Splunk wurde von Forrester, Gartner® und IDC als Leader im SIEM-Bereich ausgezeichnet – und darauf sind wir stolz. Ladet euch den neuesten Magic Quadrant herunter, um die Gründe dafür zu erfahren. Report abrufen →
Erfahrt mehr über die Sicherheitsprodukte und -lösungen von Splunk:
Heutzutage ist Sicherheit für Unternehmen wichtiger als der Umsatz. Wenn eure Firma maximal viele Vertragsverlängerungen erzielen muss, verkauft ihr das Produkt nicht nur einmal – ihr verkauft es Tag für Tag. Sobald eure Sicherheit gefährdet ist oder Dienste ausfallen, denken eure Kunden und Anwender garantiert darüber nach, zur Konkurrenz abzuwandern. Deshalb benötigt ihr eine starke Sicherheitsstrategie auf Basis der CIA-Triade: Confidentiality, Integrity & Availability (Vertraulichkeit, Integrität & Verfügbarkeit).
Die CIA-Sicherheitstriade leitet Informationssicherheitsstrategien und gibt Orientierung bei der Implementierung von Sicherheitsrahmenwerken und der Bedrohungsaufklärung im Cybersecurity-Bereich. Sicherheitsexperten unterstreichen die aktuelle Relevanz dieser Konzepte, auch wenn Aktualisierungen nötig sein könnten.
Am besten sehen wir uns das genauer an.
Dies ist ein umfassender Artikel, fassen wir ihn deshalb kurz zusammen:
Die CIA-Triade, die die wichtigsten Eigenschaften von Informationen identifiziert und so jede Organisation schützt, ermöglicht es Sicherheitsteams, Risiken effektiv und quantitativ zu analysieren. Ja, es gibt in der Branche Diskussionen darüber, ob diese Konzepte eine Überarbeitung benötigen. Darauf gehen wir später ein.
Zunächst fragt ihr euch vielleicht, warum Sicherheit so wichtig ist – oder warum sie so schwer zu erreichen ist.
Ein Grund für die wachsenden Bedeutung von Cybersicherheit ist die Zunahme der Cyberkriminalität. Cyberangriffe nehmen heutzutage zu, entwickeln sich weiter und verursachen größere Schäden. Sie zielen auf alles Mögliche ab – von kritischer Infrastruktur bis hin zu persönlichen Daten. Diese Angriffe nehmen mit der wachsenden Nutzung von Cloud-Diensten, vernetzten Geräten und Remote-Arbeit zu. Zu den bemerkenswertesten Angriffen zählten zum Beispiel:
Klar, den Schutz der eigenen Daten bekommt man doch noch hin, oder? Passwortmanager, Multi-Faktor-Authentifizierung, USB-Sticks, Sicherheitsschlüssel, VPNs.
Stellt euch nun vor, ihr seid der Chief Information Security Officer (CISO) eines großen, multinationalen Unternehmens. Sicherheit wirkt dadurch plötzlich viel anspruchsvoller. Wenden wir uns nun den Grundlagen der Cybersicherheit zu.
Vertraulichkeit steht an erster Stelle, und zwar aus gutem Grund, sagt Larry Kinkaid von BARR Advisory:
„Sicherheitsstrategien legen den Hauptfokus meist darauf, Daten vor neugierigen Blicken zu schützen. Auf der grundlegendsten Ebene bedeutet dies, dass Benutzer ihre Identität authentifizieren und nachweisen müssen, wer sie sind. Das System bestimmt dann, ob sie zum ,Lesen‘ berechtigt sind. Deshalb gibt es Verschlüsselung schon seit langer Zeit, um Daten sowohl im Ruhezustand als auch während der Übertragung zusätzlich zu schützen.“
Vertraulichkeit lässt sich also als Schutz von Informationen vor unberechtigtem Zugriff zusammenfassen. Welche Arten von Informationen? Einige:
Dann stellt sich die Frage, wie sich vertrauliche Daten vor unberechtigtem Zugriff schützen lassen? Betrachten wir zunächst, wie Vertraulichkeit verletzt wird. Anschließend schauen wir, wie sie sich gewährleisten lässt.
