Sorgen Sie mit umfassender Risikotransparenz für bessere Sicherheits-Compliance

Wenn Sie ein Risiko oder eine Schwachstelle nicht erkennen können, können Sie auch keine Maßnahmen ergreifen, um diese zu reduzieren oder zu beheben – und Sie können den Aufsichtsbehörden nicht zeigen, dass Sie das Problem im Blick haben. Transparenz stellt jedoch eine häufige Herausforderung für Cybersicherheitsteams dar. 

Eine Studie von Forrester aus dem Jahr 2024 ergab, dass etwas mehr als die Hälfte (52 %) der Finanzunternehmen zustimmen/uneingeschränkt zustimmen, dass sie über keine vollständige Transparenz ihrer IT-Umgebung verfügen. Die Folgen der Nichteinhaltung gesetzlicher Vorschriften sind in jeder Branche immens. Die Zahl der Unternehmen, die mehr als 100.000 US-Dollar an Bußgeldern zahlen, stieg zwischen 2023 und 2024 um fast 20 %.

Im ersten Blog-Beitrag unserer Compliance-Reihe haben wir uns für die Ausrichtung von Compliance-Maßnahmen an einem mehrschichtigen Sicherheitsansatz ausgesprochen. Mit einem proaktiven Ansatz zum Schließen von Transparenzlücken können Sie die Compliance-Anforderungen für folgende Sicherheitsaspekte erfüllen:

• Nachweis von Sicherheitskontrollen
• Durchführung von Bewertungen des Risikomanagements
• Berichte für Audits

In diesem Beitrag befassen wir uns mit Transparenzproblemen, mit denen Unternehmen in Bezug auf Netzwerksicherheit und API-Schutz zu kämpfen haben, und stellen Sicherheitsebenen vor, die Unternehmen zur Verbesserung ihrer Compliance einführen können. Letztendlich gilt: Gute Sicherheitsmaßnahmen unterstützen die Einhaltung gesetzlicher Anforderungen. Und wenn Sie Risiken erkennen, können Sie sie auch beheben.

Wir hören von Cybersicherheitsexperten immer wieder, dass ihre Teams nicht in der Lage sind, den Netzwerktraffic effektiv zu überwachen, und daher keine Risikofaktoren erkennen können, wie z. B. welche Assets miteinander kommunizieren. Dies ist entscheidend für Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS v4.0) und die Datenschutzgrundverordnung (DSGVO). 

Beide Vorschriften erfordern die Trennung der betreffenden Daten von anderen Systemen in einer IT-Umgebung und die Berichterstattung über die Maßnahmen. Die Netzwerktransparenz ist auch für ISMS-Standards (Information Security Management Systems, Informationssicherheits-Managementsysteme) wie die IEC 27001 der ISO (International Organization for Standardization) von Bedeutung, die eine Trennung von Daten und Datenverarbeitungseinrichtungen erfordert, um laterale Netzwerkbewegungen zu vermeiden, wenn ein Angreifer in das Netzwerk eindringt.

Unternehmen verfügen häufig über grundlegende Ebenen, um die Transparenz zu erhöhen. Beispielsweise können herkömmliche Netzwerk-Firewalls einige Einblicke bieten. Diese Ebenen können jedoch nicht mit dem Umstieg von Unternehmen auf eine komplexe IT-Umgebung in der Cloud und dem Einsatz von Microservices Schritt halten. Folglich fehlt es Sicherheitsteams an folgenden Fähigkeiten:

• Sicherstellen der Einhaltung der Anforderungen verschiedener Auflagen in einer Vielzahl von Regionen, in denen ein Unternehmen tätig ist, Verkäufe tätigt und/oder Dritte einsetzt

• Ein klares Verständnis darüber, wie Anwendungen mit Endnutzern kommunizieren und auf Datenbanken im Netzwerk zugreifen

Diese Transparenzlücken machen es schwierig, Regulierungsbehörden zu zeigen, wie Ihr Unternehmen Cyberbedrohungen erkennt und sich vor Angriffen schützt, die zu gestohlenen Daten, Betriebsunterbrechungen und Malware führen können. Schlechte Transparenz erschwert auch die Erfüllung technischer Anforderungen, wie z. B. die Anforderung 1 von PCI DSS v4.0, die vorschreibt, dass Firewalls so konfiguriert werden müssen, dass Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken eingeschränkt werden.

Eine Möglichkeit, die Transparenzlücke im Netzwerktraffic zu schließen, besteht darin, softwaredefinierte Mikrosegmentierung als zusätzliche Sicherheitsebene hinzuzufügen, um die Kommunikation zwischen Assets im Netzwerk zu visualisieren, zu überwachen und zu identifizieren. Dieser Ansatz bietet folgende Vorteile:

• Detaillierte Kontrolle über Netzwerkinteraktionen und Unterstützung von Unternehmen beim Verstehen, Isolieren und Verhindern von nicht legitimem Netzwerktraffic zwischen Geräten innerhalb eines bestimmten Rechenzentrums (d. h. East-West-Traffic) über komplexe Netzwerke, die sich über On-Premise und Cloud erstrecken

• Funktionen zur Abwehr und Eindämmung von Ransomware-Angriffen durch Aufteilung eines Netzwerks in Segmente, in denen Sicherheitskontrollen für die Risikoattribute jedes Segments definiert werden können

• Optimierte East-West-Transparenz, damit Sicherheitsteams besser erkennen können, wer auf welche Ressourcen – wie Kreditkartendaten von Kunden – zugreifen kann

Wenn Sie sich nicht sicher sind, welche Mikrosegmentierungsebenen Ihr Unternehmen zur Verbesserung der Netzwerktransparenz verwenden kann, setzen Sie auf Funktionen, die Echtzeit- und Verlaufseinblicke bieten. So können Sie bei Compliance-Audits nachweisen, dass die betreffenden Daten und Ressourcen nicht gefährdet sind.

