Was sind Sicherheitskontrollen?

Sicherheitskontrollen sind das Rückgrat jeder robusten Sicherheitsstrategie. Sie dienen als Maßnahmen, die Organisationen umsetzen, um ihre Werte – Menschen, Eigentum oder Daten – vor einer Vielzahl von Sicherheitsrisiken und Bedrohungen zu schützen. Diese Kontrollen sind sorgfältig darauf ausgelegt, Sicherheitsvorfälle zu verhindern, zu erkennen, ihnen entgegenzuwirken oder ihre Auswirkungen auf physisches Eigentum, Informationen, Computersysteme oder andere wertvolle Ressourcen zu minimieren. Durch das Verständnis und die Umsetzung wirksamer Sicherheitskontrollen können Organisationen eine geschützte Umgebung schaffen, die die Sicherheit und Integrität ihrer Abläufe gewährleistet.

Bree Fowler, Senior Writer bei CNET, leitete beim Bitwarden Open Source Security Summit 2024 eine Podiumsdiskussion mit Schlomo Schapiro, Principal Engineer bei Tektit Consulting, und Bjoern Sjut, Managing Director für Produktivität und IT bei Front Row. Im Gespräch ging es um aktuelle Trends und Herausforderungen rund um Sicherheitsresilienz und die Akzeptanz durch Mitarbeitende. Beide Experten gaben Empfehlungen, wie sich die allgemeine Sicherheit durch strategische und durchdachte Sicherheitskontrollen verbessern lässt.

Schapiro eröffnete das Gespräch, indem er die Bedrohung durch Software-as-a-Service-Technologien (SaaS) hervorhob.

„Die meisten Unternehmen ignorieren oder unterschätzen die Bedrohung durch ihre aktuelle SaaS-Landschaft völlig“, sagte Schapiro. „Sie setzen im Grunde blindes Vertrauen in ihre SaaS-Anbieter und geben die volle Kontrolle über ihren Perimeter auf. Das ist einer der größten Fehler, die Unternehmen machen. Sie lassen zu, dass ihr Perimeter zu einem dünnen Zaun mit vielen Löchern wird – Löchern, die Hacker letztlich ausnutzen können. Als Branche müssen wir zur Realität aufschließen.“

Auch Sjut betonte die Bedeutung von Perimetern und wies darauf hin, dass die starke Verlagerung hin zu Cloud-Anwendungen Perimeter undurchsichtiger gemacht hat. Sein Hauptanliegen war jedoch, dass Menschen deutlich mobiler geworden sind. „Wenn wir nicht alle mit dedizierten, speziellen Geräten ausstatten wollen, müssen wir uns den Herausforderungen einer Bring-Your-Own-Device-Umgebung (BYOD) stellen. In Verbindung mit diesen Cloud-Tools bedeutet das, dass wir mehr Angriffsvektoren auf den Geräten und über Anwendungen haben.“

BYOD-Geräte können zwar Sicherheitsrisiken darstellen, doch Organisationen können ihre Abwehr mit Tools wie Passwort-Managern stärken. Bitwarden bietet plattformübergreifenden Zugriff für mobile Apps, Browser- und Desktop-Anwendungen und ermöglicht so eine Umgebung mit unbegrenzt vielen Passwörtern und Geräten.

Die meisten Organisationen müssen viele bewegliche Teile koordinieren, um ihre Sicherheit zu stärken. Damit wichtige Dinge nicht übersehen werden, ist Schapiro der Ansicht, dass „Unternehmen sicherstellen müssen, dass jede Anwendung, die in ihren Stack aufgenommen wird, eine föderierte Authentifizierung über ihren primären Identitätsanbieter nutzt. Eines der Worst-Case-Szenarien sind Konten oder Anwendungen, die nicht ausreichend verstanden werden und aktiv bleiben, nachdem ein Mitarbeiter die Organisation verlassen hat.“

Sjut betont, dass Sicherheit nicht auf „eine Enterprise-Funktion“ beschränkt sein sollte. „Als Branche sollten wir uns alle für integrierte Sicherheit einsetzen, damit wir nicht in eine Situation geraten, in der wir Löcher mit vielen verschiedenen Maßnahmen stopfen müssen.“

Sicherheitsfachleute müssen alle Bausteine zusammenführen und herausfinden, was für sie am besten funktioniert. Kontrollen sind entscheidend, um Geschäftsrisiken zu mindern und Sicherheit wirksam zu gewährleisten.

