Mit „Security by Design“ Risiken und Aufwand reduzieren

Schaffen Unternehmen neue IT-Lösungen an oder entwickeln sie selbst, stehen häufig funktionale Aspekte im Vordergrund. Die Anwendungen und Systeme müssen bestimmte Funktionen mitbringen, damit sie den vorgesehenen Einsatzzweck erfüllen, und werden dementsprechend ausgewählt beziehungsweise konzipiert. Um die Absicherung kümmert man sich erst zum Ende des Einführungsprozesses oder verlässt sich darauf, dass die bestehende Security-Infrastruktur auch die neuen Lösungen schützt. Schwachstellen fallen dann erst im laufenden Betrieb auf und gefährden das Unternehmen unter Umständen über Wochen und Monate.

Dazu kommt, dass es unglaublich aufwendig ist, bestehende Anwendungen und Systeme nachträglich abzusichern – sei es, weil Schnittstellen fehlen, die Sicherheitsfunktionen nicht zu den ursprünglich geplanten Abläufen passen oder zusätzliche Security-Lösungen benötigt werden. Letztlich müssen Techniker viele Dinge anpassen oder nachrüsten, was dauert und umfangreiche Ressourcen verschlingt. Einfacher, schneller und kostengünstiger lassen sich Anwendungen und Systeme in der Regel schützen, wenn man IT-Sicherheit bereits in der Planungsphase berücksichtigt und so früh wie möglich integriert. Dieser Ansatz, Security nicht als separates Projekt, sondern als festen Bestandteil eines Produkts zu betrachten, wird „Security by Design“ genannt.

Wer IT-Sicherheit möglichst früh berücksichtigen will, muss vor der Konzeption einer Lösung eine Bedrohungsanalyse durchführen. Hier gilt es, mögliche Angriffsszenarien zu identifizieren und anschließend zu bewerten, wie wahrscheinlich, aufwendig und folgenreich diese sind. Darauf basierend werden dann Prioritäten gesetzt und Design-Entscheidungen getroffen, die den Schutz der Anwendung oder des Systems ermöglichen. Best Practices und Empfehlungen von Organisationen wie dem Bundesverband IT-Sicherheit (Teletrust) helfen dabei. Darüber hinaus kann es sinnvoll sein, einen erfahrenen IT-Dienstleister hinzuzuziehen, der weiß, wie sich Sicherheitsanforderungen bestmöglich umsetzen und typische Fehler vermeiden lassen.

Grundsätzlich müssen Unternehmen etwa den Zugang zu ihren Anwendungen und Systemen schützen, dürfen also nur authentifizierten Benutzern den Zugriff gewähren. Sie sollten daher vorab klären, wer Zugriff erhalten soll und welche Tätigkeiten durchführen darf – schließlich sollen nicht alle Benutzer mit denselben Berechtigungen arbeiten. Besser ist es, ihnen nur die Rechte zuzuweisen, die sie für ihre jeweiligen Aufgaben tatsächlich benötigen. Dieses Least-Privilege-Prinzip minimiert Risiken und verhindert beispielsweise, dass Cyberkriminelle mit erbeuteten Zugangsdaten großen Schaden anrichten können.

Bei kritischen Anwendungen und Systemen oder solchen, die aus dem Internet zugänglich sind, sollten Unternehmen zudem den Zugang besonders schützen und auf den Einsatz einer Multifaktor-Authentifizierung achten. Ebenso sollten sie berücksichtigen, dass nicht nur menschliche Benutzer mit den Lösungen arbeiten, sondern Anwendungen und Systeme auch untereinander kommunizieren – und damit ins Benutzer- und Berechtigungsmanagement integriert werden müssen. Denn im Code oder in Konfigurationsdateien hinterlegte Zugangsdaten stellen ein erhebliches Sicherheitsrisiko dar.

Weitere Design-Entscheidungen betreffen das Netzwerk, in dem die neuen Lösungen zum Einsatz kommen sollen. Zonenkonzepte helfen, die verschiedenen Anwendungen und Systeme voneinander zu trennen und, je nach Sicherheitsanforderungen, in unterschiedlich geschützten Bereichen zu platzieren. Auf diese Weise lässt sich beispielsweise die Videoüberwachung aus dem Produktivnetz herauslösen und gut vom Internet abschotten.

