Ist Ihre IT abgehärtet?

Mit Application Hardening hochsensible Daten schützen

Hacker arbeiten so professionell wie nie. Rechtliche Security-Vorgaben werden schärfer. Und selbst kleine Nachlässigkeiten können dem Image Ihres Unternehmens dauerhaft schaden. Eine Situation, der Legacy-Anwendungen nicht gewachsen sind – weil sie nie darauf ausgelegt waren. Application Hardening könnte die Lösung sein.

Waren Sie in den letzten Monaten mal in einer Buchhandlung? Dort werden Sie förmlich überschwemmt mit Büchern zum Thema Resilienz. In einer Zeit ständiger Unsicherheiten und zunehmender Bedrohungen ist die innere Widerstandskraft zur vielleicht wichtigsten Fähigkeit geworden. Aber das gilt nicht nur für den Menschen.

Die Sicherheitsanforderungen an IT-Anwendungen sind in den letzten Jahren – auch mit dem Aufkommen des Internet of Things – enorm gestiegen. Angreifer nehmen zunehmend die Kernsysteme von Unternehmen ins Visier und damit ihre wichtigsten Daten. Wer neue Anwendungen entwickelt, kann entsprechende Sicherheitsmaßnahmen schon bei der Planung berücksichtigen – das Prinzip nennt sich Security by Design. Aber was ist mit all den bestehenden Systemen in Ihrem Unternehmen?

Application Hardening ist ein Ansatz, der Anwendungen intern und extern resistenter macht: gegen Reverse-Engineering, Manipulation, Datenverlust und Spionage durch Cyberkriminelle. Anwendungen werden also „abgehärtet“ gegen steigende Risiken. Mit diesen Risiken wächst auch die Nachfrage, die wir beim Thema Application Hardening in den letzten Jahren spüren. Doch ist diese Abhärtung zwingend notwendig?

Manche Daten sind wichtiger als andere

Die ehrliche Antwort: sicher nicht für alle Anwendungen. Manche Unternehmensdaten allerdings sind so sensibel, dass Zugang und Nutzung streng geregelt sein müssen. Dazu gehören:

  • Geistiges Eigentum (Intellectual Property)
  • Unternehmensstrategische Daten
  • Forschungsdaten und Messwerte
  • Bestimmte Finanzkennzahlen
  • Personendaten

„Falls die betreffenden Informationen in die falschen Hände geraten, manipuliert oder gelöscht werden, kann das dramatische Folgen haben: rechtlich, finanziell und auch in puncto Imageverlust.“

– Lukas Kappaun, Senior Consultant, SIRIUS

Es gilt also zunächst, die besonders schützenswerten Daten zu ermitteln. Das können bei jedem Unternehmen ganz andere sein.

Gemeinsam mit einem bedeutenden Chemie- und Pharmaunternehmen arbeiten wir seit zwei Jahren an einem großangelegten Application-Hardening-Projekt. Hier gibt es mehr als genug schützenswerte Daten – von Ergebnissen aktueller Testreihen bis zu Rezepturen.

CIA-Prinzip erhöht den Schutz

Grundsätzlich empfiehlt es sich, bei der Ermittlung und Umsetzung der richtigen Härtungsmaßnahmen nach dem CIA-Prinzip vorzugehen.

  • C für Confidentiality: Zielt darauf ab, dass Daten nicht in die falschen Hände geraten. Personen- oder Gehaltsdaten beispielsweise dürfen nicht erst seit Inkrafttreten der DSGVO nur von der HR-Abteilung eingesehen werden.
  • I für Integrity: Stellt Korrektheit und Aktualität der Informationen sicher. Wichtig ist das etwa im Produktionsumfeld (Messwerte) und beim Qualitätsmanagement. Je nach Branche können hierbei strikte rechtliche Vorgaben bestehen. Eine Manipulation muss um jeden Preis verhindert werden!
  • A wie Accessibility: Bei manchen Daten reicht es vollkommen, wenn sie bei Verlust innerhalb von einigen Tagen wiederhergestellt sind. Bei anderen wäre das ein Super-GAU. In solchen Fällen reicht vielleicht noch nicht einmal eine einfache Datenreplikation, sondern es müssen diverse gespiegelte Server eingerichtet und weltweit verteilt werden.

Zu erklären, wie sich das CIA-Prinzip umsetzen lässt, sprengt den Rahmen jedes Blogbeitrags. Zumal das Vorgehen von Unternehmen zu Unternehmen unterschiedlich ist. Es gibt aber zentrale Pfeiler, beispielsweise ein durchdachtes User Management. Dieses muss gewährleisten, dass jeder Nutzer nur auf jene Daten zugreifen kann, die er zwingend braucht. Dazu gehört auch, die Zahl der Administratoren auf das notwendige Minimum zu reduzieren. Idealerweise  ist auch jeder Zugriff auf die Daten zu verschlüsseln – bestenfalls sogar eine interne Firewall zu implementieren. Denn durch die Beteiligung vieler externer Partner, z.B. beim Infrastruktur-Support, sind besonders sensible Daten auch gegen Angriffe innerhalb des eigenen Intranets zu schützen.

Generell sind beim Application Hardening – wie bei den meisten anderen IT-Projekten auch – diese drei Dimensionen zu betrachten:

  1. Die Technologie: Welche Anwendungen brauche ich wirklich (noch)? Welche Tools helfen, die Sicherheit zu erhöhen, ohne dass zugleich die Komplexität steigt? Worauf ist bei Einrichtung, Betrieb und Modifikation zu achten?
  2. Die Prozesse: Welche Nutzerrollen und -gruppen gibt es? Wie erfolgt die Rechtevergabe? Ist ein Vieraugenprinzip implementiert? Welche Vorgänge werden geloggt?
  3. Die Mitarbeiter: Ist jedem klar, welche Daten besonders schützenwert sind und wie mit diesen umzugehen ist? Sind Richtlinien wie eine Clean-Desk-Policy umgesetzt und werden sie regelmäßig kontrolliert?

Wir sollten uns nichts vormachen: Application Hardening ist in der Regel mit einem umfangreichen Projekt verbunden, das sich nicht von heute auf morgen umsetzen lässt. Bei einem unserer Kundenprojekte dauert dieses Vorhaben etwa 5 Jahre. In diesem Zeitraum werden aber auch etwa 80 Anwendungen abgedeckt, technisch gesichert, die Prozesse optimiert und die Mitarbeiter geschult.

Inzwischen ist Security by Design bei der Neuentwicklung fast schon Standard, doch das eigentliche Risiko liegt in den Altsystemen. Wie sieht es in Ihrem Unternehmen aus? Wissen Sie, welche Ihrer Daten „besonders schützenwert“ sind – und haben Sie entsprechende Maßnahmen ergriffen?

Titelbild: © Dudarev Mikhail/Shutterstock