Neuorientierung in der Cyber Security

Digital Security: Zurück zu den Grundlagen

Zu jeder neuen Bedrohung kommen neue Security-Lösungen auf den Markt. Trotzdem steigt die Zahl der IT-Sicherheitsvorfälle. Die Security-Branche steht vor einem Wandel: Digitale Sicherheit braucht nicht mehr Innovationen, sondern ein besseres Fundament.

Next Generation Security, Machine Learning, Artificial Intelligence, die Digital Security erlebt eine technische Innovation nach der anderen. Das ist einerseits kein Wunder, denn die Cyber Security geht den gleichen Weg wie die IT, die Wirtschaft und die Gesellschaft: Mit hoher Frequenz werden neue Digitaltechnologien vorgestellt und eingeführt.

Die Suche nach dem Heiligen Gral der Security

Gleichzeitig bekommt man den Eindruck, dass die Security-Branche laufend nach neuen Lösungen sucht, nach dem „Zaubermittel“, dem „Heiligen Gral“. Mit jeder neuen Technologie erhält der Markt neue Impulse, doch die Anwenderunternehmen sind zunehmend verwirrt. Was gestern noch für Schutz sorgen sollte, ist heute schon wieder unzureichend, denn es gibt neuartige Bedrohungen.

Trotz aller Innovationen haben die Angreifer Erfolg, und die Nutzer machen weiterhin gefährliche Fehler. Es ist deshalb Zeit, die Digital Security neu zu überdenken.

Wo die Anwender stehen: Weniger Budget trotz steigender Risiken

Nicht einmal jedes zweite deutsche und österreichische Unternehmen stuft seine eigenen kritischen Daten als „vollständig sicher“ ein. So lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports von NTT Security. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, im Falle einer Ransomware-Attacke auf Lösegeldforderungen einzugehen.

In Deutschland und Österreich wird nur gut 13 Prozent des IT-Budgets in Informationssicherheit investiert. Im Vergleich zur letztjährigen Studie von NTT Security ist dieser Wert sogar noch weiter gesunken, 2017 lag er bei 15 Prozent. Das Investitionsvolumen für Cyber Security ist deutlich geringer als in etlichen anderen Unternehmensbereichen.

96 Prozent der befragten Unternehmen in Deutschland und Österreich sind gleichzeitig der Meinung, dass ein Sicherheitsvorfall mit Datendiebstahl gravierende negative Auswirkungen hat. Genannt wurden Verlust des Kundenvertrauens (52 Prozent), Beeinträchtigung der Reputation (44 Prozent) und direkte finanzielle Einbußen (41 Prozent). Die Befragten rechnen mit einem durchschnittlichen Umsatzverlust von gut 9 Prozent und schätzen, dass die Behebung eines entstandenen Schadens rund neun Wochen dauert und im Schnitt Kosten in Höhe von mehr als 2,3 Millionen Euro verursacht.

Wie die Anbieter reagieren: Basisschutz und Sensibilisierung in den Fokus

Es ist offensichtlich wenig sinnvoll, auf steigende Risiken nur mit neuen, innovativen Sicherheitslösungen zu reagieren. Die Security in den Unternehmen braucht digitale Innovationen, doch noch mehr braucht sie ein besseres Fundament.

Gespräche mit verschiedenen Anbietern und Partnern der NTT Security zeigten, wie sich große Teile der Security-Branche neu aufstellen wollen, wie sie die Cyber Security im digitalen Zeitalter neu definieren wollen. RSA zum Beispiel betonte im Gespräch, dass die Security-Abteilung den Graben hin zu den Entscheidern überwinden muss. Dazu müsse sich die Security an den Geschäftszielen orientieren und nicht nur an den neuen Bedrohungen. Jeder einzelne Unternehmensbereich muss sich fragen, was Security für ihn bringt oder was mangelnde Security verhindert. Damit einher geht die Feststellung: Security ist nicht die Verantwortung der Security-Abteilung, sondern des ganzen Unternehmens. Das Security-Budget kommt also nicht der Security zugute, sondern dem Unternehmen.