Ein smarter Ansatz, Netzwerk und Netzwerk-Security zu verbinden, sind SASE-Architekturen. SASE steht für Secure Access Service Edge und umfasst neben optimaler Konnektivität auch umfangreiche Sicherheitsfunktionen, sowie Bedrohungserkennung – alles gesteuert über einheitliche Richtlinien und verwaltet über ein zentrales cloudbasiertes Management. Ein wichtiger Bestandteil von SASE sind Zero Trust Access Networks (ZTNA), mit denen sich der Zugriff auf Unternehmensressourcen sehr granular regeln lässt, unabhängig davon, ob diese sich wie Microsoft 365 in der Cloud oder wie die Videoüberwachung im lokalen Netzwerk befinden. Dabei wird auch der Kontext von Zugriffen berücksichtigt: Meldet sich etwa ein deutscher Anwender nachts von einer chinesischen IP-Adresse aus an, ist das höchst verdächtig – in diesem Fall kann ein weiterer Authentifizierungsfaktor abgefragt oder der Zugriff blockiert werden.

Zu Security by Design zählt auch die verschlüsselte Übertragung und Speicherung von Daten. Allerdings sollten sich Unternehmen vorab Gedanken darüber machen, welche Daten sie für den vorgesehenen Einsatzzweck überhaupt erfassen und speichern müssen. Der gern gewählte Ansatz, möglichst viele Daten anzusammeln, ist nur selten sinnvoll, weil durch die großen Datenmengen nicht nur Kosten, sondern auch Risiken entstehen. Daten, die man gar nicht erst erfasst, lassen sich hingegen nicht missbrauchen oder entwenden.

Datensparsamkeit reduziert somit die Angriffsfläche von Unternehmen und ist überdies eine wichtige Anforderung der Datenschutzgrundverordnung (DSGVO) beim Erfassen personenbezogener Daten. Beispiel Überwachungskamera: Die Besucherzählung kann eine Kamera autonom erledigen, ohne dass der Videostream dauerhaft abgespeichert werden muss. Bei der Zufahrtskontrolle wiederrum reicht ein Bild des Kennzeichens – ein Video des Wagens mitsamt seinen Insassen wird nicht gebraucht.

Häufig vernachlässigen Unternehmen, dass ursprünglich sichere IT-Lösungen nicht ewig sicher bleiben und kontinuierlicher Pflege bedürfen. Das führt dann dazu, dass sie veraltete Anwendungen und Systeme einsetzen, die zum Teil schwerwiegende Schwachstellen aufweisen – sei es, weil die verfügbaren Updates und Patches nicht eingespielt wurden oder weil der Hersteller der Lösung den Support bereits eingestellt hat. In beiden Fällen ist das Risiko enorm, da Schadprogramme gezielt Schwachstellen ausnutzen, um Systeme zu kompromittieren.

Abhilfe schafft ein durchdachtes Lifecycle Management, das Sicherheitstests bereits in den Entwicklungs- und Implementierungsprozess integriert, damit mögliche Lecks vor Beginn des Produktivbetriebs auffallen und beseitigt werden können. Und das über den gesamten Lebenszyklus hinweg Sicherheitstests und Sicherheitsaktualisierungen vorsieht und verhindert, dass IT-Lösungen über ihr Lebensende hinaus genutzt werden.

Bei zugekauften Lösungen können Unternehmen meist Wartungsverträge abschließen, um eine langfristige Versorgung mit Updates sicherzustellen. Vor dem Kauf sollten sie die Lösungen aber intensiv evaluieren, damit diese alle Sicherheitsanforderungen erfüllen. Denn selbst der Einsatz von Standardprodukten wie Überwachungskameras ist immer individuell und erfordert genau auf das Unternehmen zugeschnittene Security-Konzepte – die sich nun mal am besten in der Planungsphase der Gesamtlösung entwickeln lassen, sodass die Überwachungsinfrastruktur mit sämtlichen Kameras, Videorekordern und Netzwerkkomponenten schon „by Design“ sicher ist.

Sebastian Ganschow, Director Cybersecurity Solutions bei NTT Ltd. in Deutschland.