IT-Sicherheit (kurz für Informationstechnologiesicherheit) ist die Praxis, die IT-Assets eines Unternehmens – Computersysteme, Netzwerke, digitale Geräte, Daten – vor unbefugtem Zugriff, Datenverletzungen, Cyberangriffen und anderen bösartigen Aktivitäten zu schützen.
Der Umfang der IT-Sicherheit ist breit gefächert und umfasst häufig eine Mischung aus Technologien und Sicherheitslösungen, die zusammenarbeiten, um Schwachstellen in digitalen Geräten, Computernetzwerken, Servern, Datenbanken und Softwareanwendungen zu beheben. Zu den am häufigsten genannten Beispielen für IT-Sicherheit zählen Disziplinen der digitalen Sicherheit wie Endgerätesicherheit, Cloud-Sicherheit, Netzwerksicherheit und Anwendungssicherheit. Zur IT-Sicherheit gehören aber auch physische Sicherheitsmaßnahmen – z. B. Schlösser, Ausweise, Überwachungskameras –, die zum Schutz von Gebäuden und Geräten erforderlich sind, in denen sich Daten und IT-Ressourcen befinden.
IT-Sicherheit wird oft mit Cybersicherheit verwechselt, einer engeren Disziplin, die technisch gesehen eine Teilmenge der IT-Sicherheit darstellt. Während sich die Cybersicherheit in erster Linie auf den Schutz von Unternehmen vor digitalen Angriffen wie Ransomware, Malware und Phishing-Betrug konzentriert, umfasst die IT-Sicherheit die gesamte technische Infrastruktur eines Unternehmens, einschließlich der Hardwaresysteme, Softwareanwendungen und Endpunkte wie Laptops und mobile Geräte sowie das Unternehmensnetzwerk und seine verschiedenen Komponenten wie physische und cloudbasierte Rechenzentren.
Übernehmen Sie die Kontrolle über die Cyber-Resilienz Ihres Unternehmens mit empfohlenen Maßnahmen von IBM Security®.
Cyberangriffe und Sicherheitsvorfälle können einen enormen Tribut in Form von Geschäftseinbußen, Rufschädigung, Geldbußen und in einigen Fällen auch Erpressung und gestohlenen Assets fordern.
Im Bericht „Cost of a Data Breach 2023“ von IBM wurden beispielsweise über 550 Unternehmen untersucht, die zwischen März 2022 und März 2022 von einer Datenschutzverletzung betroffen waren. Die durchschnittlichen Kosten einer Datenschutzverletzung beliefen sich für diese Unternehmen auf 4,45 Millionen US-Dollar – ein Anstieg um 2,3 Prozent gegenüber den Ergebnissen einer ähnlichen Studie ein Jahr zuvor und um 15,3 Prozent gegenüber einer Studie aus dem Jahr 2020. Zu den Faktoren, die zu den Kosten beitragen, gehören alles von der Benachrichtigung von Kunden, Führungskräften und Aufsichtsbehörden bis hin zu Bußgeldern, Umsatzeinbußen während der Ausfallzeit und dem dauerhaften Verlust von Kunden.
Einige Sicherheitsvorfälle sind teurer als andere. Ransomware-Angriffe verschlüsseln die Daten eines Unternehmens, machen die Systeme unbrauchbar und erfordern ein teures Lösegeld für einen Entschlüsselungsschlüssel, um die Daten freizugeben. Zunehmend wird ein zweites Lösegeld verlangt, um die Weitergabe sensibler Daten an die Öffentlichkeit oder andere Cyberkriminelle zu verhindern. Laut dem definitiven Ransomware-Handbuch 2023 von IBM Security sind die Lösegeldforderungen auf sieben- und achtstellige Beträge angestiegen und betrugen in Extremfällen bis zu 80 Millionen US-Dollar.
Es war abzusehen, dass die Investitionen in IT-Sicherheit weiter steigen. Der Branchenanalyst Gartner prognostiziert, dass Unternehmen im Jahr 2023 188,3 Milliarden US-Dollar für Ressourcen und Dienstleistungen im Bereich Informationssicherheit und Risikomanagement ausgeben werden, wobei der Markt in den kommenden Jahren weiter wachsen und bis 2026 fast 262 Milliarden US-Dollar erwirtschaften wird, nach einer durchschnittlichen jährlichen Wachstumsrate von 11 Prozent ab 2021.1
Cloud-Sicherheit adressiert externe und interne Cyberbedrohungen für die cloudbasierte Infrastruktur, Anwendungen und Daten eines Unternehmens. Cloud-Sicherheit funktioniert nach dem Modell der geteilten Verantwortung: Im Allgemeinen ist der Cloud-Service-Provider (CSP) für die Sicherung der Infrastruktur verantwortlich, mit der er Cloud-Services bereitstellt, und der Kunde ist für die Sicherung dessen verantwortlich, was auf dieser Infrastruktur ausgeführt wird. Das heißt, die Details dieser geteilten Verantwortung variieren je nach Cloud-Service.
