Prävention und Härtung im E-commerce

Digitale Sicherheit erlangt heutzutage immer mehr Bedeutung. Was man damals als “nice-to-have” beschrieben hat, wird nun gesetzlich verpflichtet.
Ganz neu – die NIS 2 Directive (Network-Informationsecurity) ist eine EU weite Richtlinie, die eine bessere Vorbereitung auf Cyberbedrohungen und strengere Schutzmaßnahmen gegen potentielle Angriffe fordert. Sie richtet sich an Unternehmen in kritischen Sektoren, die mindestens 50 Beschäftigte oder 10 Mio Jahresumsatz haben.

Doch nicht nur NIS2 verpflichtet zu erhöhten Sicherheitsmaßnahmen und -kontrollen. Der CRA (Cyber Resilience Act) oder EU AI Act beinhalten neue Sicherheitsanforderungen.
Neben regelmäßigen Schwachstellenanalysen, Mitarbeiterschulungen und der Entwicklung eines Maßnahmenplans bei Vorfällen soll die Sicherheit auch auf technischer Ebene verbessert werden.

Neben gesetzlichen Neuerungen stehen besonders die ISO27001 und der IT-Grundschutz im Fokus der Cybersicherheit. Jedoch haben besonders KMU einen Nachholbedarf bei der Compliance. Auch wenn ein Unternehmen nicht unter die Bedingungen eines Gesetzes fällt, ist es besonders wichtig, eine starke Resilienz aufzubauen.

Resilienz

“Resilienz ist Gemeinschaftsaufgabe” meint das BSI.
Resilienz beschreibt die Widerstandsfähigkeit eines Unternehmens oder einer Person gegen Cyberangriffe. Im weiten Sinne sind damit etablierte technische und organisatorische Maßnahmen sowie eine hinreichende Sensibilisierung gemeint.
Im Konkreten lässt sich Resilienz in drei Gruppen aufteilen:

Präventionsfähigkeit ist die Kompetenz, seine Angriffsfläche für Cyberangriffe durch präventive Maßnahmen zu verringern. Dies umfasst die technische Ausstattung, Managementsysteme und Awarenessmaßnahmen.
Verteidigungsfähigkeit ist die Kompetenz, bei einem Angriff angemessen reagieren zu können. Hier helfen Systeme zur Angriffserkennung wie Antivirenprogramme sowie etablierte Prozesse im Krisenfall.
Bewältigungsfähigkeit ist die Kompetenz, nach einem Angriff die Schadwirkungen so gering wie möglich zu halten und den Normalbetrieb schnell wieder einführen zu können. Hier helfen ein IT-Notfallplan und rückspielbare Backups.

Neben der Resilienz können für die Etablierung praktikabler Sicherheitsstandards in der Produktentwicklung Security Pattern wie Security by Design oder Security by Default unterstützen.

Präventionsfähigkeit

Die Präventionsfähigkeit kann vielfältig aufgebaut sein. Die ist von den drei Kompetenzen der Resilienz der erste Schutz vor Cyberangriffen.

Mit technischen Maßnahmen können Schwachstellen im System reduziert werden.
Eine regelmäßige Aktualisierung von Software und das frühe Einspielen von Software-Updates ist ein leicht umsetzbares und sehr effektives Mittel gegen Sicherheitslücken und Bugs. Wichtig ist hierbei, dass die Software des gesamten Unternehmens auf dem aktuellsten Stand gehalten wird.
Software kann auch mithilfe von Kontrolltools geschützt werden, die das System auf Viren oder Schwachstellen scannen und bei Verdacht automatisiert Maßnahmen ergreifen können. Antivirenprogramme und EDR-Systeme unterstützen dabei.
Das Verwenden eines Passwortmanagers ermöglicht einem Unternehmen, sowohl eine Passwortrichtlinie einzuführen, die sich beispielsweise an den Empfehlungen des BSI (verlinken) orientiert, als auch eine einfache Verwaltung von Mitarbeiter-Accounts.
Zu dem Managen von Mitarbeiter-Accounts ist auch eine Rechteverwaltung wichtig zu nennen. Zugriffsprivilegien ermöglichen Angreifern leicht, sich in einem Netzwerk ausbreiten zu können. Daher ist es besonders wichtig, das Prinzip der Least Privilegege einzuhalten. Benutzer und Maschinen sollen gerade so viele Rechte zugesprochen werden, dass sie ihre Aufgaben erfüllen können. Alles darüber hinaus ist ein vermeidbares Sicherheitsrisiko.
Neben Sicherheitslösungen für die Software oder den festen Standort sollte auch der Remote-Zugriff auf das Netzwerk ausreichend abgesichert werden. Daher sollte ein Unternehmen für alle Zugriffe von außerhalb eine sichere VPN-Verbindung etablieren und am Standort wichtige Netzwerke voneinander trennen.

Verteidigungsfähigkeit

Die Verteidigungsfähigkeit wird dann relevant, wenn die Präventionsfähigkeit nicht mehr ausreichte und ein Angriff ausgeführt wird.

Hierfür ist es wichtig, auf unterschiedliche Angriffsszenarien vorbereitet zu sein und ein Handlungsprotokoll inklusive Maßnahmen zu führen. Dieses Protokoll soll jedem Mitarbeiter bekannt und jederzeit einsehbar sein.

• Ransomware
  • keine Garantie für tatsächliche Freigabe verschlüsselter Daten oder Löschung gestohlener Daten nach Zahlung
  • Grundsätzlich ausgeleitete Daten als kompromittiert sehen
  • BSI rät von Lösegeldzahlung ab

Willst du wissen, ob du von NIS2 betroffen bist? Hier gibt es einen Test dazu.

Bewältigungsfähigkeit

• Best Practices teilen, gemeinschaftliches Ziel
• Mitarbeiter schulen
• Einige Best Practices:
  • Verwenden von starken und einzigartigen Passwörtern
  • Aktivieren von Multifaktor-Authentifizierung (MFA)
  • Vermeiden von zu viel Teilen auf sozialen Medien
  • Erkennen von Cyberbredohungen
  • Verwenden sicherer Methoden der Passwortfreigabe
  • Vermeiden von öffentlichem WLAN

KI als Präventionshilfe

• KI spielt eine immer wichtigere Rolle in Netzsicherheit
• Erkennung von Anomalien im Netzwerkverkehr, frühzeitige Warnung von möglichen Angriffen, Hinweisen auf potenzielle Sicherheitsverletzungen
  • Bsp DDoS-Angriffe (ungewöhnlich hohe Anzahl an Anfragen)
• Automatisierte Bedrohungserkennung in Echtzeit, automatische Reaktion für Schadensminimierung
• Überwachung von Nutzer- oder Systemverhalten gegen verdächtige Aktivitäten
• Analyse von Emails gegen Phishing
• Erkennung von Malware durch Analyse von verdächtigen Dateien