Cyber Security im Brennpunkt

Sicherheit ist wichtig. In der Legal Branche ist Vertraulichkeit Berufsethos. Aber die wenigsten sind sich im Klaren was IT-Sicherheit ganzheitlich bedeutet. In seinem Artikel gibt Gunther Bergauer, Senior IT Security Consultant bei World-Direct, einen Einblick in wesentliche Aspekte und erklärt, warum das Sicherheitsbewusstsein der Mitarbeiter*innen besonders wichtig ist.

Vertraulichkeit ist für Rechtsanwälte ein wichtiger Teil ihres Berufsethos. Durch die fortschreitende Digitalisierung rückt dabei IT-Sicherheit immer stärker in den Brennpunkt. Aber was bedeutet IT-Sicherheit aus der Sicht von Rechtsanwält*innen? Dieser Artikel zeigt die wesentlichen Aspekte auf:

Aktuelle Situation, Bedrohungen und Tendenzen

Berichte über Daten-Leaks, Verschlüsselungstrojaner und Softwarelücken sind omnipräsent. Frei zugängliche Patient*innenakten im Internet, käufliche Daten von Dating-Plattformen oder Gewinnspielen, unbemerkte Hacking-Angriffe auf Behörden und Konzerne oder groß angelegter Diebstahl von Kreditkartendaten sind massive Probleme, die nicht nur „die anderen“ haben. Es kann auch sehr schnell das eigene Unternehmen treffen!

2020 sind die angezeigten Cybercrime Fälle in Österreich laut Polizeilicher Kriminalstatistik (PKS) um 25% gestiegen. In der vom KPMG 2020 durchgeführte Studie „Cyber Security 2020“ geben 57% der befragten Unternehmen an, im Zeitraum von einem Jahr Opfer von Cyber-Attacken geworden zu sein. Aus Angst, das eigene Ansehen zu verlieren, publizieren Unternehmen diese Angriffe oft nicht. Der „Global Threat Report 2021 (GTR)“ von Crowd Strike zeigt auf, dass die Gefahr vor allem im Bereich der Lieferketten zunimmt und das schwächste Glied zumeist zum Einfallstor für Cyber-Attacken wird. Die Auswahl und Überwachung von Lieferanten wird zunehmend zu einem Sicherheits-Thema, besonders wenn ein Unternehmen in seiner Digalisierungsstrategie auf Cloud-Dienstleister setzt.

Wie kann ich mich und meine Unternehmen vor Angriffen schützen? Folgende drei Punkte sind dabei wesentlich:

  • Ebenen der IT-Sicherheit (er)kennen
  • Sicherheitsbewusstsein schaffen
  • Passende Tools einsetzen
Strukturelle Sicherheitsebenen kennen

IT-Sicherheit erstreckt sich über mehrere Ebenen. Sie beginnt beim physischen Speicherort der Daten, geht über die Hardware, Plattform Betriebsservices, Applikationen und endet bei den Anwender*innen und Administrator*innen, also beim Menschen. Auf jeder Ebene müssen technische und/oder organisatorische Maßnahmen gesetzt werden – mit der zentralen Frage: wer ist technisch und rechtlich tatsächlich für die Sicherheit auf den einzelnen Ebenen zuständig?

Folgende Tabelle veranschaulicht die unterschiedlichen Zuständigkeiten für Sicherheit der Daten und Schutz gegen Missbrauch in verschiedenen Arten von Service-Angeboten.

Erklärung zu den Ebenen der Sicherheitsbetrachtung:

  • Daten Eigentum (wem gehören die Daten und wer muss sie schützen)
  • Endpunkt Sicherheit (Notebooks, Mobiltelefone, Server und periphere Geräte wie z.B. Drucker)
  • Zugriffsmanagement (Sichere Authentifizierung von Benutzern und ein granulares Berechtigungskonzept für den Zugriff auf einzelne Daten)
  • Ausführungskontrolle über Applikationen (welche Programme und Scripts dürfen von wem und wo ausgeführt werden)
  • Netzwerk Sicherheit (Transport- und Datenverschlüsselung, sichere Protokolle und andere Mechanismen zur sicheren Kommunikation)
  • Host Infrastruktur Sicherheit (Datenverarbeitung und Speicherung auf Servern, Storage und Netzwerkkomponenten, sowie Virtualisierung- und Containerplattformen)
  • Physische Sicherheit (Zutrittskontrollen, Videoüberwachung, Vereinzelungsanlagen, biometrische Authentifizierungs-Methoden )