Endpunktgerätesicherheit schützt Endbenutzer und Endgeräte wie Desktops, Laptops, Mobiltelefone und Server vor Cyberangriffen. Endpunktsicherheit schützt Netzwerke auch vor Cyberkriminellen, die versuchen, mithilfe von Endpunktgeräten Cyberangriffe auf ihre sensiblen Daten und andere Assets zu starten.
Die Netzsicherheit hat drei Hauptziele: den unbefugten Zugriff auf Netzressourcen zu verhindern, Cyberangriffe und Sicherheitsverletzungen in Echtzeit zu erkennen und zu stoppen sowie sicherzustellen, dass autorisierte Benutzer sicheren Zugriff auf benötigte Netzressourcen haben, wenn dies erforderlich ist.
Anwendungssicherheit bezieht sich auf Maßnahmen, die Entwickler beim Erstellen einer App ergreifen, um potenzielle Schwachstellen zu beheben und Kundendaten und ihren eigenen Code vor Diebstahl, Verlust oder Gefährdung zu schützen.
Internetsicherheit schützt Daten und vertrauliche Informationen, die von Browsern oder Apps übermittelt, gespeichert oder verarbeitet werden. Internetsicherheit umfasst eine Reihe von Sicherheitspraktiken und -technologien, die den eingehenden Internetverkehr auf Malware und andere bösartige Inhalte überwachen. Zu den Technologien in diesem Bereich gehören Authentifizierungsmechanismen, Web-Gateways, Verschlüsselungsprotokolle und vor allem Firewalls.
Die Sicherheit des Internets der Dinge (IoT) konzentriert sich darauf, dass mit dem Internet verbundene Sensoren und Geräte – z. B. Türklingelkameras, intelligente Geräte, moderne Autos – nicht von Hackern kontrolliert oder von Hackern verwendet, werden, um das Netzwerk eines Unternehmens zu infiltrieren. Die Sicherheit im Bereich der Betriebstechnologie (OT) konzentriert sich speziell auf vernetzte Geräte, die Prozesse innerhalb eines Unternehmens überwachen oder steuern, z. B. Sensoren an einem automatisierten Fließband.
Jedes Unternehmen ist anfällig für Cyber-Bedrohungen von innerhalb und außerhalb. Diese Bedrohungen können absichtlich erfolgen, wie bei Cyberkriminellen, oder unbeabsichtigt, wie bei Mitarbeitern oder Auftragnehmern, die versehentlich auf schädliche Links klicken oder Malware herunterladen.
Die IT-Sicherheit zielt darauf ab, dieses breite Spektrum von Sicherheitsrisiken zu bewältigen und alle Arten von Bedrohungsakteuren und ihre unterschiedlichen Motivationen, Taktiken und Fähigkeiten zu berücksichtigen.
Malware ist eine bösartige Software, die infizierte Systeme unbrauchbar machen, Daten vernichten, Informationen stehlen und sogar Dateien löschen kann, die für das Betriebssystem kritisch sind.
Zu den bekannten Arten von Malware gehören:
Ransomware ist Malware, die die Daten oder das Gerät eines Opfers sperrt und droht, diese weiterhin gesperrt zu halten – oder Schlimmeres damit zu tun –, wenn das Opfer kein Lösegeld zahlt. Laut dem IBM Security X-Force Threat Intelligence Index 2023 machten Ransomware-Angriffe im Jahr 2022 17 Prozent aller Cyberangriffe aus.
Ein Trojanisches Pferd ist eine Malware, die Menschen dazu verleitet, sie herunterzuladen, indem sie sich als nützliches Programm tarnt oder sich in legitimer Software versteckt. Ein Remote-Access-Trojaner (RAT) schafft eine geheime Hintertür auf dem Gerät des Opfers, während ein Dropper-Trojaner zusätzliche Malware installiert, sobald er Fuß gefasst hat.
Spyware sammelt heimlich sensible Informationen wie Benutzernamen, Kennwörter, Kreditkartennummern und andere personenbezogene Daten und sendet sie an den Hacker zurück.
Ein Wurm ist eine sich selbst replizierende Malware, die sich automatisch zwischen Apps und Geräten verbreiten kann.