„Wir wollen die richtige Balance zwischen Sicherheit und Produktivität finden. Ich glaube, ein Fehler, den viele Unternehmen machen, besteht darin, ein Sicherheitsziel auf die Agenda zu setzen, das Menschen daran hindern kann, produktiv zu sein. Langfristig macht sie das weniger sicher, weil Mitarbeitende ihre eigene Schatten-IT aufbauen, die vollständig außerhalb der Sicherheitskontrollen des Unternehmens liegt. Aus unserer Sicht geht es um Balance, verbunden mit einem risikobasierten Ansatz.“ – Bjoern Sjut

Wenn Organisationen möchten, dass ihre Sicherheitsabteilungen wirksam arbeiten, müssen sie Nutzer unterstützen und ihnen ermöglichen, ihre Aufgaben effizient zu erledigen.

„Es ist immer wichtig, als IT-Abteilung ansprechbar zu sein. Sie möchten eine Umgebung schaffen, in der der Weg des geringsten Widerstands für die Nutzer nicht Ihre Sicherheit umgeht.“ – Schlomo Schapiro

Mitarbeitende, die relevante Arbeitsdateien nicht mit Kunden oder Teammitgliedern teilen können, umgehen Sicherheitsprotokolle mit größerer Wahrscheinlichkeit. Der einzige Schutz dagegen besteht darin, sicherzustellen, dass „Mitarbeitende sich in ihrer Produktivität unterstützt fühlen. Es geht wirklich um Zusammenarbeit und darum, die richtige Balance zwischen Produktivität und Sicherheit zu finden (Sjut).“

Passwort-Manager können Nutzern helfen, den schmalen Grat zwischen Sicherheit und Produktivität zu meistern. Sie bieten einen schnellen und effizienten Weg, Passwörter zu erstellen, zu verwalten und zu sichern. Renommierte Passwort-Manager wie Bitwarden enthalten außerdem MFA-Tools, die Nutzer für eine zusätzliche Sicherheitsebene einsetzen können, etwa den integrierten Bitwarden Authenticator oder die eigenständige Bitwarden Authenticator-App.

Menschen neigen von Natur aus dazu, Reibung zu vermeiden – auch Reibung, die durch Sicherheitsrichtlinien entsteht. Fowler fragte Schapiro und Sjut, wie sie Mitarbeitende am besten dazu motivieren, Sicherheitsbest Practices nicht zu umgehen.

„Meine persönliche Empfehlung ist, Ihre Nutzer als Citizen Developers zu betrachten. Es ist wichtig, Ihren Mitarbeitenden zu ermöglichen, die von Ihnen bereitgestellten Systeme zu nutzen. Es ist wichtig, ansprechbar zu sein, aktiv Hilfe anzubieten und User Enablement an erste Stelle zu setzen.“ – Schlomo Schapiro

Sjut merkte an, dass es in vielen Unternehmen für Nutzer schwierig sein kann herauszufinden, wie sie Zugriff auf ein benötigtes Tool erhalten. Dies ist besonders in mittelständischen Unternehmen verbreitet, da das Unternehmen zwar groß genug sein kann, um den Überblick über alle verfügbaren Tools zu verlieren, aber nicht groß genug, um eine unternehmensweite Kontrolle zu haben.

„Meiner Meinung nach verwalten viele Unternehmen ihre IT falsch. Sie verwalten sie nicht als Verteidiger des Status quo. Sie verwalten sie eher wie eine Facility-Management-Einheit, die den Betrieb am Laufen hält. Nur sehr wenige IT-Organisationen verfolgen das Ziel, Menschen produktiver zu machen.“ – Bjoern Sjut

Schapiro betonte, wie wichtig es ist, Kontrolle über SaaS-Perimeter zu haben und einen soliden Plan für die Wiederherstellung von Backups bereitzuhalten – einschließlich regelmäßiger Testläufe, um sicherzustellen, dass alle ihre Rolle verstehen. Organisationen müssen sich darauf konzentrieren, kritische Systeme zu schützen und instand zu halten, um Sicherheitsverletzungen zu verhindern und sicherzustellen, dass sie funktionsfähig und vor potenziellen Angriffen geschützt bleiben.

Sjut sagte, dass viele Unternehmen zusätzlich zu Backups kein wirklich solides Verständnis von Identität haben, auch nicht in Bezug auf Personen, mit denen sie zusammenarbeiten, etwa Freelancer.

„Die Anzahl persönlicher Google-Konten, die zur Verwaltung von Google-Analytics-Daten verwendet werden, ist für mich verblüffend“, sagte Sjut. „Die meisten Unternehmen müssen sich mit digitalen Identitäten auseinandersetzen. Mein allgemeiner Eindruck ist, dass es innerhalb der Organisation selten jemanden gibt, der sich für digitale Identitäten verantwortlich fühlt. Unternehmen müssen ihren zentralen Identitätsanbieter verstehen, wissen, wie die Identitäten funktionieren und ob sie diese unter Kontrolle haben. Je mehr Menschen sich auf einem privat genutzten Gerät bei Cloud-Anwendungen anmelden, ohne dass der Arbeitgeber diese Identität versteht, desto schwieriger ist es, Schäden zu begrenzen.“

Sicherheitskontrollen lassen sich grob in drei Haupttypen unterteilen: physische, technische und administrative Kontrollen. Jeder Typ spielt eine entscheidende Rolle bei der Schaffung eines umfassenden Sicherheitsrahmens. Durch die Integration dieser drei Kontrolltypen können Organisationen eine mehrschichtige Verteidigungsstrategie entwickeln, die verschiedene Sicherheitsaspekte abdeckt.

