Auf- und Ausbau der IT-Security

In fünf Schritten zu OPSEC

| Autor / Redakteur: Rick Holland* / Elke Witmer-Goßner

Unternehmen sollten ihre Schwachstellen und Sicherheitslücken genau kennen, um möglichen Angreifern immer mindestens einen Schritt voraus zu sein.
Unternehmen sollten ihre Schwachstellen und Sicherheitslücken genau kennen, um möglichen Angreifern immer mindestens einen Schritt voraus zu sein. (Bild: Bakhtiarzein, Fotolia)

„Operational Security“ – das ist weit mehr als nur Betriebssicherheit. Der ursprünglich aus dem US-Militär stammende Begriff beschreibt Strategien, die potenzielle Angreifer daran hindern sollen, kritische Informationen aufzuspüren und sie in böswilliger Absicht zu nutzen.

Ein Blick auf die wachsende Anzahl an Cyber-Attacken und die Flut an digitalen Informationen im Netz macht schnell klar: Die Schutzmaßnahmen von OPSEC sind auch für Unternehmen hochinteressant. Websiten, E-Mails, Transaktionen – es gibt wohl kaum ein Unternehmen heute, das keinen digitalen Fußabdruck hinterlässt. Allzu oft werden dabei jedoch – meist unbewusst – vertrauliche, geschützte oder geschäftskritische Informationen heraus gegeben. Diese können von potenziellen Angreifern zur Erpressung durch Ransomware, zum Social Engineering oder für Datendiebstahl genutzt werden. Die Zahl solcher Attacken stieg 2015 massiv an und betrifft Unternehmen aller Branchen und Größen. Die Folgen reichen vom Verlust geistigen Eigentums über Beschädigungen der Marke bis hin zu hohen Einnahmeeinbußen.

OPSEC nutzen

Die Strategie OPSEC stammt ursprünglich aus dem Militär, die fünf Sicherheits-Schritte lassen sich aber auch auf Unternehmen übertragen.
Die Strategie OPSEC stammt ursprünglich aus dem Militär, die fünf Sicherheits-Schritte lassen sich aber auch auf Unternehmen übertragen. (Bild: Digital Shadows)

Eine umfassende OPSEC ist daher entscheidend. So wie Kriminelle immer neue Methoden und Malware-Versionen entwickeln, sollten auch Unternehmen kontinuierlich am Auf- und Ausbau ihres Cyber Security Programms arbeiten. OPSEC ist dabei ein fundamentaler Bestandteil, um eine flexible und widerstandfähige Schutzmauer gegen Cyber-Attacken aufzubauen. Grundsätzlich basiert OPSEC auf fünf Schritten, die sich auf Unternehmen übertragen lassen.

Schritt 1: Kritische Informationen identifizieren

Zunächst sollten die geschäftsentscheidenden Bereiche identifiziert werden. So wird schnell klar, wo sich das eigentliche Herzstück eines Unternehmens befindet und wo besonderer Schutz von Nöten ist. Gemeinsam mit Teams des Risikomanagements lassen sich Vermögenswerte, Personen und Daten ermitteln, die mit diesen kritischen Geschäftsabläufen eng verknüpft sind. Als nächstes gilt es, extern verfügbare Daten aufzudecken, die in irgendeiner Art und Weise mit diesen Entitäten in Verbindung stehen. Dazu zählen auch auf den ersten Blick harmlose Informationen, z.B. Profile auf sozialen Netzwerken, Shared-Files, Websiten oder private E-Mail-Accounts. Denn potenzielle Angreifer können auch diese Daten in Kombination mit anderen Informationen nutzen, um Angriffspunkte ausfindig zu machen. Der Überblick aller öffentlich verfügbaren Informationen ermöglicht es, Unternehmen durch die Brille der Angreifer zu betrachten und mögliche Angriffsziele frühzeitig zu erkennen.

Schritt 2: Analyse von Bedrohungen

Sind solche kritischen Informationen identifiziert, folgt die Analyse möglicher Bedrohungen. Diese sollte immer vor dem Hintergrund der jeweiligen Branche und Marktposition eines Unternehmens geschehen. Welche Hackergruppen sind in der Branche bekannt? Sind die im Unternehmen vorhandenen kritischen Informationen für diese Angreifer interessant? Welche Taktiken, Techniken und Prozeduren (TTPs) kommen zum Einsatz? Welche Absichten werden verfolgt (politisch, finanziell oder ideologisch)? Und sind die Angreifer dazu in der Lage, ihre Drohungen tatsächlich wahrzumachen? Auch Hacker sind bemüht, so wenige Informationen wie möglich über sich preiszugeben. Je weniger ausgereift daher die OPSEC der Angreifer ist, desto mehr können Unternehmen über sie erfahren und sich gegen Angriffe wehren.

Schritt 3: Schwachstellenanalyse

Die Analyse von Schwachstellen umfasst in der Regel das Scannen von Anwendungen und Systemen auf mögliche Sicherheitslücken. Menschliche Schwächen und lückenhafte Betriebsabläufe werden oft vernachlässigt. Dazu zählen u.a. unbeabsichtigte Leaks vertraulicher Informationen wie Geschäftspläne oder Prognosen, technische Leaks von Quellcodes auf öffentlichen Online-Repositories wie GitHub sowie Leaks persönlicher Daten, die zu Social Engineering Attacken auf CEOs und CFOs genutzt werden können wie beispielsweise Urlaubs- und Reisepläne.