Social Engineering wird oft als „Human Hacking“ bezeichnet und manipuliert Opfer dazu, Maßnahmen zu ergreifen, die vertrauliche Informationen preisgeben, die Sicherheit ihrer Unternehmen gefährden oder das finanzielle Wohlergehen ihrer Unternehmen bedrohen.
Phishing ist die bekannteste und am weitesten verbreitete Art von Social-Engineering-Angriffen. Phishing-Angriffe nutzen betrügerische E-Mails, Textnachrichten oder Telefonanrufe, um Menschen dazu zu verleiten, personenbezogene Daten oder Zugangsdaten weiterzugeben, Malware herunterzuladen, Geld an Cyberkriminelle zu überweisen oder andere Handlungen vorzunehmen, durch die sie Opfer von Cyberkriminalität werden könnten. Zu den besonderen Arten von Phishing gehören:
Spear-Phishing – äußerst gezielte Phishing-Angriffe, bei denen eine bestimmte Person manipuliert wird, wobei oft Details aus den öffentlichen Social-Media-Profilen des Opfers verwendet werden, um die Täuschung überzeugender zu machen.
Whale-Phishingishing – Spear-Phishing, das auf Führungskräfte von Unternehmen oder vermögende Privatpersonen abzielt.
Business Email Compromise (BEC)– Betrug, bei dem sich Cyberkriminelle als Führungskräfte, Lieferanten oder vertrauenswürdige Geschäftspartner ausgeben, um Opfer dazu zu verleiten, Geld zu überweisen oder sensible Daten weiterzugeben.
Eine andere Social-Engineering-Taktik, das Tailgaiting, ist weniger technisch, aber nicht weniger bedrohlich für die IT-Sicherheit: Dabei wird eine Person mit physischem Zugang zu einem Rechenzentrum (z. B. jemand mit einem Ausweis) verfolgt (oder „beschattet“) und schleicht sich buchstäblich von hinten an, bevor sich die Tür schließt.
Bei einem DoS-Angriff wird eine Website, eine Anwendung oder ein System mit einer großen Menge an betrügerischem Datenverkehr überflutet, so dass es für legitime Benutzer zu langsam oder überhaupt nicht mehr verfügbar ist. Bei einem DDoS-Angriff (Distributed Denial of Service ) wird ein Netzwerk von mit dem Internet verbundenen, mit Malware infizierten Geräten – ein sogenanntes Botnet – verwendet, um die Zielanwendung oder das Zielsystem lahmzulegen oder zum Absturz zu bringen.
Ein Zero-Day-Exploit ist die Ausnutzung einer unbekannten oder noch nicht behobenen Sicherheitslücke in Computersoftware, -hardware oder -firmware. Der Begriff „Zero Day“ bezieht sich auf die Tatsache, dass der Software- oder Geräteanbieter „null Tage“ (auf Englisch „zero days“) bzw. keine Zeit hat, die Sicherheitslücke zu schließen, weil böswillige Akteure sie bereits nutzen können, um sich Zugang zu anfälligen Systemen zu verschaffen.
Insider-Threats stammen von Mitarbeitern, Partnern und anderen Benutzern mit autorisiertem Zugriff auf das Netzwerk. Ob unbeabsichtigt (z. B. ein Drittanbieter, der dazu verleitet wird, Malware zu starten) oder böswillig (z. B. ein verärgerter Mitarbeiter, der auf Rache aus ist) – Insider-Threats haben es in sich. Ein aktueller Bericht von Verizon (Link befindet sich außerhalb von ibm.com) zeigt, dass die durchschnittliche externe Bedrohung etwa 200 Millionen Datensätze kompromittiert, während die Bedrohung durch einen internen Bedrohungsakteur bis zu 1 Milliarde Datensätze gefährdet.
Bei einem MITM-Angriff belauscht ein Cyberkrimineller eine Netzwerkverbindung und fängt Nachrichten zwischen zwei Parteien ab und leitet sie weiter, um Daten zu stehlen. Ungesicherte WLAN-Netzwerke sind ein beliebtes Ziel für Hacker, die MITM-Angriffe starten.
Da die Bedrohungen der Cybersicherheit immer schneller und komplexer werden, setzen Unternehmen IT-Sicherheitsstrategien ein, die eine Reihe von Sicherheitssystemen, -programmen und -technologien kombinieren.
Unter der Aufsicht erfahrener Sicherheitsteams können diese IT-Sicherheitspraktiken und -technologien dazu beitragen, die gesamte IT-Infrastruktur eines Unternehmens zu schützen und die Auswirkungen bekannter und unbekannter Cyberangriffe zu vermeiden oder abzuschwächen.
