventionsworkflows keine KI nutzten. Dies ist die größte Kosteneinsparung, die im Bericht festgestellt wurde.

Identität ist heute eine wichtige Säule der Cybersicherheit. Die Komplexität der Verwaltung von Identitäten und Zugriffsberechtigungen verschiedener Benutzer in verteilten Belegschaft in hybriden und Multicloud-Umgebungen kann jedoch eine Quelle für erhebliche Sicherheitsrisiken darstellen.

• Fehlkonfigurationen: Wenn IAM-Kontrollen nicht richtig konfiguriert sind, können sie von einfallsreichen Admins oder Bedrohungsakteuren umgangen werden, was den Schutz, den sie bieten, erheblich verringert.
  
  
• Vergessene Service-Konten: Ein Service-Konto dient dazu, Aktionen wie die Ausführung von Anwendungen, die Automatisierung von Diensten und autorisierte API-Aufrufe durchzuführen. Daher verfügen diese Konten in der Regel über erhöhte Systemberechtigungen. Wenn inaktive Service-Konten nicht ordnungsgemäß stillgelegt werden, können Angreifer sie verwenden, um unbefugten Zugriff zu erhalten.
  
  
• Unangemessene Berechtigungen: Übermäßige Berechtigungen gewähren Benutzern mehr Datenzugriff oder Berechtigungen, als sie für ihre Arbeit benötigen. Diese erhöhten Berechtigungen können leicht missbraucht werden. Umgekehrt kann es passieren, dass Unternehmen, in dem Bemühen, sensible Daten zu schützen, Benutzern übermäßig restriktive Berechtigungen erteilen, was sie daran hindern kann, ihre Arbeit effektiv zu erledigen.
  
  
• Passworthygiene: Unternehmen, die schwache oder gängige Passwörter zulassen, machen es Hackern leicht, durch einfaches Erraten oder Brute-Force-Angriffe in Konten einzudringen.

Der Begriff Schatten-IT bezieht sich auf IT-Assets – wie Apps, Geräte und Daten –, die in einem Unternehmensnetzwerk ohne Genehmigung, Wissen oder Aufsicht der IT-Abteilung verwendet werden. Da diese IT-Ressourcen nicht verwaltet werden, ist es wahrscheinlicher, dass sie ungeschützte Schwachstellen enthalten, die von Hackern ausgenutzt werden können.

Schatten-IT gibt es unter anderem in folgenden Formen:

• Schattenzugriff: Ein Schattenzugriff liegt vor, wenn ein Benutzer aus praktischen Gründen oder zur Beschleunigung der Fehlerbehebung über ein lokales Konto nicht verwalteten Zugriff auf eine Anwendung oder einen Dienst behält.

• Schatten-Assets: Schatten-Assets sind Anwendungen, Geräte oder Dienste, die den IT-Teams und -Systemen unbekannt sind. Das macht die Durchsetzung von Sicherheitsmaßnahmen wie Zugriffskontrollen, Benutzerauthentifizierung und Compliance-Prüfungen schwieriger.
  
  
• Schattendaten: Schattendaten umfassen Datensätze und Datenspeicher, die nicht von IT- und Sicherheitsteams verwaltet werden. Wenn Unternehmen den Datenzugriff auf mehr Benutzer ausweiten, die weniger über angemessene Datensicherheit und -verwaltung wissen, steigt das Risiko von Schattendaten. Mit dem Aufkommen von Cloud-Systemen wird es für Benutzer außerdem einfacher, sensible Daten in nicht autorisierte, persönliche Datenspeicher zu übertragen.