Ich komme aus dem Bereich und ich interessiere mich für

Stay Viable. Stay Secure.

Minimum Viable Organization Protected

Wer einen gut durchdachten Notfallplan in petto hat, agiert in Krisensituationen souveräner zur richtigen Zeit mit den richtigen Maßnahmen. Welche IT-Infrastrukturen und Geschäftsprozesse sind besonders schutzbedürftig – mit welchen Ressourceneinsatz? Nach diesen und weiteren Kriterien sollte eine Notfallplanung aufgesetzt und regelmäßig auf Aktualität überprüft werden.

Steffen Ullrich, Software-Ingenieur Forschung, Produkte und Strategie

MVO Protected

Zahlreiche Unternehmen und Behörden mussten in den vergangenen Wochen ihre Produktions-, Logistik- und Verwaltungsabläufen reaktionsschnell auf Fernzugriff und Fernsteuerung umstellen. Für die IT-Security ist das in mehrfacher Hinsicht eine Bewährungsprobe:

Es gilt, für die Funktionsfähigkeit von Kernprozessen zu sorgen und zugleich hohe IT-Sicherheit unter veränderten Bedingungen aufrecht zu erhalten. genua hilft dabei, die notwendigen Regeln und Tools schnell einzuführen und die Minimum Viable Organization (MVO) wirksam abzusichern. Wir erläutern vier erfolgskritische Ansatzpunkte.


Besonderheiten kritischer Infrastrukturen beachten

Die Kernfunktionen, die im Falle eines Shutdowns unbedingt aufrechtzuerhalten sind, müssen für jede Organisation individuell bestimmt werden. Dabei kann es sich beispielsweise um kritische industrielle Produktionsprozesse handeln, um die Patientenversorgung im Gesundheitswesen oder logistische Netzwerke bei Versorgern und Behörden. Auch aus der IT-Perspektive liegt der Fokus dabei auf Diensten, die weiterhin zwingend gebraucht werden – oder einer höheren Beanspruchung ausgesetzt sind als im Normalbetrieb. Dazu zählen alle notwendigen Strukturen zur …

  • Aufrechterhaltung des Betriebs und Erfüllung der damit einhergehenden gesetzlichen Vorgaben;
  • Gewährleistung finanzieller Transaktionen wie Gehalts- und Steuerzahlungen;
  • Erhaltung der Kommunikationsfähigkeit zu allen relevanten Zielgruppen;
  • Sicherstellung einer unterbrechungsfreien Wartung kritischer Systeme und Anlagen.

Die Voraussetzung für eine sichere Umstellung auf einen Notbetrieb ist ein Notfallplan, der in eine robuste Risikomanagement-Strategie eingebunden ist. Dieser Notfallplan muss sowohl die kritischen Prozesse als auch die notwendigen personellen und technischen Ressourcen und Abläufe definieren.

Besonderheiten kritischer Infrastrukturen beachten

Für kritische Infrastrukturen ist die Möglichkeit des Remote-Managements stark reglementiert oder sogar ausgeschlossen. Selbst wenn die Fernwartung prinzipiell möglich ist, erfordert sie einen Zugriff aus einer gesicherten Umgebung. Bei einem massiven und andauernden Shutdown, der eine weitreichende Umstellung auf Heimarbeit erfordert, kann dies nicht mehr vorausgesetzt werden. Eine Absicherung über die bisherigen Maßnahmen ist somit nicht mehr durchführbar.

In der Folge entstehen häufig improvisierte Lösungen, bei denen Verfügbarkeit, Vertraulichkeit und Integrität nicht optimal ausgewogen und gewährleistet werden können. So müssen Mitarbeiter im Home Office an organisationsinternen Daten arbeiten oder mit Kollegen, Kunden und Partnern kommunizieren. Auch die Wartung von Maschinen und Systemen findet verstärkt remote statt. Eine Trennung zwischen privaten und besonders abgesicherten Unternehmensnetzwerken ist dabei nicht immer gegeben, so dass kompromittierte und schlecht geschützte private Systeme mit sensitiven Netzen verbunden werden.