Da viele Cyberangriffe, wie z. B. Phishing-Angriffe, menschliche Schwachstellen ausnutzen, ist die Schulung von Mitarbeitern zu einer wichtigen Verteidigungslinie gegen Insider-Threats geworden.
Schulungen zum Sicherheitsbewusstsein vermitteln Mitarbeitern die Möglichkeit, Sicherheitsbedrohungen zu erkennen und sichere Gewohnheiten am Arbeitsplatz anzuwenden. Zu den häufig behandelten Themen gehören die Sensibilisierung für Phishing, die Sicherheit von Passwörtern, die Bedeutung regelmäßiger Software-Updates und Fragen des Datenschutzes, z. B. wie Kundendaten und andere sensible Informationen geschützt werden können.
Für die Multi-Faktor-Authentifizierung sind zusätzlich zu einem Benutzernamen und einem Passwort eine oder mehrere Anmeldeinformationen erforderlich. Die Implementierung einer Multi-Faktor-Authentifizierung kann verhindern, dass ein Hacker Zugriff auf Anwendungen oder Daten im Netzwerk erhält, selbst wenn der Hacker in der Lage ist, den Benutzernamen und das Passwort eines legitimen Benutzers zu stehlen oder zu erhalten. Die Multifaktor-Authentifizierung ist für Unternehmen, die Single Sign-On verwenden, von entscheidender Bedeutung. Dadurch können sich Benutzer einmal bei einer Sitzung anmelden und während dieser Sitzung auf mehrere verwandte Anwendungen und Dienste zugreifen, ohne sich erneut anmelden zu müssen.
Reaktion auf Vorfälle, manchmal auch Incident Response oder Reaktion auf Cybersicherheitsvorfälle genannt, bezieht sich auf die Prozesse und Technologien eines Unternehmens zur Erkennung und Reaktion auf Cyberbedrohungen, Sicherheitsverletzungen und Cyberangriffe. Das Ziel der Incident Response ist es, Cyberangriffe zu verhindern, bevor sie stattfinden, und die Kosten und die Unterbrechung des Geschäftsbetriebs, die sich aus einem Cyberangriff ergeben, zu minimieren.
Viele Unternehmen erstellen einen formellen Notfallplan für die Reaktion auf Vorfälle (Incident Response Plan, IRP), in dem die Prozesse und die Sicherheitssoftware (siehe unten) festgelegt sind, die sie zur Erkennung, Eindämmung und Behebung der verschiedenen Arten von Cyberangriffen einsetzen. Laut dem Bericht „Cost of a Data Breach 2003“ lagen die Kosten einer Datenschutzverletzung bei Unternehmen, die einen formellen IRP erstellt und regelmäßig getestet haben, um 232.008 USD unter dem Durchschnitt (4,45 Millionen USD).
Kein einzelnes Sicherheitstool kann Cyberangriffe vollständig verhindern. Dennoch können verschiedene Tools dazu beitragen, Cyberrisiken zu mindern, Cyberangriffe zu verhindern und den Schaden im Falle eines Angriffs zu minimieren.
Zur gängigen Sicherheitssoftware zur Erkennung und Abwehr von Cyberangriffen gehören:
E-Mail-Sicherheitstools, einschließlich KI-basierte Anti-Phishing-Software, Spam-Filter und sichere E-Mail-Gateways
Antivirensoftware zur Neutralisierung von Spyware oder Malware, die Angreifer verwenden könnten, um die Netzwerksicherheit zu untersuchen, Gespräche abzuhören oder E-Mail-Konten zu übernehmen
System- und Software-Patches zum Schließen technischer Schwachstellen, die häufig von Hackern ausgenutzt werden
Sichere Web-Gateways und andere Webfilter-Tools zum Blockieren bösartiger Websites, die häufig mit Phishing-E-Mails verknüpft sind
Bedrohungserkennungs- und Reaktionslösungen nutzen Analysen, künstliche Intelligenz (KI) und Automatisierung, um Sicherheitsteams bei der Erkennung bekannter Bedrohungen und verdächtiger Aktivitäten zu unterstützen und Maßnahmen zu ergreifen, um die Bedrohung zu beseitigen oder ihre Auswirkungen zu minimieren. Zu diesen Technologien gehören Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).
Mit offensiver Sicherheit oder „OffSec“ wird eine Reihe proaktiver Sicherheitsstrategien bezeichnet, bei denen dieselben Taktiken wie böswillige Akteure bei realen Angriffen angewendet werden, um die Netzwerksicherheit zu stärken, statt sie zu schädigen.
