STAND: MÄRZ 2022

Aktuelle Lage mit Bezug zur Informationssicherheit

Das sollten Unternehmen zur Absicherung ihrer IT-Umgebungen beachten

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt aktuell eine erhöhte Cyber-Bedrohungslage für Deutschland fest (Stand: 04.03.22). Es bewertet die aktuelle IT-Bedrohungslage im Land mit der zweithöchsten Warnstufe »orange«. So hat das BSI seine eigene Krisenreaktion gestärkt sowie das Nationale IT-Krisenreaktionszentrum aktiviert. Laut einer kürzlich veröffentlichten Meldung hat das Amt zudem Organisationen & Unternehmen bereits entsprechend sensibilisiert sowie zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen.

Unternehmen sollten vorbereitet sein

Das BSI hat Unternehmen zur besonderen Vorsicht aufgerufen. Insbesondere Betreiber kritischer Infrastrukturen sollten sicherzustellen, dass ihre IT-Spezialisten in einem Angriffsfall verfügbar sind – notfalls auch durch Urlaubssperren. Notfallpläne sollten eingerichtet, überprüft und aktualisiert werden. Zudem sollte nicht nur die Software der Systeme durch Updates auf den neuen Stand gebracht, sondern auch Sicherungskopien von allen relevanten Systemen angelegt werden.

10 Punkte zur effizienten Absicherung Ihrer IT-Systeme

CANCOM als Spezialist für IT-Sicherheit hat für Unternehmen und Organisationen 10 Punkte zusammengestellt, mit denen die IT-Infrastruktur effizient abgesichert werden kann. Kontaktieren Sie bei Fragen gerne unsere IT-Spezialisten.

Wenn Sie Active Directory Federation Services einsetzen, sollten Sie überprüfen, ob Sie die von Microsoft empfohlenen Härtungsmaßnahmen und Best Practices umgesetzt haben. Gleiches gilt für die Nutzung von Azure AD sowie Office 365-Diensten. Denken Sie bei der Nutzung von Microsoft 365 auch daran die entsprechenden Sicherheits- und Monitoring-Funktionen zu aktivieren. Letztere können Ihnen dabei helfen, den Hochlauf eventueller Angriffsaktivitäten zu erkennen.

Schützen Sie Ihre Domänen Controller sowie Ihre Active Directory-Dienste, indem Sie die von Microsoft empfohlenen Härtungsmaßnahmen und Best Practices umsetzen. Mittelfristig sollten Sie die Umsetzung des von Microsoft empfohlenen 3-Stufen-Modelles oder des neueren Enterprise-Access-Modelles prüfen. Ziel dieser und aller weiterer Schutzmaßnahmen muss es sein, eine Kompromittierung Ihres Active Directory in jedem Fall zu verhindern. Nutzen Sie Statistiken über erfolgreiche und fehlgeschlagene Authentifizierungen, um sich ein Lagebild zu verschaffen und Trends zu erkennen.

Sichern Sie zumindest Ihre privilegierten Nutzer (Administratoren) durch eine Multifaktor-Authentifizierung (MFA) ab. Wir empfehlen, MFA für alle Nutzer und für alle  Services zu erzwingen. Hierzu können Sie Dienste verschiedener Anbieter nutzen, wie z.B.  Microsoft, Google, RSA, etc.

Überprüfen Sie den Phishing-Schutz Ihrer Mail Security Lösung und verschärfen Sie gegebenenfalls die Einstellungen. Einige Lösungen bieten Funktionalitäten zum Schutz vor Spear Phishing und CEO Fraud an. Sollte dies der Fall sein, konfigurieren Sie die Funktionalitäten Ihrer Lösung entsprechend. Achten Sie darauf, dass alle ein- und ausgehenden Mails auf Schadsoftware und gefährliche Links hin überprüft werden. Nutzen Sie Statistiken über Phishing, Schadsoftware und gefährliche Links, um sich ein Lagebild zu verschaffen und Trends zu erkennen.