Gleichzeitig bildet eine Ausnahmesituation den optimalen Nährboden für Prozessbrüche. Gerade dort, wo die Mitarbeiter eine hohe Verantwortung für kritische Themen tragen – etwa in der Versorgung oder im Gesundheitsbereich – steigen psychische Belastung und Stress. Das führt unter Umständen dazu, dass Handlungsanweisungen und Sicherheitsrichtlinien nicht exakt befolgt werden und Sicherheitsprobleme entstehen. Etwa, wenn sich ein Angreifer erfolgreich als Administrator ausgeben kann und so Zugriff auf interne Systeme erhält.

KRITIS Ernstfall

Angriffsszenarien kennen

Eine erfolgreiche Sicherheitsplanung für eine Minimum Viable Organization setzt voraus, dass nicht nur prozessuale und technische Schwachstellen, sondern auch die Strategien der Angreifer bekannt sind. Insbesondere das betrügerische Beschaffen von Zugangsdaten zu internen Systemen ist eine typische Angriffsmethode. Der Versand von (Spear-)Phishing-Mails ist hierbei ein besonders häufiger Einstieg. Dabei wird entweder ein Trojaner-Programm installiert, oder das Opfer durch Manipulation und Social Engineering dazu gebracht, dem Angreifer Zugangsdaten zu überlassen. Dieses Vorgehen ist gerade in Krisenzeiten erfolgsversprechend, da Stress, mangelnde Routine und eingeschränkte Beratung durch das IT-Team ausgenutzt werden können.

Auch Brute Force-Angriffe, bei denen Zugangsdaten durch automatisierte Passworteingaben erraten werden sollen und das Lahmlegen der durch remote-Zugriffe stark beanspruchten Dienste häufen sich in Extremsituationen. Gelingt es einem Angreifer, durch die Nutzung kompromittierter Geräte eine DDoS-Attacke (Distributed-Denial-of-Service) erfolgreich auszuführen, können existenzielle Schäden entstehen.

IT Defense under Pressure

Unternehmensdaten schützen

Aus der Perspektive der IT-Sicherheit ist der Schutz von Unternehmensdaten vor Diebstahl, Manipulation und Zerstörung eine zentrale Aufgabe im remote-Betrieb. Dabei gilt es zwischen Praktikabilität, Kosten der Lösung und dem potenziellen Schaden abzuwägen. Denn mit steigenden Sicherheitsanforderungen gehen typischerweise auch steigende Kosten und abnehmender Bedienkomfort einher.

Einen schlanken Ansatz bieten Remote Desktop-Lösungen, wenn sie eine starke Authentifizierung und Verschlüsselung bieten und ausschließlich den notwendigen Zugriff erlauben. Allerdings erfüllen die meisten verfügbaren Lösungen diese Voraussetzungen nicht ausreichend – erst recht nicht, wenn besonders kritische Assets geschützt und hohe Sicherheitsvorgaben eingehalten werden müssen.

Auch klassische VPN-Lösungen bieten nicht immer ein ausreichendes Sicherheitsniveau, denn durch die Netzkopplung zwischen Unternehmensnetzen und potenziell unsicheren Privatsystemen entstehen Angriffspunkte. Beim Einsatz von VPN-Lösungen im kritischen Umfeld ist deshalb darauf zu achten, dass sie ausschließlich auf dedizierter unternehmenseigener Hardware benutzt werden und professionell abgesichert sind.

Weitere Ansatzpunkte bieten die Einrichtung eines selektiven Zugriffs auf einzelne Anwendungen (etwa beim Zugriff auf die Mails über den Webbrowser) oder das Vorgehen, auf entsprechend abgesicherten, dedizierten Rechnern lokal Daten zu bearbeiten.

Secure Home Office

Skalierbarer Schutz für Unternehmen und öffentliche Organisationen

Sie möchten Ihre IT-Infrastrukturen im öffentlichen Sektor, in der Industrie, in einer KRITIS-Organisation oder im Geheimschutz umfassend und zuverlässig absichern? Unsere zertifizierten und vielfach ausgezeichneten Sicherheitslösungen sorgen für sofortigen Schutz und sind passend skalierbar.