{"id":6123,"date":"2020-07-23T08:45:59","date_gmt":"2020-07-23T06:45:59","guid":{"rendered":"https:\/\/blog.iese.fraunhofer.de\/?p=6123"},"modified":"2024-01-22T11:25:48","modified_gmt":"2024-01-22T10:25:48","slug":"it-security-teil1","status":"publish","type":"post","link":"https:\/\/www.iese.fraunhofer.de\/blog\/it-security-teil1\/","title":{"rendered":"IT-Security (1\/4): IT-Sicherheitsaudits zur Evaluation und Absicherung Ihrer Infrastruktur"},"content":{"rendered":"

IT-Sicherheitsaudits sind f\u00fcr Unternehmen, die mit ihrer IT-Infrastruktur Zuverl\u00e4ssigkeit, Vertraulichkeit und Integrit\u00e4t im professionellen Umgang mit Kunden und Projektpartnern gew\u00e4hrleisten wollen, unabdingbar. Zudem sieht der Betrieb von IT-Infrastrukturen auch die Erf\u00fcllung gesetzlicher Verpflichtungen vor. Sicherheitsl\u00fccken und Fehlkonfigurationen k\u00f6nnen f\u00fcr Unternehmen neben Reputationssch\u00e4den auch gro\u00dfe finanzielle Folgen hervorrufen. In unserer Fraunhofer IESE<\/a>-Beitragsreihe zum Thema \u00bbIT-Security\u00ab<\/a> und im folgenden Beitrag m\u00f6chten wir die Relevanz von IT-Sicherheitsaudits zur Evaluation und Absicherung Ihrer IT-Infrastruktur detailliert darlegen.<\/p>\n

Regelm\u00e4\u00dfige Sicherheits\u00fcberpr\u00fcfungen sind unabdingbar<\/h2>\n

Bei IT-Infrastrukturen ist die Ver\u00e4nderung ein inh\u00e4renter Bestandteil: Regelm\u00e4\u00dfig sind Softwareupdates notwendig, Konfigurationen werden angepasst, das Netzwerk w\u00e4chst und ver\u00e4ndert sich durch neue IT-Komponenten. Neue Dienste f\u00fcr Kunden kommen hinzu, w\u00e4hrend alte Dienste abgeschaltet werden. Dabei k\u00f6nnen viele Fehler passieren, die aufgrund ihrer gravierenden Auswirkungen immer \u00f6fter auch mediale Aufmerksamkeit bekommen. Es sind h\u00e4ufig kleine bis mittlere Unternehmen, die ein besonders verlockendes Ziel f\u00fcr Angreifer darstellen. Im Vergleich zu gro\u00dfen (internationalen) Unternehmen fehlt ihnen jedoch oft die personelle Kapazit\u00e4t (beispielsweise Sicherheitsspezialisten, Fachexperten). F\u00fcr diese Betriebe ist es meist nicht wirtschaftlich, eine eigenst\u00e4ndige Sicherheitsabteilung zu betreiben, die sich rund um die Uhr mit dem Abwehren von Cyberangriffen befasst. Auch gerade deswegen nutzen es die Angreifer aus, dass sie m\u00f6glicherweise erst sehr sp\u00e4t entdeckt werden. Unabh\u00e4ngig davon kann ein Datenverlust auch ohne die Mitwirkung eines Angreifers negative Folgen f\u00fcr ein Unternehmen haben.<\/p>\n

Blicken wir zur\u00fcck auf einen kleinen Auszug an Sicherheitsvorf\u00e4llen des letzten halben Jahres:<\/p>\n

Oktober 2019:<\/strong> Zu dieser Zeit wurde ein Vorfall in einer Celler Arztpraxis<\/a> bekannt. Durch einen Fehler in der Router-Firmware wurden bei der Portfreigabe versehentlich weitere Ports nach au\u00dfen ge\u00f6ffnet, die nicht h\u00e4tten ge\u00f6ffnet werden d\u00fcrfen. Das hatte zur Folge, dass die Daten von etwa 30.000 Patienten aus dem Internet zug\u00e4nglich waren. Die Situation wurde dadurch verschlimmert, dass der Personenkreis, welcher Zugriff erhielt, nicht eingeschr\u00e4nkt wurde.<\/p>\n

November 2019:<\/strong> Es wurde berichtet, dass mehr als 1 TByte Kundendaten des Gesch\u00e4ftsreiseanbieters Gekko Group<\/a> (betroffen waren auch Plattformen wie booking.com und Hotelbeds.com) aufgrund einer ungesicherten Elasticsearch-Datenbank \u00f6ffentlich zug\u00e4nglich waren. Auch gro\u00dfe Unternehmen sind vor solchen Fehlern nicht sicher. Kurz zuvor, im Oktober 2019, machte Adobe ebenfalls Schlagzeilen. Auch in diesem Fall war eine ungesicherte Elasticsearch-Datenbank der Grund, weshalb knapp 7,5 Millionen Kundendaten in der Creative Cloud \u00f6ffentlich zugreifbar waren.<\/p>\n

Januar 2020:<\/strong> Zu Beginn dieses Jahres sorgte die Autovermietung Buchbinder<\/a> f\u00fcr Schlagzeilen, als aufgrund eines Konfigurationsfehlers 10 TByte sensibler Kundendaten wochenlang f\u00fcr jeden \u00f6ffentlich zug\u00e4nglich waren. Die Presse bezeichnete diesen Vorfall als \u00bbwohl eines der gr\u00f6\u00dften Datenlecks in der Geschichte der Bundesrepublik\u00ab.<\/p>\n

