Organisationen verteidigen ihre Unternehmenswerte und Systeme vor einer Vielzahl interner und externer Bedrohungen. Sowohl für Organisationen, die bereits eine bestehendes Sicherheitskonzept umsetzen als auch solche, die beim Thema IT-Sicherheit ganz am Anfang stehen, stellt sich folgende Frage: Welche Sicherheitsmaßnahmen haben die größtmöglichen direkten Auswirkungen auf die allgemeine IT-Sicherheit? Antwort darauf geben die Critical Security Controls von CIS, einer Nonprofit-Organisation rund um das Thema IT-Sicherheit. Die 5 unmittelbar effektivsten Maßnahmen und damit Quick Wins sind lt. Maßnahmenkatalog von CIS:

1: Application Whitelisting Beim Application Whitelisting handelt es sich um eine Maßnahme zur Einschränkung auf erlaubte Software. Nur jene Programme dürfen (und können) ausgeführt werden, die vorher in der sogenannten Whitelist als erlaubt definiert wurden. Programme, die nicht definiert wurden, können im System nicht ausgeführt werden.

2: Einsatz und Standardisierung sicherer Systemeinstellungen Für jedes installierte Betriebssystem und verwendete Applikation sollen Sicherheitseinstellungen festgelegt und infrastrukturweit als Standard definiert und umgesetzt werden. Die Einstellungen müssen regelmäßig evaluiert und gegebenenfalls angepasst und zum neuen Standard erhoben werden.

3: Einspielen von Programmaktualisierungen innerhalb von 48 Stunden ab Verfügbarkeit Gemeint sind hier beispielsweise: Java, PDF-Betrachter, Flash, Webbrowser, etc.

Bis eine Sicherheitslücke bekannt wird, kann es dauern. Wenn sie bekannt ist, kann es schnell gehen. Daher verringert rasches Handeln die Eintrittswahrscheinlichkeit eines Sicherheitsvorfalls.

4: Einspielen von Systemaktualisierungen innerhalb von 48 Stunden ab Verfügbarkeit Hier geht es um das Aktuellhalten von Betriebssystemen und das Einspielen kritischer Sicherheits-Updates.

siehe Punkt 3.

5: Reduzieren der Anzahl an Benutzern mit Administrationsrechten und Etablieren eines Berechtigungskonzepts Generell gilt, dass Benutzer nur genau jene Berechtigungen haben sollen, die sie in der täglichen Arbeit tatsächlich brauchen. Auch Administratoren benötigen nicht für alles Administrationsrechte. Ein Einschränken von Berechtigungen bedeutet auch ein Eingrenzen von Schadensauswirkungen.

Ist das alles? Nein, das ist ein Anfang und zwar ein sehr wirkungsvoller. Diese 5 Maßnahmen fallen unter insgesamt 6 Basis-Maßnahmen. Diese Basismaßnahmen werden durch 10 grundlegende und vier organisationale Maßnahmen ergänzt. Der Vollständigkeit halber sei hier auch noch die 6te Basismaßnahme genannt: Wartung, Monitoring und Audit-Log-Analyse. Also das aktuell Halten und Beobachten von Systemen sowie die Auswertung von System- und Auditprotokollen.

IT-Sicherheit ist kein Ergebnis sondern ein Prozess und daher nichts, mit dem man fertig ist, wenn man sich ihr einmal gewidmet hat. Mit diesen 5 (ersten?) Schritten sind Sie auf einem guten Weg. Viel Erfolg bei der Umsetzung!