Eine gute Strategie für die Cybersicherheit beginnt mit dem Wissen, mit welchen häufigen branchenspezifischen Bedrohungen sich eine Organisation wahrscheinlich konfrontiert sieht, wo die Schwachstellen in ihrer Verteidigung liegen und wie die Branche reguliert ist. Axis ist sich dessen bewusst und arbeitet proaktiv mit Partnern und Kunden zusammen, damit diese über das Wissen und die Protokolle verfügen, um sich vor Angriffen zu schützen.
Leider lassen sich Sicherheitsbedrohungen nicht einfach in
klar definierte Schubladen stecken. Sie unterscheiden sich in ihrer
Raffinesse und in ihren Auswirkungen. Hochkomplexe Angriffe mit
gravierenden Folgen für Unternehmen und ihre Kunden schaffen es am
häufigsten in die Schlagzeilen und das Bewusstsein der Bevölkerung.
Dies sind aber eher seltene Vorfälle. Viel mehr Sorgen sollten sie sich
wegen eines viel häufigeren Problems machen: Versäumnisse bei der
Einhaltung von Protokollen oder irgendeine Art „vorsätzlicher oder
versehentlicher Fehlbedienung des Systems“.
Diese hält Fred Juhlin, Global Senior Consultant bei Axis, für eine der
größten Fehleinschätzungen: „Viele Organisationen konzentrieren sich
fälschlicherweise auf den Schutz ihrer Unternehmen vor Bedrohungen, die
ihnen negative Schlagzeilen bringen könnten. Vielmehr sollten sie bei
den Grundlagen beginnen. Benutzerfehler sind die häufigste Ursache für
gelungene Cyberangriffe, dürfen also im Maßnahmenpaket für die
Cybersicherheit auf keinen Fall vergessen werden.“
Beseitigung der
Schwachstellen bei der Cybersicherheit
Schwachstellen sind Anfälligkeiten oder Gelegenheiten, die negative
Folgen für das System haben können. Es gibt sie in jedem System, denn
keine Lösung ist völlig frei von Schwachstellen. Anstatt sich jedoch
nur auf die Schwachstelle selbst zu konzentrieren, sollte man die
möglichen Folgen einer Ausnutzung für die Organisation untersuchen.
Daraufhin kann man die zugehörigen Risiken bestimmen und die Priorität
für die Behebung der Schwachstelle festlegen.
Axis wendet beim Design, der Entwicklung und dem Test seiner Geräte
bewährte Verfahren der Cybersicherheit an, um das Risiko von
Schwachstellen zu minimieren, die bei einem Angriff ausgenutzt werden
könnten. Allerdings erfordert die Absicherung eines Netzwerks mitsamt
aller Geräte und der unterstützten Dienste die aktive Mitwirkung der
gesamten Lieferkette bis hin zum Endanwender. Der Axis Hardening Guide
beschreibt die verschiedenen möglichen Sicherheitskontrollen für die
Geräte. Außerdem gibt es Empfehlungen, wann, wo und warum diese bei der
Sicherung des Netzwerks, der Geräte und Dienste eingesetzt werden
sollten.
Aus Händlersicht erfordert die Entwicklung von Softwareprodukten mit
eingebauter Sicherheit über den gesamten Entwicklungszyklus Erfahrung
und Reife bei sicherem Software-Design und in der Programmierung.
Außerdem müssen die Produkte die geltenden Gesetze (wie die DSGVO oder
CCPA zum Datenschutz, NDAA, CCMC des US-Verteidigungsministeriums zu
sicheren Lieferketten sowie die britischen „Secure by Default“-Gesetze
zur sicheren Codierung) und viele weitere Anforderungen erfüllen.
Axis begegnet dieser Herausforderung über sein Security Development
Model, das auf mehreren Best Practices der Branche zur Cybersicherheit
beruht. Das Modell definiert die Prozesse und Werkzeuge, die zur
Erstellung von Software mit eingebauter Sicherheit während des gesamten
Entwicklungslebenszyklus verwendet werden – von den Voraussetzungen
über den Entwurf, die Implementierung und Verifizierung bis hin zum
Einsatz.
Kommunikation
und Zusammenarbeit
Auch wenn man kritische Schwachstellen in einem Produkt mit den besten
verfügbaren Verfahren ausgeräumt hat, so ändert sich die Bedrohungslage
doch ständig. Deshalb ist es wichtig, dass Kunden und Partner sofort
erfahren, wenn eine neue Schwachstelle entdeckt wird. So können sie das
Risiko für sich bewerten und Gegenmaßnahmen (z. B. durch Patches)
einleiten.
Manche Kunden möchten Bedrohungen selbst beurteilen und dafür
unabhängige Prüfwerkzeuge einsetzen, die aktuelle Schwachstellen der
Lösung melden. Diese können für den dauerhaften Schutz des Systems
wertvoll sein, müssen aber im richtigen Kontext gesehen und mit einer
Risikobewertung kombiniert werden. Ansonsten besteht die Gefahr, dass
man falsche Schlüsse zieht und teure, aber unnötige Maßnahmen ergreift.
Steven Kenny, Industry Liaison Manager bei Axis, kommentiert: „Es ist
gut, wenn die Kunden ihr System aktiv auf Schwachstellen untersuchen,
aber diese Berichte können viele Falschmeldungen enthalten. Ohne den
richtigen Kontext und eine Gefahrenabschätzung kann man sich leicht
verrennen und Ressourcen für die Behebung von Problemen verschwenden,
die das Unternehmen kaum beeinträchtigen.“
Axis arbeitet bei der Auswertung und Priorisierung von Schwachstellen
eng mit den Kunden und Partnern zusammen. Gemeinsam entwickeln wir
einen strategischen, fundierten Aktionsplan.
Stabile Cybersicherheit
ist nur gemeinsam möglich
Angreifer arbeiten oft im Team und teilen Informationen über die
neuesten Schwachstellen, Taktiken und Erfolge miteinander. Der Kampf
gegen einen so entschlossenen und oft kapitalkräftigen Feind ist ohne
die richtige Verteidigung und Unterstützung aussichtslos. Die
Verteidigung gegen die ständig neuen Bedrohungen erfordert eine
mehrstufige Strategie sowie Fortbildung in Cybersicherheit.
Die Branche treibt eine „Null-Vertrauen-Strategie“ an, bei der jede
Einheit identifiziert und durch ihr Risikoprofil beschrieben wird.
Deshalb ist es wichtig, Produkte zu wählen, die unter
Sicherheitsaspekten entwickelt wurden. Axis nutzt seine über 30-jährige
Erfahrung, um zuverlässige Produkte zu entwickeln. Unsere Strategie der
Zusammenarbeit stellt sicher, dass die Partner und Kunden mit den
entscheidenden Informationen und Tools ausgestattet sind, um auf
veränderliche Bedrohungen reagieren zu können.
Weitere Informationen erhalten Sie HIER.
