CyberSecurity by design muss die Zukunft sein
Unter den Top 10 empfohlenen proaktiven Gegenmassnahmen zugunsten einer verbesserten CyberSecurity Resilienz gehören z.B. wiederkehrende Mitarbeitersensibilisierung und Trainings, aktuelle System und Updates (siehe spezieller Fokus in diesem Artikel), sichere Kennwörter- und Rechte-Richtlinien, mehrstufige und standortunabhängige (Cloud)Datensicherungen, integrierter Anti-Malware / Virenschutz, Datenverschlüsselung, sicheres Email, restriktive System- und Zugangs-Richtlinien, proaktives Monitoring und „state of the art“-Firewalls / Security Gateways.
Alle diese Massnahmen sollten im Rahmen eines „Business Contingency Planning“ / „Incident Response“ Prozesses implementiert, laufend geprüft und möglichst zeitnah gemäss „Stand der Technik“ angepasst werden.
Die Zeiten von „Set it & forget it“ sind vorbei – spätestens beim Status „end of life“
Damit die Angriffs- und Betriebs-Sicherheit eines ICT-Systems zugunsten einer möglichst hohen Resilienz (Widerstandsfähigkeit zugunsten der Verfügbarkeit und die Fähigkeit, Krisen zu bewältigen), Verfügbarkeit und Datenschutz / Datensicherheit aufrechterhalten werden kann, braucht es auch entsprechende Ersatzvornahmen von Software und Hardware – spätestens wenn die Hersteller den Support und/oder Updates einstellen für diese älteren oder gar veralteten Plattformen.
Aktuell betrifft diese mehrere Plattformen wie z.B. das PC- / Notebook-Betriebssystem Microsoft Windows 7 oder auch das Server-Betriebsystem Microsoft Windows Server 2008 / R2 und auch die Datenbankumgebung SQL Server 2008 / R2.
Aeltere oder herstellerseitig eingestellte Plattformen ohne Updates sind beliebte Angriffsziele
Es muss davon ausgegangen werden, dass die betroffenen Produkte ab dem „end of life“ Datum 14. Januar 2020 zunehmend stark im Fokus von Angreifern stehen werden. Dabei sollen vor allem bis dahin unentdeckte Sicherheitslücken (z.B. sogenannte „Zero Day Exploits“) ausgenutzt werden. Man hat in den vergangenen Monaten festgestellt, dass Angreifer bei diversen Angriffen mit Ransomware (für z.B. Erpressung von BitCoins nach missbräuchlicher Datenverschlüsselung) gezielt nach „ungepatchten“ (nicht aktualisierten) Schwachstellen gesucht haben. Schweizweit sind schätzungsweise über 10’000 Server der Produktgruppen Windows Server 2008, Windows Server 2008 R2, SQL Server 2008 und SQL Server 2008 R2 in Betrieb.
Goodbye Windows 7, Hello Windows 10 und „secure modern workplace“
Es muss daher dringend empfohlen werden, allfällige noch im Betrieb befindlichen Produkte der genannten Kategorien möglichst schnell zu ersetzen. Ist dies nicht möglich, so sind unbedingt mindestens zusätzliche Schutzmassnahmen zu treffen wie etwa die Isolation der Geräte / Systeme vom restlichen Netzwerk und vom Internet, die spezielle Überwachung mittels Monitoring- / Alerting-Systemen oder gar ein „Extended Support“-Vertrag mit Microsoft bei komplexeren oder grösseren Umgebungen.
Bei Windows 7 besteht immer noch die schon länger verfügbare, kostenlose Upgrade-Möglichkeit auf Windows 10 je nach Alter des Rechners und dessen Ausstattung / Ressourcen. Ob sich dieser reine Software-Upgrade (also ohne gleichzeitige Hardware-Ersatzvornahme) je nach Systemvoraussetzungen / Mindestanforderungen auf Windows 10 (notfalls Windows 8.x) effektiv lohnt, sollte jedoch im Kontext der z.B. noch zu erwartenden restlichen Hardware-Lebensdauer, Kompatibilität der Software und auch der Performance nach dem Upgrade zuerst genau geprüft werden.