NTT Security unterstützt bei der Sensibilisierung der Führungsebene. Dafür hat der IT-Dienstleister ein spezielles Serviceangebot entwickelt, den sogenannten „Management Hack“. Unter Nutzung von Social-Engineering-Techniken wird dabei überprüft, inwieweit Führungskräfte ein Sicherheitsrisiko darstellen. Nach Abstimmung mit dem CISO oder IT-Leiter führt NTT Security simulierte, personalisierte Social-Engineering-Angriffe durch. Zum Einsatz kommen Techniken wie Phishing oder personalisiertes Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.

Viele Security-Anbieter sind der Überzeugung, dass Security einfacher und integrierter werden muss. Ein Weg dorthin ist, dass bestehende Lösungen weitere Funktionen in sich vereinen, darunter nicht nur neuartige KI-basierte (künstliche Intelligenz) Funktionen, sondern Security-Aufgaben, die inzwischen zum Basisschutz gerechnet werden müssen.

Vereinfachen, integrieren, Fundament legen

Digital Guardian beispielsweise zeigt die Vielfalt der Möglichkeiten von DLP (Data Loss Prevention) auf, die sich auch auf Endpoint Detection and Response (EDR) und User and Entity Behavior Analytics (UEBA) erstrecken. Anstatt also mehrere Lösungen dafür anzuschaffen, können auch die Funktionen von DLP für Security-Aufgaben genutzt werden, die mancher Anwender nicht bei DLP sieht, die eine DLP-Lösung aber beherrscht.

Symantec unterstreicht mit „Symantec Integrated Cyber Defense Exchange“ die Bedeutung der Integration von Security-Lösungen, von einem Anbieter und von weiteren Anbietern. Exabeam sieht Herausforderungen bei Anwenderunternehmen, wenn es um die Auswertung der SIEM-Meldungen (Security Informationen and Event Management) geht. Die Fülle an Security Events muss weiter klassifiziert und priorisiert werden. Dazu möchte Exabeam bestehende SIEM-Installationen beim Anwender ergänzen und die Security-Auswertungen vereinfachen.

Forcepoint sieht eine Möglichkeit zur Vereinfachung der Security-Aufgaben darin, dass ein mögliches, gefährliches Verhalten von Nutzern (unter Berücksichtigung des Datenschutzes) vorhergesagt wird. Dazu wird fortlaufend ein Risikowert für die Nutzer erstellt. Werden geringe Risiken vorhergesagt, können Security-Maßnahmen auch reduziert werden, nur bei hohen Risiken müssen zusätzliche Sicherheitsmaßnahmen ergriffen werden. Im Gegensatz zu Ansätzen wie der risikobasierten Mehr-Faktor-Authentifizierung werden die Risikowerte nicht nur einem Anmeldeversuch ermittelt, sondern dauerhaft und als Vorhersage.

NTT Security sieht als erste, wichtige Maßnahmen einer Neudefinition der Digital Security, dass die Hausaufgaben gemacht werden müssen, wozu ein Incident Response Plan gehört. Trotz Compliance-Vorgaben wie der Datenschutz-Grundverordnung (DSGVO / GDPR) ist der Incident Response Plan immer noch nicht Teil des Security-Alltags vieler Unternehmen.

In Deutschland und Österreich verfügten 2017 nur 42 Prozent der Unternehmen über einen Incident-Response-Plan, so die neue Risk:Value-Studie von NTT Security. Immerhin befanden sich 36 Prozent im Implementierungsprozess und weitere 11 Prozent planten die Umsetzung entsprechender Maßnahmen in naher Zukunft.

Anstatt also immer neuen Innovationen zu folgen, sollten Unternehmen zuerst den Basisschutz herstellen. Mit diesem Fundament lassen sich dann weitere innovative Maßnahmen ergreifen, um Restrisiken zu begegnen. Ohne das Fundament jedoch könnten selbst steigende Security-Budgets den wachsenden Bedrohungen nicht erfolgreich entgegen treten, denn viele Angriffe haben zum Beispiel deshalb so eine große Wirkung, weil im Notfall kein Incident Response Plan vorliegt und intern bekannt gemacht wurde.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.