Ziel der Arbeit ist, unter Berücksichtigung vorhandener Richtlinien zur Informationssicherheit, wie BSI IT-Grundschutz, ISO 27001 oder VdS 10000 für KMU, zielgerichtete Maßnahmen und Empfehlungen zu konzeptionieren, um ein zunächst vereinfachtes IT-Grundschutz-Profil zu entwickeln. Dieses soll bei Bedarf als Hilfestellung für weiterführende, individuelle Sicherheitskonzepte geeignet sein. Die Maßnahmen werden dabei möglichst praxisnah am Beispiel eines Referenzunternehmens beschrieben und berücksichtigen die Vorgehensweisen moderner Cyberangriffe. Maßnahmen im Rahmen des Datenschutzes (DSGVO) werden in dieser Arbeit nicht behandelt.
IT-Infrastrukturen und Anforderungen an die IT-Sicherheit können auch bei KMU bereits sehr komplex werden. Das Thema IT-Sicherheit im Bereich KMU wird oft aus Gründen des fehlenden Fachpersonals, des fehlenden Know-hows oder schlichtweg aufgrund des erforderlichen Finanzierungsaufwandes rudimentär behandelt. Dazu kommen neue Herausforderungen beim Aufbau von Netzwerken im Zuge der Digitalisierung und Industrie 4.0 sowie häufig auch der Einsatz von Cloud-Technologie.
Viele Unternehmen sind bereits Opfer eines Cyberangriffs gewesen und möchten im Rahmen des oft notwendigen Neuaufbaus der IT-Infrastruktur die Sicherheit verbessern. Der entstandene finanzielle Schaden, auch durch Verlust der Reputation bei Kunden, ist dabei meist um ein vielfaches höher, so dass sich präventives Vorgehen unter Einsatz der erforderlichen Ressourcen an dieser Stelle als durchaus sinnvoll darstellt.
Inhaltsverzeichnis
1 EINLEITUNG
1.1 Aktuelle Lage der IT-Sicherheit bei KMU
1.2 Zielsetzung und Vorgehensweise
1.3 Begriffsdefinitionen und Abgrenzung
2 GRUNDLAGEN
2.1 Vorgaben und Richtlinien zur Informationssicherheit
2.1.1 BSI IT-Grundschutz
2.1.2 ISO/IEC Normreihe 2700x
2.1.3 ISIS 12 Methodik
2.1.4 VdS 10000/10020
2.1.5 Weitere Richtlinien und Empfehlungen
2.1.5.1 IEC 62443
2.1.5.2 IT-Sicherheitsgesetz
2.1.5.3 CIS-Controls
2.2 Referenzmodell eines KMU
2.2.1 Organisation
2.2.2 Netzwerk
2.2.3 Active Directory
2.2.4 Unternehmensanwendungen
2.2.5 Cloud-Anwendungen
2.2.6 Industrial-IT
2.2.7 Sicherheitssysteme
3 ORGANISATORISCHE MAßNAHMEN
3.1 Organisation der Informationssicherheit
3.1.1 Leitlinie und Strategie zur Informationssicherheit
3.1.2 Informationssicherheitsbeauftragter (ISB)
3.1.3 Organisationsstruktur
3.1.4 Einbeziehen der Mitarbeiter
3.2 Prozesse und Dokumentation
3.2.1 Identitätsmanagement (IAM)
3.2.2 Inventarisierung und Dokumentation
4 TECHNISCHE SCHUTZMAßNAHMEN
4.1 Mehrstufiges Modell
4.2 Stufe 0 – Basisschutz
4.2.1 Zugangsschutz
4.2.1.1 Authentifizierung
4.2.1.2 Passwortsicherheit
4.2.1.3 Pass-the-Hash und Pass-the-Ticket
4.2.1.4 Privilegierte Konten
4.2.2 Active Directory Struktur
4.2.3 Applikationssicherheit
4.2.4 Patchmanagement
4.2.5 Protokollierung
4.2.6 Datensicherung und Notfallkonzepte
4.3 Stufe 1 – Perimeter
4.3.1 Firewall und DMZ
4.3.2 Web-Sicherheit
4.3.3 DNS-Sicherheit
4.3.4 E-Mail-Sicherheit
4.3.5 Intrusion Detection und Prevention (IDS/IPS)
4.4 Stufe 2 – Endpunkte
4.4.1 Anti-Virus
4.4.2 Firewall
4.4.3 Web-Filter
4.4.4 Detektion und Reaktion
4.4.5 Weitere Funktionen
4.5 Stufe 3 – Netzwerk
4.5.1 Segmentierung
4.5.2 Detektion und Reaktion
4.6 Weitere Überlegungen
4.6.1 Industrial-IT
4.6.2 Mobiles Arbeiten
4.6.3 Cloud-Technologien
5 FAZIT UND AUSBLICK
Zielsetzung & Themen
Diese Arbeit zielt darauf ab, ein einfaches, aber zielgerichtetes Sicherheitskonzept für kleine und mittelständische Unternehmen (KMU) zu entwickeln. Basierend auf gängigen Richtlinien zur Informationssicherheit wird ein praxisnahes IT-Grundschutz-Profil erstellt, das insbesondere technische Maßnahmen zur Absicherung gegen moderne Cyberbedrohungen adressiert und an einem Referenzunternehmen erläutert wird.