• Physische Kontrollen umfassen Maßnahmen wie Zutrittskontrollsysteme, Überwachungskameras und Alarmsysteme. 

• Technische Kontrollen umfassen Tools und Technologien wie Passwort-Manager, Firewalls, Intrusion-Detection-Systeme und Verschlüsselung. 

• Administrative Kontrollen umfassen Richtlinien, Verfahren und Schulungsprogramme, die darauf ausgelegt sind, die gesamte Sicherheitslage einer Organisation zu verwalten und zu steuern. 

Technische Sicherheitskontrollen sind entscheidend für den Schutz der digitalen Ressourcen einer Organisation, einschließlich Computersystemen, Netzwerken und Daten. Diese Kontrollen umfassen eine Reihe von Technologien und Praktiken, die darauf ausgelegt sind, Cyberbedrohungen zu verhindern, zu erkennen und darauf zu reagieren, darunter Verschlüsselung, Firewalls, Zugriffskontrollen, Virenschutz und Malware-Erkennung. Sie sind unverzichtbar, um vor Cyberbedrohungen wie Hacking, Malware und Ransomware zu schützen und die Integrität und Vertraulichkeit digitaler Ressourcen sicherzustellen.

Passwort-Manager wie Bitwarden bieten Berichte über den Zustand von Passwörtern, kompromittierte oder wiederverwendete Passwörter, schwache Passwörter, unsichere Websites, inaktive Zwei-Schritt-Anmeldungen und bekannte Datenschutzverletzungen.

Administrative Sicherheitskontrollen sind Maßnahmen, die darauf ausgelegt sind, die Sicherheitslage einer Organisation durch Richtlinien, Verfahren und Schulungen zu verwalten und zu steuern. Diese Kontrollen sind unerlässlich, um das Verhalten von Mitarbeitenden zu lenken und die Einhaltung von Sicherheitsstandards sicherzustellen. Administrative Sicherheitskontrollen sind entscheidend, um vor Insider-Bedrohungen, Social Engineering und Compliance-Verstößen zu schützen und einen umfassenden Ansatz für das Sicherheitsmanagement sicherzustellen.

• Klare Leitlinien zu Sicherheitsrichtlinien und -verfahren helfen Mitarbeitenden, ihre Rollen und Verantwortlichkeiten bei der Aufrechterhaltung der Sicherheit zu verstehen, und stellen eine einheitliche Anwendung von Sicherheitsmaßnahmen sicher.

• Die Schulung von Mitarbeitenden zu bewährten Sicherheitspraktiken und potenziellen Bedrohungen trägt dazu bei, eine sicherheitsbewusste Kultur zu schaffen und das Risiko menschlicher Fehler zu verringern.

• Pläne zur Reaktion auf Vorfälle ermöglichen es Organisationen, schnell auf Sicherheitsvorfälle zu reagieren, Schäden zu minimieren und eine koordinierte Reaktion sicherzustellen.

• Die Einhaltung von Compliance- und regulatorischen Anforderungen wie HIPAA und PCI-DSS stellt sicher, dass Organisationen ihren gesetzlichen Verpflichtungen nachkommen und sensible Informationen schützen.

• Die regelmäßige Identifizierung und Minderung von Sicherheitsrisiken hilft Organisationen, potenzielle Bedrohungen zu vermeiden und eine robuste Sicherheitslage aufrechtzuerhalten.

Sicherheitskontrollen sind unverzichtbare Maßnahmen, die Organisationen implementieren müssen, um ihre Ressourcen vor einer Vielzahl von Sicherheitsrisiken und Bedrohungen zu schützen. Das Verständnis der verschiedenen Arten von Sicherheitskontrollen – physische, technische und administrative – und ihrer Funktionen ist entscheidend für die Entwicklung einer wirksamen Sicherheitsstrategie. Darüber hinaus kann das Bewusstsein für häufig übersehene Bereiche wie Schulungen zum Sicherheitsbewusstsein und physische Sicherheitskontrollen Organisationen dabei helfen, potenzielle Schwachstellen zu beheben. Durch einen umfassenden Ansatz mit einer Kombination dieser Kontrollen können Organisationen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen und Ressourcen sicherstellen und dadurch ihre allgemeine Sicherheitsresilienz stärken.