Stellen Sie sicher, dass sich sämtliche Systeme auf dem aktuellen Stand befinden. Das gilt insbesondere für Systeme, an denen Nutzer arbeiten – also für Mobilgeräte, Clients und Terminal Server. Beachten Sie dabei, dass automatische Updates unter Windows nur Microsoft-Pakete umfassen und nicht die Pakete anderer Hersteller. Diese müssen getrennt davon aktualisiert werden. Prüfen Sie im Bedarfsfall, ob eventuell erst Upgrades nötig sind, bevor ein System auf den aktuellen Stand gebracht werden kann. Sorgen Sie dafür, dass Anwendungs-/Systemverantwortliche gemeinsam mit dem IT-Betrieb feste Wartungsfenster für sämtliche Systeme vereinbaren, die für alle Beteiligten verbindlich sind. Kapseln Sie Systeme, die nicht aktualisiert werden können, ab.

Verringern Sie die Angriffsfläche Ihrer IT-Systeme und Ihrer IT-Infrastruktur, indem Sie nicht benötigte Services abschalten, nicht benötigte Pakete deinstallieren und nicht benötigte Ports schließen bzw. filtern. Führen Sie diese Maßnahmen auch bei Mobilgeräten durch, indem Sie z.B. eine Whitelist zulässiger Apps festlegen und mittels Mobile Device Management durchsetzen. Führen Sie diese Maßnahmen auch bei Servern durch, die keinen Internetzugriff haben, so können Sie die Ausbreitung von Angriffen im Netz wirkungsvoll hemmen.

Überprüfen Sie die Segmentierung Ihres Netzwerkes. Stellen Sie sicher, dass zumindest Client-, Drucker-, Telefonie-, Server- und Management-Netze durch Firewalls separiert sind, welche möglichst restriktiv konfiguriert sind. Prüfen Sie darüber hinaus die weitere Segmentierung der Serverlandschaft z.B. nach Funktionen, Applikationen, Tiers oder anderen Attributen. Beachten Sie dabei, dass die Segmentierung nur dann wirksam ist, wenn die Netzübergänge durch Firewalls gesichert sind.

Stellen Sie sicher, dass Ihre kritischen Assets und Prozesse bekannt und dokumentiert sind. Sofern Sie über ein Business Continuity Management verfügen, stellen Sie sicher, dass Ihre BC-Pläne aktuell sind und überprüfen Sie Ihre Maßnahmenpläne für weitreichende Ransomware-Infektionen, für DDoS-Attacken und für den allgemeinen Ausfall wichtiger IT-Infrastrukturen.

Beachten Sie, dass eine rein signaturbasierte Antivirenlösung heutzutage auch generell keinen ausreichenden Schutz mehr bietet. Stellen Sie deshalb sicher, dass alle Schutzfunktionalitäten Ihrer Antivirenlösung für ein möglichst hohes Schutzniveau konfiguriert sind. Stellen Sie sicher, dass Scan-Ausnahmen so restriktiv wie möglich konfiguriert sind. Führen Sie regelmäßige, mindestens wöchentliche, zeitgesteuerte Scans nicht nur auf Clients, sondern auch auf Mobilgeräten, Terminal Servern und Anwendungs- und File Servern durch. Dadurch sind Sie in der Lage, Schadsoftware zu erkennen, für die es zum Zeitpunkt der Infektion noch keine Erkennungsmöglichkeit gab.

Sofern Sie keine eigenes Security Operations-Team haben, prüfen Sie den Einsatz eines externen Security Operation Centers, um Security Events nachzuverfolgen, zu qualifizieren und im Bedarfsfall Gegenmaßnahmen zu treffen. Hier erfahren Sie mehr.

Informieren Sie sich und sprechen Sie mit unseren Security-Experten!

Als Experte für IT-Security steht Ihnen CANCOM gerne für Fragen zu Themen wie Cyber-Abwehr oder Sicherheitslücken zur Verfügung. Kontaktieren Sie unsere IT-Security-Spezialisten!

Wir beraten Sie gerne.

The email address should contain an '@'character and a valid domain with a period.
The phone number can only consist of numbers and the following characters: + ( ) - /