- IT-Sicherheitsstrategien und Managementsysteme für KMU
- Strukturelle Organisation und Dokumentation der Informationssicherheit
- Technische Schutzmaßnahmen in einem mehrstufigen Modell
- Umgang mit Identitätsmanagement und Zugriffsschutz (Active Directory)
- Absicherung von Perimeter, Endpunkten und Netzwerken
- Spezielle Anforderungen für Industrial-IT, Homeoffice und Cloud
Auszug aus dem Buch
4.1 Mehrstufiges Modell
Bevor einzelne Maßnahmen konkret erläutert werden, ist es sinnvoll zunächst eine allgemein verständliche Struktur zu beschreiben, welche die einzelnen Maßnahmen sinnvoll abbildet und einsortiert. Hierzu ist es interessant und zielführend, sich noch einmal ein mögliches Angriffsszenario vor Augen zu führen.
Es soll angenommen werden, dass sich ein potentieller Angreifer das Unternehmen als Angriffsziel ausgesucht hat. Er verfügt aber noch über keinerlei Zugang zum Unternehmensnetzwerk. Sein Ziel ist ganz klar die Übernahme von Systemen innerhalb des Netzwerkes und das Erbeuten privilegierter Zugangsdaten, welche ihm ermöglichen an die wichtigen Daten des Unternehmens zu kommen. Als Erstes wird er versuchen die aus dem Internet erreichbaren Systeme, wie beispielsweise Webserver und Mailgateway, unter Ausnutzen von Schwachstellen anzugreifen, zu übernehmen und von dort aus die internen Systeme anzugreifen. Sollte dieses Vorhaben nicht von Erfolg sein, wird er anschließend versuchen über gezielte Phishing-Kampagnen an Zugangsdaten interner Mitarbeiter zu kommen. Auch ist es denkbar, interne Mitarbeiter über eine präparierte E-Mail oder Webseite dazu zu bringen, schadhaften Programmcode auf dem eigenen Computer auszuführen. Sollte er erfolgreich sein hat er sich Zugang zu einem internen System verschafft. Als nächstes wird er versuchen seine Stellung auszubauen. Er wird versuchen weitere Systeme im Netzwerk zu übernehmen, mit dem Ziel privilegierte Zugangsdaten zu erbeuten. Sollte er abermals erfolgreich sein, hat er mit diesen Zugängen üblicherweise Zugriff auf wichtige Daten. Diese kann er nun beliebig exfiltrieren und anschließend durch Verschlüsselung unbrauchbar machen. Im Anschluss erfolgt dann wahrscheinlich die Erpressung des Unternehmens.
Zusammenfassung der Kapitel
1 EINLEITUNG: Analyse der aktuellen Bedrohungslage für KMU durch Cyberangriffe und Vorstellung der Zielsetzung, ein praxisnahes Sicherheitsgrundkonzept zu erstellen.
2 GRUNDLAGEN: Überblick über existierende IT-Sicherheitsrichtlinien wie BSI IT-Grundschutz und ISO 27001 sowie Beschreibung eines Referenzunternehmens als Modell für die weitere Umsetzung.
3 ORGANISATORISCHE MAßNAHMEN: Erläuterung der notwendigen organisatorischen Rahmenbedingungen, inklusive Leitlinien, Rollendefinitionen wie dem ISB sowie Prozess- und Dokumentationsanforderungen.