Offensive Sicherheitsoperationen werden oft von ethischen Hackern durchgeführt, Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten einsetzen, um IT-Systemfehler zu finden und zu korrigieren. Zu den gängigen offensiven Sicherheitsmethoden gehören:
Schwachstellen-Scans– mit den gleichen Tools, die Cyberkriminelle verwenden, um ausnutzbare Sicherheitslücken und Schwachstellen in der IT-Infrastruktur und den Anwendungen eines Unternehmens zu erkennen und zu identifizieren.
Penetrationsprüfung– Starten eines simulierten Cyberangriffs, um Schwachstellen in Computersystemen, Reaktionsabläufen und dem Sicherheitsbewusstsein der Benutzer aufzudecken. Einige Datenschutzvorschriften, wie der Payment Card Industry Data Security Standard (PCI-DSS), schreiben regelmäßige Penetrationsprüfungen als Voraussetzung für die Einhaltung vor.
Red Teaming Beauftragung eines Teams ethischer Hacker, einen simulierten, zielgerichteten Cyberangriff auf das Unternehmen zu starten.
Offensive Sicherheit ergänzt Sicherheitssoftware und andere defensive Sicherheitsmaßnahmen – sie deckt unbekannte Cyberangriffswege oder -vektoren auf, die anderen Sicherheitsmaßnahmen möglicherweise entgehen, und liefert Informationen, die Sicherheitsteams nutzen können, um ihre defensiven Sicherheitsmaßnahmen zu verstärken.
Da sich die Begriffe „IT-Sicherheit“, „Informationssicherheit“ und „Cybersicherheit“ stark überschneiden, werden sie oft (und fälschlicherweise) synonym verwendet. Sie unterscheiden sich vor allem im Umfang.
- Unter Informationssicherheit versteht man den Schutz der digitalen Dateien und Daten, Papierdokumente, physischen Medien und sogar der menschlichen Sprache eines Unternehmens vor unbefugtem Zugriff, Offenlegung, Verwendung oder Änderung. Informationssicherheit hat den weitesten Umfang der drei Bereiche: Wie die IT-Sicherheit befasst sie sich mit dem Schutz physischer IT-Ressourcen und Rechenzentren, aber auch mit der physischen Sicherheit von Einrichtungen zur Aufbewahrung von Papierakten und anderen Medien.
- Die Cybersicherheit konzentriert sich auf den Schutz digitaler Daten und Assets vor Cyberbedrohungen – böswillige Handlungen externer und interner Bedrohungsakteure sowie unbeabsichtigte Bedrohungen durch unvorsichtige Insider. Cybersicherheit ist zwar ein enormes Unterfangen, hat aber den engsten Anwendungsbereich der drei, da es nicht um den Schutz von Papier- oder analogen Daten geht.
Schützen Sie Endgeräte vor Cyberangriffen, erkennen Sie anomales Verhalten und beheben Sie es nahezu in Echtzeit mit benutzerfreundlicher, intelligenter Automatisierung, die nur wenig bis gar keine menschliche Interaktion erfordert.
Schützen Sie Ihre Infrastruktur und Ihr Netzwerk vor hochentwickelten Cybersicherheitsbedrohungen mit bewährter Sicherheitsexpertise und modernen Lösungen für die Erkennung und Verhinderung von Eindringlingen, Endpunkt-Sicherheitsmanagement und mehr.
Schützen Sie Ihr gesamtes Netzwerk vor fortschrittlichen Bedrohungen und Malware mit Netzwerksicherheitslösungen der nächsten Generation, die selbst unbekannte Bedrohungen intelligent erkennen und sich anpassen, um sie in Echtzeit zu verhindern.
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren informiert zu sein, die Kosten erhöhen bzw. senken, hilft, besser vorbereitet zu sein. Lernen Sie aus den Erfahrungen von mehr als 550 Organisationen, die von einem Datenschutzverstoß betroffen waren.
SIEM (Security Information and Event Management) ist Software, die Unternehmen dabei hilft, potenzielle Sicherheitsbedrohungen und Schwachstellen zu erkennen und zu beheben, bevor sie den Geschäftsbetrieb stören können.
Wenn man gut über eine Bedrohung Bescheid weiß, kann man sie besser bekämpfen. Holen Sie sich umsetzbare Erkenntnisse, die Ihnen Aufschluss darüber geben, wie Bedrohungsakteure Angriffe durchführen und wie Sie Ihr Unternehmen proaktiv schützen können.
Fußnoten
1Die Ausgaben für Cybersicherheit werden voraussichtlich bis 2026 die 260-Milliarden-Dollar-Marke überschreiten (Link befindet sich außerhalb von ibm.com), Cybersecurity Dive, 16. Oktober 2022