Alternative Szenarien mit dem Umstieg auf andere Geräteklassen wie z.B. Convertibles, Tablets, Notebook, Thin Clients oder auch (Hybrid)Cloud-Lösungen mittels zentral verwalteten / managed WVD (Windows Virtual Desktop) / VDI (Virtual Desktop Infrastructure) und modernem, sicheren MDM (Mobile Device Management) können je nach IT-, Cloud- und/oder Digitalisierungs-Strategie lohnenswerter sein.
Das damalige, mitunter aktionistische „Jahr 2000-Problem“ vor 20 Jahren wiederholt sich hoffentlich nicht in anderen Ausprägungen
Aeltere oder herstellerseitig eingestellte Plattformen mit weiteren Zusatzrisiken
Die Notwendigkeit des nun verspäteten Handelns wird zudem unterstrichen mit der Tatsache, dass dadurch auch viele mitunter unumgängliche Sicherheitsmassnahmen (z.B. integriertes MDM „Mobile Device Management“, integrierte Endpoint Protection, MFA (Multi Factor Authentication), CA (Conditional Access) oder Hardening Lösungen) gemäss „Stand der Technik“ auf solchen älteren Plattformen (auch genannt „Legacy Systems“) gar nicht mehr uneingeschränkt implementiert werden können – und dies unabhängig von den klassischen Sicherheitsupdates seitens Hersteller.
Ohne laufende Sicherheitsupdates entwickelt sich entsprechend ein solches System aufgrund ungepatchter, angreifbaren Sicherheits-Lücken schnell zu einer tickenden Zeitbombe. Erschwerend kommt hinzu, dass am 14. Januar 2020 der Support für das kostenlose Virenschutzprogramm Microsoft Security Essentials (MSE) ebenfalls gleichzeitig endet.
Durch diesen Umstand entstehen in solchen herstellerseitig „erzwungenen Sollbruchstellen“ entsprechend weitere, dynamische Risiken und unnötige „Nebenkriegsschauplätze“ in dadurch anwachsenden, sogenannten „ShadowIT-Umgebungen“ (Schatten Informatik)
Gewinnbringendes Investment in CyberSecurity-Resilienz braucht passendes Budget
Für die IT ist es anspruchsvoll, konkrete Massnahmen für eine verbesserte Resilienz zu erarbeiten und diese budgetbelastenden Posten der Führungsetage und Entscheider verständlich und als gewinnbringendes Investment verkaufen zu können. Ein zu spät angepasstes Budget (mitunter leider erst notfallmässig gesprochen nach einem vielfach verhinderbaren oder minderbaren Vorfall…) ist meist vielfach höher und „nur“ einem situativen „Flickwerk“ geschuldet – und dann wiederum nicht für präventive Massnahmen und Innovationen nutzbar im Moment von vitalen Ausfällen. Die jetzige „End of Life“-Phase einiger Hersteller mündet vielfach in solchen nicht oder zu spät geplanten oder gar (zu) lange aufgeschobenen Stör-Aktionen im produktiven Betrieb. Jedoch besteht durch solche sauber zu planenden Massnahmen auch die Chance, sich dadurch wieder näher am „Stand der Technik“ anzunähern und dadurch auch letztlich vom damit implementierbaren, lohnenswerten Ansatz „Security by design“ profitieren zu können.
Nochmals sei angemerkt: Die Zeiten von „Set it & forget it“ ist vorbei – „Security by design“ muss die Zukunft sein!
Publizierter Print-Artikel in „Schwyzer Gewerbe“ CyberSecurity-Resilienz – Security by design muss die Zukunft sein – Jan 20