Februar 2020:<\/strong> Das n\u00e4chste Datenleck im Februar dieses Jahres lie\u00df nicht lange auf sich warten. An der Universit\u00e4t Erlangen N\u00fcrnberg<\/a> wurden versehentlich pers\u00f6nliche Daten von \u00fcber 800 Studierenden, darunter auch Passw\u00f6rter im Klartext, auf den Web-Servern freigegeben.<\/p>\n

Aus diesen Vorkommnissen lernen Unternehmen schmerzlich, wie unabdingbar u.a. regelm\u00e4\u00dfige Sicherheits\u00fcberpr\u00fcfungen sind.<\/p>\n

Unsere Erfahrung im Umgang mit IT-Sicherheit ist Ihr Vorteil<\/h2>\n

Am Fraunhofer IESE besch\u00e4ftigen wir uns mit dem Thema IT-Sicherheit<\/a> bereits sehr lange. Neben der Forschung im Bereich IT-Sicherheit haben wir bereits vor 19 Jahren, im Jahr 2001, damit begonnen, IT-Sicherheitsaudits durchzuf\u00fchren. Seitdem haben wir unser Konzept f\u00fcr Sicherheits\u00fcberpr\u00fcfungen kontinuierlich weiterentwickelt und ausgebaut, um mit der steigenden Komplexit\u00e4t der IT-Landschaften in Unternehmen Schritt zu halten. Gerade durch die langj\u00e4hrige, kontinuierliche Auditierung der Fraunhofer-Gesellschaft mit ihren 74 unabh\u00e4ngigen Instituten verf\u00fcgen wir \u00fcber ein breites Spektrum an Erfahrung mit unterschiedlichen Problemen, L\u00f6sungen und Technologien. Dar\u00fcber hinaus nutzen wir unsere Erfahrung zur Beratung unserer Industriekunden im Bereich IT-Sicherheit und erarbeiten in ihrem Auftrag konkrete L\u00f6sungen. Das Besondere: Wir sind keine Administratoren und keine typischen Auditoren. Als Wissenschaftler haben wir einen anderen Blick auf die IT-Sicherheit: Wir sind neutral und sehen das Thema unabh\u00e4ngiger als ein Administrator, der sein System t\u00e4glich administriert. Dar\u00fcber hinaus lassen wir aktuelle Erkenntnisse aus der Wissenschaft einflie\u00dfen. Auf der einen Seite bringen wir in vielen Fachbereichen tiefen technischen Sachverstand mit, weshalb wir bei einem IT-Sicherheitsaudit auch die technische Umsetzung Ihres Sicherheitskonzepts bewerten. Die Sicherheits\u00fcberpr\u00fcfungen basieren dabei auf g\u00e4ngigen Best Practices, Gesetzen und Standards wie beispielsweise IT-Grundschutz und ISO\/IEC 27001. Auf der anderen Seite steht Fraunhofer f\u00fcr Neutralit\u00e4t in vielerlei Hinsicht. Wir bewerten Ihre IT-Landschaft in unseren IT-Sicherheitsaudits stets anhand des aktuellsten Standes der Wissenschaft und der Technik, ohne eine Bevorzugung bestimmter Hersteller oder Produkte. Zudem sind wir als gemeinn\u00fctziger Verein niemandem verpflichtet, au\u00dfer unserer eigenen Bestrebung nach guter wissenschaftlicher Arbeitsweise.<\/p>\n

Unsere Phasen bei IT-Sicherheitsaudits<\/h2>\n

Unsere Sicherheits\u00fcberpr\u00fcfung erfolgt in drei Phasen:<\/p>\n

\"Unsere<\/a>
Unsere Phasen bei IT-Sicherheitsaudits<\/figcaption><\/figure>\n

Phase I: Vorbereitung des IT-Sicherheitsaudits<\/h3>\n

Nachdem der organisatorische Teil (Abstimmung, Terminvereinbarung, Anforderung von Informationen) abgeschlossen ist, f\u00fchren wir nach Genehmigung einen Penetrationstest gegen den jeweiligen IP-Adressbereich durch. Dabei suchen wir nach ungesch\u00fctzten Schnittstellen, analysieren die angebotenen Dienste und Auff\u00e4lligkeiten. Dazu z\u00e4hlen beispielsweise schlecht konfigurierte (Web-)Server oder auch Portfreigaben, die wie zu Beginn des Artikels genannt, zu ungewollten Datenabfl\u00fcssen f\u00fchren k\u00f6nnten. Nachfolgend \u00fcberpr\u00fcfen wir die existierenden Dokumente zu IT-Sicherheitsrichtlinien, Sicherheitskonzept, Verfahrensanweisungen, Prozessen, Netzpl\u00e4nen und weitere sicherheitsrelevante Dokumentation.<\/p>\n

Phase II: Das IT-Sicherheitsaudit vor Ort<\/h3>\n

In der zweiten Phase sind wir vor Ort und konsolidieren unsere Befunde. Dar\u00fcber hinaus beraten wir zu Themen, bei denen Defizite bestehen. Bei dem Vor-Ort-Audit pr\u00fcfen wir beispielsweise verschiedene Punkte:<\/p>\n