Eine Sicherheitsverletzung liegt vor, wenn Unbefugte Zugriff auf vertrauliche Daten erhalten. Dies kann auf verschiedene Weise geschehen, etwa durch Datenlecks, Insider-Bedrohungen, Social-Engineering-Angriffe und sogar Brute-Force-Attacken.
Ein Datenleck kann beispielsweise entstehen, wenn ein Angreifer Zugriff auf eine Datenbank mit sensiblen Informationen wie Kreditkartennummern und personenbezogenen Daten (PII) erhält. Ein Insider-Angriff liegt vor, wenn ein Angestellter fahrlässig oder absichtlich auf sensible Informationen zugreift und diese weitergibt.
Bei einem Social-Engineering-Angriff bringt ein Angreifer einen Mitarbeiter dazu, sensible Informationen wie Anmeldedaten preiszugeben. Phishing ist dafür ein häufig vorkommendes Beispiel.
In allen Beispielen ist die Vertraulichkeit der sensiblen Informationen gefährdet: Unbefugte können darauf zugreifen und sie möglicherweise missbrauchen. Auch wenn kein Schaden entsteht, stellt dies eine Schwachstelle dar, die ihr berücksichtigen müsst.
(Untersucht Schwachstellen, Bedrohungen und Risiken – ein weiteres grundlegendes Sicherheitsprinzip.)
Unternehmen können verschiedene Maßnahmen ergreifen, um Vertraulichkeit sicherzustellen.
Als Nächstes folgt die Integrität. Integrität (oder Datenintegrität) bezeichnet die Genauigkeit und Konsistenz von Daten sowie die Vollständigkeit und Zuverlässigkeit von Systemen. Dies bedeutet, dass Daten vollständig und genau ihrer ursprünglichen Form entsprechen. Für Systeme bedeutet Integrität, dass sie frei von Beschädigungen, Manipulationen oder unbefugten Veränderungen sind.
Die Gewährleistung der Integrität von Daten und Systemen ermöglicht es Unternehmen, fundierte und zuverlässige Entscheidungen auf Basis ihrer Daten zu treffen. Zudem hilft sie, Betriebsfehler, Sicherheitsverletzungen und Verluste zu vermeiden, die der Firma schaden könnten.
Traditionell stand Integrität hinter Vertraulichkeit erst an zweiter Stelle, doch moderne Ansätze verflechten beide miteinander.
Eine Integritätsverletzung liegt vor, wenn Daten verändert werden. Dies kann auf verschiedene Weise geschehen:
Zur Gewährleistung der Integrität eignen sich zunächst logische Zugangskontrollen wie regelmäßige Zugriffsüberprüfungen und das Prinzip der geringsten Privilegien. Diese Kontrollen sichern die Integrität der Informationen durch Autorisierung ausschließlich bestimmter Personen. Kinkaid weist darauf hin, dass Datenverschlüsselung für die Integrität nützlich sein kann:
„Verschlüsselung gilt oft als Kontrolle für Vertraulichkeit, sie soll aber auch sicherstellen, dass Daten während der Übertragung nicht verändert werden, und sie unterstützt das Prinzip der Nichtabstreitbarkeit.“
Unternehmen können Prüfsummen oder kryptografische Hash-Werte verwenden, um zu überprüfen, ob Daten unverändert und unversehrt sind. Zusätzlich können sie Transaktionsprotokolle oder Prüfpfade einsetzen, um Änderungen an Daten und Systemen nachzuverfolgen. So erkennen sie unbefugte oder fehlerhafte Änderungen und können diese korrigieren.
Schließlich können Richtlinien und Verfahren für das Datenmanagement wie regelmäßige Back-ups und Zugangskontrollen die Daten- und Systemintegrität absichern.
