Das BSI warnt in diesen Tagen vermehrt vor Cyberangriffen, angesichts der angespannten politischen Situation. Vor allem Betreiber kritischer Infrastrukturen und nationale Behörden sind Adressaten der Warnungen. Die Empfehlungen legen dar, was Organisationen und Unternehmen dieser Art grundsätzlich in einer hohen Cyber-Gefährdungslage IMMER beachten sollten, von der Prävention bis zu Reaktionsmaßnahmen bei laufender Cyberattacke.
A. Wie sollten KRITIS-Unternehmen ihre Cyberabwehr stärken?
Etablieren Sie präventive kritische Sicherheitskontrollen
Cyberangriffe und Datenverlust haben schwerwiegende Folgen. Lassen Sie es erst gar nicht dazu kommen. Durch Device Control vermindern Sie das Risiko, dass Schadcode in Ihr Unternehmen gelangt und durch Application Control dessen Ausführung. Jede vereitelte Aktion muss später erst gar nicht erkannt („detection“) werden.
Planen Sie organisatorische und infrastrukturelle Maßnahmen
Prüfen und stellen Sie die Erreichbarkeit und Verfügbarkeit Ihres Fachpersonals und Ihrer Dienstleister für Präventions- und Reaktionsmaßnahmen sicher, und dokumentieren Sie diese schriftlich (offline).
Prüfen Sie Business Continuity Management (BCM)-Notfallpläne. Berücksichtigen Sie, dass externe Dienstleister ggfs. nicht zur Verfügung stehen könnten und wie Sie dann den potenziellen Schaden bewältigen könnten.
B. Cyberabwehr: Reduzieren Sie Ihre Angriffsflächen
Gerade jetzt ist es an der Zeit, ihre Systeme auf aktuellen Patch-Stand zu bringen. Bereiten Sie das Einspielen von Notfall-Patches vor. Zu den Grundlagen eines Vulnerability-Managements gehört eine vollständige Bestandsaufnahme aller Hardware- und Software-Assets im gesamten Unternehmensnetzwerk. Bevor Sie Ihre Angriffsfläche angemessen schützen können, müssen Sie alle darin enthaltenen Assets identifizieren. Vulnerability Management bewertet kontinuierlich Risiken und wird durch Automatisierung zur täglichen Routine.
Erschweren (Härten) Sie die Authentifizierung in ihr Unternehmensnetzwerk durch Multi-Faktor-Authentifizierung, mindestens durch die Sicherstellung unterschiedlicher Passwörter für jedes System. Verwenden Sie für unterschiedliche Netze verschiedene Konten und vermeiden Sie Administrator-Konten wo es geht. Erschweren Sie Lateral Movement ins/innerhalb des internen Netzwerks.
C. Verstärken Sie Detektionsmaßnahmen, um Angriffe schnellstmöglich zu entdecken
Etablieren Sie ein Sicherheits-Logging und überwachen Sie insbesondere externe Zugriffe durch kontinuierliches Monitoring. Configuration Monitoring umfasst Aktivitäten, mit denen festgestellt werden soll, ob Systeme in Übereinstimmung mit den vereinbarten Baseline-Konfigurationen der Organisation konfiguriert sind und ob die im System identifizierten Komponenten mit dem von der Organisation geführten Component Inventory übereinstimmen.
Das Monitoring identifiziert unentdeckte und nicht dokumentierte Systemkomponenten, Fehlkonfigurationen („misconfigurations“), Schwachstellen sowie nicht autorisierte Änderungen. Werden sie nicht angegangen, setzen sich Organisationen einem erhöhten Risiko aus. Der Einsatz automatisierter Tools hilft Unternehmen, effizient zu erkennen, wann das System nicht mit der genehmigten Baseline-Konfiguration übereinstimmt und wann Abhilfemaßnahmen („remediation actions“) erforderlich sind.
D. Denken und bereiten Sie Reaktionsmaßnahmen vor
Erstellen Sie aktuelle Datensicherungen (Backups). Lagern Sie Kopien offline und redundant. Testen Sie ein möglicherweise notwendiges Recovery, ggfs. nach „Totalem Datenverlust“.
E. Planen Sie Aufwuchs- und Durchhaltefähigkeit Ihrer IT & Sicherheitsteams bei Verschärfung der Lage
Hier sind Rufbereitschaft und Schichtdienst einzuplanen.
Quelle: Die ausführliche BSI-Liste finden Sie hier.
Fotos: iStock
DriveLock