Als Beispiel dienen Microsoft Office 365, Teams mit SharePoint, Exchange Online und OneDrive. „Software as a Service“ (SaaS) als Rundum-Sorglos-Produkt. Die Tabelle zeigt die Zuständigkeit der Kund*innen im Bereich Dateneigentum, aber auch Endpunkt Sicherheit und Zugriffsmanagement. Microsoft bietet den Kund*innen hier nützliche Zusatz-Dienste an, wie z.B. Intune, Azure RMS, Dual Key, ByoK und MFA. Diese müssen aber bezahlt, aktiviert und konfiguriert werden – das ist teuer und erfordert Spezialwissen. Dateneigentum umfasst auch die Notwendigkeit von Backups. Diese Funktion bietet Microsoft nicht in ausreichender Form und muss über Drittanbieter realisiert werden.

Sicherheitsbewusstsein schaffen

In der Praxis sind Sicherheitsverantwortungen in Unternehmen oft unklar und verworren. Dienste von verschiedenen Anbieter*innen müssen rechtlich und operativ auf ihre Einsatzfähigkeit geprüft werden.

Eine zielführende Strategie sind Daten- und Serviceverzeichnisse, die aufzeigen, welche Daten wo verarbeitet und gespeichert werden. Schutzmechanismen müssen auf den einzelnen Ebenen festgelegt werden, Daten in Sicherheitsstufen klassifiziert werden (z.B. öffentlich, intern, vertraulich) und das Risiko eines Datenverlustes oder einer Veröffentlichung qualitativ und quantitativ bewertet werden (siehe z.B. ISO 27001).

Alle relevanten Prozesse werden in einer „Informationssicherheitsrichtlinie“ zusammengefasst und den Mitarbeiter*innen verbindlich zur Kenntnis gebracht. Bewährt haben sich hier GDPR- und Security-Awareness-Schulungen, um den Mitarbeiter*innen mindestens einmal pro Jahr den korrekten Umgang mit Unternehmensdaten und Diensten zu kommunizieren.

Idealerweise organisiert man die Schulungsdurchführung intern und lässt die Verantwortung rotieren, damit sich die Mitarbeiter*innen besser mit dem Thema Security identifizieren.

Was tun, wenn etwas passiert? Mit dem Management festgelegte Vorgehenspläne (SIRP) helfen dabei, richtig zu reagieren. SIRP sind auf Sicherheitsvorfälle zugeschnittene Notfallpläne (siehe z.B. BSI-100) und enthalten konkrete Handlungs- und Kommunikationsanweisungen zu festgelegten Sicherheitsereignissen (z.B. Befall durch Verschlüsselungstrojaner). Um sicherzustellen, dass diese Notfallpläne funktionieren werden sie regelmäßig geübt und angepasst.

Richtige Tools verwenden

Um IT-Sicherheit zu schaffen werden Tools und Dienste benötigt. Es gibt selten Universallösungen und jedes Szenario verlangt nach den passenden Sicherheitsmaßnahmen (z.B. kann nicht immer Open-Source-Software verwendet werden). Die wichtigste Grundvoraussetzung ist zu wissen, welche Tools existieren und auch sinnvoll sind. Mit Sicherheitsaspekten gehen meist auch Einschränkungen des Arbeitsalltags einher und müssen dementsprechend bewertet werden. Damit die Tools nicht selbst zum Einfallstor für Cyber-Attacken werden, anstatt zu schützen, müssen diese auch regelmäßig gewartet und auf dem neuesten Stand gehalten werden.  

Übersicht ausgewählter Sicherheitstool Kategorien nach Wichtigkeit gereiht:

Fazit

Cyber-Kriminalität ist eine reale finanzielle Bedrohung und kann das Ansehen eines Unternehmens nachhaltig schädigen. IT-Sicherheit ist aber komplex und beratungsintensiv.  Im Unternehmen müssen das Bewusstsein für Sicherheit geschärft, die Verantwortung für die einzelnen Sicherheitsebenen vergeben und technische Rahmenbedingungen in Form von Tools geschaffen werden. Dazu ist sehr viel Know-how notwendig, das nur selten innerhalb des Unternehmens verfügbar ist. Meine klare Empfehlung: beschäftigen Sie sich vorausschauend mit dem Thema IT Security bevor Sie durch eine Cyber-Attacke dazu gezwungen werden.