Verfügbarkeit bezeichnet die Aufrechterhaltung des Zugriffs auf Ressourcen bei Bedarf – auch unter Belastung (wie etwa bei Naturkatastrophen) oder nach gezielten Cyberangriffen. Diese Definition fühlt sich wie ein bewegliches Ziel an, das geht vielen so. Kinkaid stellt fest, dass sich das Konzept der „Verfügbarkeit“ in den letzten Jahren am stärksten gewandelt hat.
Heute beeinflusst Verfügbarkeit praktisch jede Diskussion über Betriebszeit und Serviceverfügbarkeit. (Natürlich erleben wir auch andere Natur- und Sicherheitskatastrophen). Verfügbarkeit spielt eine zentrale Rolle in Konzepten wie:
„Während diese Pläne immer schon existiert haben“, weist Kinkaid darauf hin, „dass sie heute viel formaler und ausgereifter sind und oft so erstellt werden, dass sie im Wesentlichen kundenorientiert sind. Ein starkes Sicherheitsprogramm, das die Verfügbarkeit berücksichtigt, schafft Mehrwert und kann ein Unterscheidungsmerkmal im Vergleich mit der Konkurrenz sein.“
Zu den häufigsten Ursachen für Verfügbarkeitseinbrüche gehören Hardware- oder Softwareausfälle, Netzwerkstörungen, Stromausfälle, Naturkatastrophen und Cyberangriffe.
Ein Hardwareausfall kann zum Absturz eines Servers führen und dafür sorgen, dass User nicht mehr auf ihre Daten oder Dienste zugreifen können. Netzwerkausfälle können Benutzer daran hindern, über das Internet auf Daten oder Systeme zuzugreifen. Stromausfälle können den Zugriff auf Daten oder Systeme verhindern, die elektrische Energie benötigen. Eine Naturkatastrophe wie eine Überschwemmung oder ein Erdbeben kann physische Schäden an Rechenzentren oder anderen kritischen Infrastrukturen verursachen. Auch das verhindert den Zugriff auf Daten und Systeme. Ein Cyberangriff wie eine Denial-of-Service-Attacke kann ein System mit Datenverkehr überlasten und legitime Benutzer am Zugriff hindern.
Die Gewährleistung der Verfügbarkeit muss in vielen Bereichen der Netzwerk- und Software-Entwicklung Berücksichtigung finden:
(Erfahrt mehr über das Verfügbarkeitsmanagement.)
Die CIA-Triade erweist sich auch heute noch als grundlegend und nützlich. Betrachten wir zwei Diskussionen in der Sicherheitsbranche: Ob dem Konzept weitere InfoSec-Eigenschaften hinzugefügt werden sollten und wie praktikabel es ist, wenn jeder ein digitaler Nutzer ist. Mit der Entwicklung der Bedrohungen entwickeln sich jedoch auch die Frameworks und Tools zu deren Abwehr. Lasst uns in diesem Zusammenhang NIST ansprechen.
Das NIST (National Institute of Standards and Technology) spielt eine zentrale Rolle bei der Entwicklung von Cybersicherheits-Standards. Die Special Publication (SP) 800-12 Rev 1 zählt zu ihren wichtigsten Beiträgen mit umfassenden Richtlinien zur Sicherung von Informationssystemen. Sie konzentriert sich auch auf die Notwendigkeit, Sicherheitskontrollen über verschiedene Technologieebenen hinweg zu integrieren – von Hardware bis Software. Dies gewährleistet letztlich einen ganzheitlichen Schutzansatz.
NIST stellt sicher, dass Unternehmen nicht nur Best Practices befolgen, sondern auch über praxiserprobte Cybersicherheitslösungen verfügen. Das Cybersecurity-Framework von NIST basiert auf fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Zu ihren Initiativen zählt das NCCoE (National Cybersecurity Center of Excellence), das eine Laborumgebung zur Entwicklung von Lösungen für reale Probleme bietet. Dies beinhaltet die Erkennung von Angriffen auf die Datenintegrität und die Planung von Reaktionsmaßnahmen.
Das NCCoE arbeitet mit verschiedenen Technologieanbietern und Unternehmen wie Cisco, GreenTec, Tripwire und Semperis zusammen, um Lösungen gegen sich entwickelnde Cyberbedrohungen zu schaffen. Das soll Unternehmen bei der Verbesserung ihrer Cyberabwehr unterstützen.
