Ausufernde IT-Sicherheitslandschaft

Es wird Zeit für weniger IT-Sicherheit

902 Produkte für Cybersicherheit. So viele IT-Sicherheitslösungen umfasste die offizielle Liste der it-sa vom Herbst 2016. Und auch die Realität zeigt: Ein Großteil der Unternehmen setzt mehrere unterschiedliche Produkte ein.

Zu viele falsche Warnmeldungen. Zu viele separate Systeme. Fehlende Priorisierung der wichtigsten Assets. Zu wenige Kontextinformationen. Die Herausforderungen für CISOs (Chief Information Security Officer) und Sicherheitsbeauftragte in Unternehmen sind groß: Denn kaum eine Lösung agiert siloübergreifend und bietet somit einen Überblick über die gesamte Infrastruktur. Vieles wird händisch nachjustiert und überprüft: Die Validierung und Priorisierung von Angriffen, das Löschen von falschen Warnmeldungen und auch das Sammeln von Kontextinformationen beispielsweise für Risikoberichte für die Geschäftsführung. Da wundert es nicht, dass die Zeit bis zur Erkennung eines Hackerangriffs in Europa, Naher Osten und Afrika durchschnittlich 106 Tage beträgt – also über drei Monate, in denen Cyberkriminelle beliebig Zugang auch zu sensiblen Unternehmensinformationen haben.

IT-Sicherheit: Historisch gewachsen und vielerorts überfrachtet

Die Ursachen für diese so heterogene Landschaft sind oft historisch bedingt: Organisationen haben ihre IT-Sicherheitsinfrastruktur meist schrittweise aufgebaut und bei Bedarf punktuell ergänzt. Zu Lösungen für Endpunktsicherheit gesellt sich eine für Netzwerksicherheit und so weiter.

Egal welchen Angriffsvektor ein Produkt abdeckt, die IT-Sicherheitslandschaft lässt sich grundsätzlich in zwei Kategorien unterteilen: Einerseits gibt es Produkte mit einem Fokus auf Prävention von Angriffen. Hinzu kommen Produkte, die eine schnelle Reaktion auf Angriffe versprechen. Klassische Firewalls fallen beispielsweise in die erste Kategorie. Damit einher geht auch eine Reihe von Nachteilen: Präventive Lösungen sind auf das angewiesen, was bereits bekannt ist. IoC-Feeds (Inversion of Control) sind mitunter sehr kurzlebig und enthalten historische Daten. Deshalb sind sie trotzdem ein Teil des Puzzles zur erfolgreichen Bekämpfung von Hackerangriffen, reichen aber nicht aus. Auch Security Analytics haben vergangene Anomalien als Referenz. Die ebenfalls beliebten Firewalls und Sandboxing-Lösungen hingegen scheitern an der Stelle, an denen mehrstufige Angriffe angewendet werden oder Angriffe, die einen Teil der Schritte offline vollziehen. Es ist aus Unternehmensperspektive also nachvollziehbar, die bestehende Produktlandschaft um Lösungen zu erweitern, die auf die Abwehr von Cyberattacken spezialisiert sind. Die Logik dahinter: Wenn ein Sicherheitsvorfall unvermeidbar ist, dann sollte der Fokus darauf liegen, möglichst schnell reagieren zu können. Doch auch dies ist ein Unterfangen, das angesichts der Schnelligkeit, in der Hacker agieren, schwierig ist. Und es stellt Security-Teams genau vor die Herausforderungen, die anfangs gelistet wurden und mündet in Überforderung.

IT-Sicherheitslösungen sollten Strukturen schaffen für die Sicherheitsteams

Welchen Weg sollten Unternehmen also gehen, um ihre eigene Struktur wieder agiler zu machen und den Fokus auf wirklich wichtige Warnmeldungen – die es immer geben wird – nicht zu verlieren?

Zunächst ist es wichtig, sich dieser beiden fundamentalen Unterschiede bewusst zu werden. Der Ansatz, sich nur auf Prevention oder Detection zu fokussieren, führt dazu, dass sich die Sicherheitslage eines Unternehmens in komplett unterschiedliche Richtungen entwickeln kann. Statt sich Gedanken über kleinste technische Details zu machen ist es wichtiger, sich über die grundsätzliche Ausrichtung bewusst zu werden. Natürlich ist es wichtig, möglichst viele Cyberangriffe zu verhindern, der Krisenplan sollte dennoch immer in der Schublade liegen.

Das Thema ist aber auch für Hersteller relevant: Denn Cyberkriminelle haben grundsätzlich eine komfortable Situation, können gezielt monatelang Angriffe auf Unternehmen planen (die wiederum im Minutentakt von unterschiedlichsten Gruppierungen angegriffen werden). Um die Abwehr im Unternehmen möglichst effizient zu gestalten, müssen die Alarme sämtlicher bestehender Sicherheitsmaßnahmen über eine einfache Benutzeroberfläche integriert und priorisiert werden können. Nischenlösungen haben zwar ihre Daseinsberechtigung, müssen aber in das „große Ganze“ eingebunden werden können. Letzten Endes werden sich diejenigen Lösungen durchsetzen, die es schaffen, präzise alle Informationen aus dem Unternehmensnetzwerk aufzubereiten – oder die Daten mehrerer IT-Sicherheitslösungen gebündelt darzustellen. Wichtig ist auch, dass Hersteller ihren Kunden aktuelle und vertrauenswürdige Bedrohungsdaten liefern können, um falsche Warnmeldungen auszusortieren und Angriffe orchestriert und automatisiert in Echtzeit zu bekämpfen. Denn Unternehmen haben weder die Zeit noch das Geld, um alle 902 Lösungen zu evaluieren – geschweige denn sie alle zielführend einzusetzen.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.