Wir wissen auch, dass einige Sicherheitsteams Schwierigkeiten haben, Transparenz über ihre schnell wachsenden API-Bestände zu erlangen. Jedes Mal, wenn ein Kunde, Partner oder Anbieter elektronisch mit einem Unternehmen interagiert, übertragen APIs Daten hinter den Kulissen, und diese Daten sind oft sensibel. Cyberkriminelle wissen, dass APIs aufgrund von Faktoren wie Fehlkonfigurationen, schlechten Authentifizierungskontrollen und Codierungsfehlern sehr anfällig und relativ leicht anzugreifen sind.

Viele Unternehmen können nur einen Teil ihrer gesamten IT-Umgebung einsehen, da so viele ihrer APIs im Schatten liegen und von herkömmlichen API-Schutztools nicht erkannt werden. Laut unserer API-Sicherheitsstudie 2024  wissen nur 27 % der Sicherheitsexperten, die über vollständige API-Bestände verfügen, tatsächlich, welche ihrer APIs sensible Daten zurückgeben – im Vergleich zu besorgniserregenden 40 % im Jahr 2023.

Nach Branchen gefiltert sehen wir sogar noch weniger Transparenz darüber, welche APIs als Reaktion auf Anfragen sensible Daten bereitstellen, egal ob diese Anfragen von legitimen Nutzern oder Angreifern stammen.

• Gesundheitswesen: nur 24,0 % der APIs
• Versicherungsbranche: nur 20,7 % der APIs
• Behörden/öffentlicher Sektor: nur 18,5 % der APIs

Betrachten wir das Gesundheitswesen als Beispiel dafür, was auf dem Spiel steht: Wenn ein Angreifer die falsch konfigurierte API eines Anbieters leicht manipulieren kann, um Zugriff auf Patientenakten zu erhalten, kann diese Manipulation zu Datenschutzverstößen in Bezug auf HIPAA und Bußgeldern führen.

In einigen Vorschriften werden APIs explizit erwähnt. Der PCI DSS v4.0 enthält beispielsweise Leitlinien, um sicherzustellen, dass die Software eines Unternehmens die Funktionen externer Komponenten sicher nutzt. Dazu gehören APIs, die Zahlungsinformationen wie Kreditkartendaten von einer App an das System einer Bank übertragen. 

In anderen Fällen werden APIs nicht direkt genannt, die Anforderungen konzentrieren sich jedoch eindeutig auf die Sicherheit der Technologien, die von APIs abhängig sind. Nehmen wir zum Beispiel den Digital Operational Resiliency Act (DORA) der Europäischen Union, der Finanzdienstleister in EU-Mitgliedsstaaten dabei unterstützen soll, Cyberangriffe zu verhindern und sich von ihnen zu erholen.

Gemäß Artikel 3 von DORA müssen Unternehmen Informations- und Kommunikationstechnologie (IKT) verwenden, die folgende Funktionen erfüllen:

• Minimieren von datenbezogenen Sicherheitsrisiken, unbefugtem Zugriff und technischen Mängeln

• Verhindern von Nichtverfügbarkeit von Daten, Datenverlusten sowie Verstößen gegen Integrität und Vertraulichkeit der Daten

• Gewährleistung der Datenübertragungssicherheit

Die primäre Funktion einer API besteht darin, eine schnelle, zuverlässige und sichere Übertragung von Daten zu ermöglichen. Daher ist die Erkennung, die Durchführung von Risikobewertungen und Sicherung jeder API, die mit Unternehmensdaten in Berührung, für die Erfüllung der Anforderungen von DORA von entscheidender Bedeutung. 

Diese Kontrollen tragen auch dazu bei, die Compliance mit PCI DSS, DSGVO und einer Reihe weiterer Vorschriften zu verbessern, die auf Cyberresilienz und Datensicherheit ausgelegt sind. Wenn Sie darüber nachdenken, Ihrer IT-Umgebung Sicherheitsebenen hinzuzufügen, um die Sichtbarkeit von APIs und deren Risiken zu verbessern, sollten Sie die folgenden Funktionen nutzen:

• Die Möglichkeit, jede API in Ihrer IT-Umgebung zu erkennen (verwaltet oder nicht verwaltet), einschließlich Zombie- und Shadow-APIs

• Die Fähigkeit zur Bewertung ihrer API-Risikofaktoren (z. B. die Art der Daten, die sie ausgetauscht hat, sowie die Frage, wer oder was auf diese Daten zugreifen kann)

• Die Funktion zum Visualisieren kontextbezogener Informationen, um Risiken wie Datenlecks, verdächtiges Verhalten, schädliche Bots und API-Angriffe zu erkennen

• Die Möglichkeit, Datenflüsse zu dokumentieren 

• Die Fähigkeit, Compliance-Berichte zu generieren, die die API-Sicherheitslage eines Unternehmens den regulatorischen Standards zuordnen

Wir sind der Ansicht, dass die Einhaltung von Compliance-Frameworks und Vorschriften zur Informationssicherheit einen mehrschichtigen Ansatz erfordert, der auf dem Schutz verschiedener Bereiche innerhalb der Angriffsfläche beruht.

Halten Sie Ausschau nach zukünftigen Beiträgen in dieser Reihe, die sich mit Best Practices für die Sicherheit befassen, die direkt mit den Anforderungen der Regulierungsbehörden an das Sicherheits-Compliance-Management verknüpft sind. Dazu gehört auch das Verhindern laterale Bewegungen im Netzwerk sowie zwischen Anwendungen und APIs.