Schritt 4: Risikoeinschätzung

Steht die Analyse der potenziellen Schwachstellen und Angreifer, können entsprechende Schutzmaßnahmen eingeführt werden. Die zuvor gesammelten Informationen helfen dabei, einen Reaktionsplan aufzustellen, Richtlinien und Prioritäten festzulegen und Risiken abzuschätzen. Anstatt in einem informationsleeren Raum mit beschränktem Kontext zu agieren, können Unternehmen so bessere Entscheidungen treffen, um einfach und effektiv die wichtigsten internen und externen Bedrohungen abzuwehren.

Schritt 5: Einsatz angemessener Gegenmaßnahmen

Die Risikoanalyse ist eine Grundvoraussetzung, um angemessene Sicherheitsvorkehrungen zu treffen. Mit entsprechenden Maßnahmen sind Unternehmen deutlich stärker aufgestellt, um Angriffen zu begegnen und interne Sicherheitslücken zu schließen. Dazu zählen maßgeschneiderte Sicherheitsschulungen für Mitarbeiter, die über die am häufigsten, unbewusst geleakten Dokumente aufklären; das Updaten der Fehlererkennung von Data-Loss-Prevention- (DLP)-Lösungen, um technische Leaks von Quellcodes zu verhindern, und die Einführung von Genehmigungsverfahren, die mehrere Bevollmächtigte voraussetzen und so das Betrugsrisiko senken.

Widerstandsfähigkeit stärken

Je mehr Unternehmen über potenzielle Attacken und Taktiken in Erfahrung bringen, desto schwieriger wird es für die Angreifer.
Je mehr Unternehmen über potenzielle Attacken und Taktiken in Erfahrung bringen, desto schwieriger wird es für die Angreifer. (Bild: Digital Shadows)

Wie erfolgreich die OPSEC von Unternehmen ist, hängt auch von ihrer Anpassungsfähigkeit ab. Geschäftsmodelle ändern sich, bestimmte Informationen verlieren ihren Wert und auch die Bedrohungslandschaft wandelt sich. OPSEC-Programme müssen daher kontinuierlich weiter entwickelt werden. Zudem ist ein gewisses Maß an Flexibilität gefragt, um in angemessener Stärke auf unterschiedliche Situationen reagieren zu können. Unternehmen sind gut darin beraten, sich auf bestimmte Szenarien vorzubereiten.

OPSEC im regulären Betriebsablauf eines Unternehmens ist dabei die Ausgangsbasis (Szenario 1). Dazu zählt ein Security-Awareness-Training für Mitarbeiter, das die Risiken von Social Media sowie die Gefahren von Social Engineering und Whaling aufzeigt. VPN-Verbindung beim Arbeiten von öffentlichen Netzwerken aus gehört ebenfalls zur Grundvoraussetzung. Bestehen Anzeichen, dass ein Unternehmen in den Fokus von Angreifern gerückt ist (Szenario 2), sollten die Schulungen für bestimmte Personengruppen intensiviert werden. Dazu zählen beispielsweise Führungskräfte und an finanziellen Transkationen beteiligte Mitarbeiter. Die identifizierten Sicherheitsvorfälle sollten dabei direkt in die Schulung einfließen.

Eine Verstärkung der OPSEC ist auch bei bestimmten Ereignissen notwendig (Szenario 3), zum Beispiel bei einem Produktlaunch, Fusionen und Übernahmen oder regionaler Expansion. Jedes dieser Ereignisse gibt Anlass, die Wachsamkeit zu erhöhen und das Monitoring sowohl auf Personen als auch Vermögenswerte auszuweiten. Extern sollte das Web nach relevanten Produktbegriffen, Projektnamen und Codewörtern sowie potenziellen Angreifern durchsucht werden. Einen Sonderfall für OPSEC stellen auch Mitarbeiter dar, die oft Geschäftsreisen tätigen (Szenario 4). Das zeigt auch das Beispiel von DarkHotel, bei dem hochrangige Manager während ihres Aufenthalts in Asien über das W-LAN ihres Hotels ins Visier von Hackern gerieten. Ein genaues Überprüfen von Hotel, Fluglinie und anderen Diensten im Ausland sowie das Verwenden von „Burner Devices“, die nach der Reise entsorgt werden, sind nur einige Optionen wie OPSEC auch hier sichergestellt werden kann.

Ein Schritt voraus

Egal welches Szenario und welche Sicherheitsstufe für Unternehmen relevant sind – OPSEC bietet die nötige Grundlage, um die IT-Sicherheit nachhaltig und kontinuierlich aufrecht zu erhalten. Je mehr Unternehmen über Schwachstellen, Angreifer, ihre Methoden und Taktiken wissen, desto besser sind sie vor Angriffen gewappnet und desto schwerer haben es Hacker, tatsächlich Schaden zuzufügen.

Rick Holland, Digital Shadows.
Rick Holland, Digital Shadows. (Bild: Digital Shadows)

* Der Autor Rick Holland ist Vice President of Strategy für Digital Shadows.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44174344 / Risk Management)