4 TECHNISCHE SCHUTZMAßNAHMEN: Detaillierte Ausarbeitung technischer Absicherungsstrategien in einem mehrstufigen Modell, unterteilt in Basisschutz, Perimeter, Endpunkte und Netzwerk, inklusive spezieller Anforderungen für Industrial-IT und mobiles Arbeiten.
5 FAZIT UND AUSBLICK: Zusammenfassung der Ergebnisse, Bestätigung der Praxistauglichkeit des erarbeiteten Sicherheitskonzepts und Ausblick auf die Notwendigkeit der kontinuierlichen Anpassung an technologische Entwicklungen.
Schlüsselwörter
IT-Sicherheit, Informationssicherheit, KMU, BSI IT-Grundschutz, Cyberkriminalität, ISMS, Risikomanagement, Netzwerksegmentierung, Active Directory, Identitätsmanagement, Patchmanagement, Malware-Schutz, Perimeter-Sicherheit, Endpoint-Protection, Industrial-IT
Häufig gestellte Fragen
Worum geht es in dieser Bachelorarbeit grundsätzlich?
Die Arbeit befasst sich mit der Entwicklung eines praxisnahen IT-Sicherheitskonzepts für kleine und mittelständische Unternehmen, um deren IT-Systeme vor modernen Cyberbedrohungen zu schützen.
Was sind die zentralen Themenfelder der Arbeit?
Die zentralen Schwerpunkte liegen auf der Organisation der Informationssicherheit, der technischen Absicherung von IT-Infrastrukturen in einem mehrstufigen Modell sowie der praktischen Anwendung dieser Konzepte an einem Referenzmodell.
Welches primäre Ziel verfolgt die Forschungsarbeit?
Ziel ist es, ein möglichst einfaches und solides Grundkonzept für KMU zu schaffen, das als Hilfestellung für eine zielgerichtete IT-Sicherheitskonzeption dient und den Spagat zwischen begrenzten Ressourcen und erforderlichem Schutzvolumen meistert.
Welche wissenschaftliche Methode wird in der Arbeit verwendet?
Die Arbeit kombiniert die Auswertung gängiger Regelwerke und Fachliteratur mit einer praxisorientierten Modellierung anhand eines fiktiven Referenzunternehmens, um Anforderungen und konkrete Umsetzungsmaßnahmen abzuleiten.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden sowohl organisatorische Maßnahmen zur Verankerung der IT-Sicherheit als auch tiefgehende technische Schutzmaßnahmen in den Stufen Basisschutz, Perimeter-Sicherheit, Endpunkteschutz und Netzwerksicherheit konzipiert.
Durch welche Schlüsselwörter lässt sich die Arbeit am besten charakterisieren?
Die Arbeit lässt sich am besten durch Begriffe wie IT-Sicherheit für KMU, ISMS, IT-Grundschutz, Cyber-Abwehr, Netzwerksegmentierung und Active-Directory-Sicherheit beschreiben.
Wie wird das im Referenzmodell beschriebene Unternehmen charakterisiert?
Das Referenzunternehmen ist ein fiktives, inhabergeführtes Familienunternehmen aus der feinmechanisch-optischen Industrie mit rund 360 Mitarbeitern, das typische Strukturen wie Windows-Umgebungen und Active Directory nutzt.
Welche Bedeutung kommt dem Schutz administrativer Konten zu?
Der Schutz administrativer Konten ist essenziell, da diese das primäre Ziel von Angreifern sind, um durch "Lateral Movement" oder "Credential Dumping" die vollständige Kontrolle über die IT-Domäne zu erlangen.
Warum wird ein "mehrstufiges Modell" für die Schutzmaßnahmen gewählt?
Das Modell dient dazu, Sicherheitsmaßnahmen logisch in aufbauende Schutzstufen (Baseline, Perimeter, Endpunkte, Netzwerk) zu gliedern, um Angriffe frühzeitig zu erkennen, abzuwehren oder deren Ausbreitung im Falle eines Fehlers effektiv zu verlangsamen.
- Arbeit zitieren
- Nico Ohlig (Autor:in), 2021, IT-Security für KMU. Praxisnahe Maßnahmen und Empfehlungen zur grundlegenden Absicherung der IT-Systeme in kleinen und mittelständischen Unternehmen, München, GRIN Verlag, https://www.grin.com/document/1037239