Sicherheitsexperten wissen natürlich, dass Computersicherheit nicht bei der CIA-Triade endet. ISO-7498-2 enthält zwei weitere Eigenschaften für Computersicherheit:
Manche Leute argumentieren, dass die CIA-Triade um weitere Komponenten wie Nichtabstreitbarkeit oder physische Sicherheit erweitert werden sollte.Walter Haydock, Gründer und CEO von StackAware, widerspricht unter Verweis auf Redundanz:
„Geschäftskritische und lebenserhaltende Systeme wie Betriebstechnik in Kraftwerken und medizinische Geräte sind auf Datenintegrität und Verfügbarkeit angewiesen, um korrekt zu funktionieren. Der Schutz von Leib und Leben ergibt sich daraus als nachgelagerter Effekt. Und im militärischen und nachrichtendienstlichen Kontext kann Datenvertraulichkeit oft über Leben und Tod entscheiden.“
Trotz der kontinuierlichen Entwicklung von Cyberbedrohungen und Technologie bleibt die CIA-Triade laut Haydock ein einfaches und effektives Framework für InfoSec.
Cybersicherheit beschränkt sich nicht mehr nur auf NOCs und SOCs. Sie fließt in jede Entscheidung ein, die wir treffen – von der Auswahl eines Unternehmensanbieters für einen Fünfjahresvertrag bis hin zum Download einer Fitness-App auf dem Smartphone. Das gilt besonders für moderne Arbeitsplätze, die auf eine Vielzahl von Drittanbietern und Software angewiesen sind.
Das bedeutet, dass jeder einzelne Mitarbeiter im Unternehmen Verantwortung für die Sicherheit übernehmen muss.Andreas Grant, ein Netzwerkingenieur im Sicherheitsbereich, sagt, dass interne Bedrohungen ein „offenes Geheimnis“ sind, was die Cybersicherheit zu einem noch größeren Problem macht. Berücksichtigt die CIA-Triade auch Endnutzer wie die Angestellten in eurer Firma? Grant argumentiert:
„Die CIA-Triade bereitet die Anwender in keiner Weise darauf vor, mit unerfahrenen Endnutzern umzugehen. Während Menschen mit böswilligen Absichten anders sind, sollte es eine Absicherung für unerfahrene Personen geben. Eine Cybersicherheits-Infrastruktur muss auch ihre Nutzer und deren grundlegendes Verständnis von Cybersicherheit berücksichtigen. Zumindest in großen Unternehmen muss es Schulungen geben, um interne Angriffe zu verhindern. Leider wird dies meist erst nach einer Datenpanne in Betracht gezogen.“
Letztlich ist Grant davon überzeugt, dass auch das Verhalten der Endnutzer Berücksichtigung finden muss. „Ich habe immer wieder gesehen, wie eine superstarke Infrastruktur durcheinandergebracht wurde“, fährt er fort, „nur weil die Angestellten es nicht besser wussten.“
Wer die in diesem Artikel dargelegten Best Practices befolgt (einschließlich der kontinuierlichen Schulung aller Beteiligten), verschafft sich die bestmögliche Position. Dennoch weiß jeder Sicherheitsexperte, dass hundertprozentige Sicherheit nie möglich ist.
Ihr habt einen Fehler entdeckt oder eine Anregung? Bitte lasst es uns wissen und schreibt eine E-Mail an ssg-blogs@splunk.com.
Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.
Weltweit führende Unternehmen verlassen sich auf Splunk, ein Cisco-Unternehmen, um mit unserer Plattform für einheitliche Sicherheit und Observability, die auf branchenführender KI basiert, kontinuierlich ihre digitale Resilienz zu stärken.
Unsere Kunden vertrauen auf die preisgekrönten Security- und Observability-Lösungen von Splunk, um ihre komplexen digitalen Umgebungen ungeachtet ihrer Größenordnung zuverlässig zu sichern und verbessern.