Security-Bausteine, Teil 2: Passwörter, Assets und Zugriffe

Inhaltsverzeichnis

Ist das Vertrauen erst mal ruiniert, lebt’s sich nicht mehr ungeniert – so könnte man den ersten Teil dieser Serie, "Zero-Day und Zero Trust", zusammenfassen. Wir haben uns also aus dem Paradies eines freundlichen Internets vertreiben lassen und wittern nun überall Gefahren. Aber Gefahren für wen eigentlich?

Im zweiten Teil dieser Serie – also in diesem Security-Baustein – geht es darum, was wir überhaupt schützen wollen und vor wem.

Mehr zu Unternehmens-IT und Security

• Layer 8 – Der Faktor Mensch in Bezug auf Unternehmenssicherheit
• Sicherheits- und Incident-Management mit Wazuh​
• BSI: Warnungen zur IT-Sicherheit ernstnehmen
• Auswirkungen des Ukrainekriegs auf die IT-Sicherheit in Deutschland
• Überblick zu IT-Versicherungsschutz für kleine Unternehmen und Freelancer
• Ransomware-Angriffsmuster und die wichtigsten Schritte zum Schutz dagegen
• Wie Ransomware-Angriffe heute ablaufen
• Security: So arbeiten Incident-Response-Teams nach einem Ransomeware-Angriff
• IT-Recht: Sicherheitsanforderungen und Rechtsfragen zu Ransomware-Attacken
• Sicherheitsrisiken in der IT: OWASP Top 10 in neuer Version
• OKR-Einführung: häufige Fehler und wie sie dennoch gelingt
• Unternehmens-IT: Wie sich Managed Services wandeln
• Endgerätesicherheit und EDR-Tools: Gefahren schnell erkennen und reagieren
• Cybercrime: Ransomware-Entwicklung führt zu neuen Bekämpfungsstrategien
• Identity and Access Management der Zukunft: digitales Business, Zero Trust, SASE
• IT-Sicherheit: Ransomware-Attacken verhindern durch Security Learning Center
• IT-Grundschutz: BSI-Anforderungen für Container und Kubernetes
• IT-Security: Trainings als Vorbereitung für Sicherheitsvorfälle im Unternehmen
• IT-Security: PetitPotam und andere Wege, die Kontrolle über das AD zu übernehmen
• Incident Response und Forensik: Angreifer durch Logs enttarnen
• Cloud-Sicherheit: Cloud Security Operations Center im Vergleich

David Fuhr

David Fuhr ist Cofounder und CTO der intcube GmbH.

Viele Handreichungen für die Informationssicherheit und insbesondere diverse Standards beginnen mit der Aufforderung, sich der eigenen Werte bewusst zu werden. Nicht der persönlichen (wobei auch das häufig hilfreich wäre), sondern derjenigen der Organisation, die zu verteidigen ich mich verpflichtet habe. Ein Wert (englisch "Asset") ist alles, was etwas wert ist. Aber wem? Das können nur die "Stakeholder" beantworten – diejenigen, die nicht einzubinden Nachteile oder Risiken birgt. Erst nach diesem "Asset-Management", so wird uns gesagt, wüssten wir, was wir schützen müssen und, wenn ja, wie viel(e).

Inhalt der Artikelreihe "Security-Baukasten"

Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele. Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm.

• Teil 1: Null Vertrauen: Zero-Day und Zero Trust
• Teil 2: Ein Passwort: Assets und Zugriff
• Teil 3: Zwei Faktoren: Authentifizierung und Backup
• Teil 4: Drei Werte: CIA or DIE
• Teil 5: Vier Levels: Risiko und Security-Levels
• Teil 6: Fünf Bedrohungen: Threats und Models

Der Luxus der Bestandsaufnahme

Diese Luxuslogik lässt sich maximal in absoluten Friedenszeiten vertreten. In der Ära von "Assume Breach" – gehe davon aus, dass du schon gehackt wurdest – ist es Arroganz und Zeitverschwendung, so lange mit dem Excel-Sheet herumzulaufen, bis auch der allerletzte verstaubte Client aus dem Magazin dort eingetragen ist, um erst dann mit den ersten Sicherheitsmaßnahmen zu beginnen. Im Krieg und in Krisen würde niemand auf die Idee kommen, zunächst eine detaillierte Bestandsaufnahme zu machen, sondern ganz schnell eine Lagefeststellung vornehmen, um daraus dann die Reaktion zu planen.

Was ist der schnellste Entschluss, den ich nahezu ohne Beurteilung der Lage treffen kann? (Fast) Keiner rührt sich! Damit möglichst niemand etwas unerlaubt wegnimmt oder sabotiert. Das Prinzip dahinter nennt sich "Least Privilege" (Prinzip der geringsten Rechte) und ist neben Defense in Depth (mehrere Verteidigungsebenen, folgen in Teil 4) fast das einzige Securityprinzip, das in quasi allen Einsatzbereichen zur Anwendung kommt.