Cyberattacken auf der Spur

Mehr Sicherheit mit Security-Monitoring

Wie können sich Unternehmen davor schützen, dass ihre Daten und Anwendungen nicht Opfer von Cyberkriminellen werden? Harald Reisinger, Geschäftsführer von RadarServices, weiß Rat.

ITB: Warum ist Security-Monitoring für Sie das Mittel der Wahl zur Abwehr von Cyberangriffen?

Reisinger: Durch den Einsatz von proaktivem und kontinuierlich arbeitendem IT-Security-Monitoring können Unternehmen Cyberrisiken gezielt entgegenwirken. Dazu sammelt das Monitoring verdächtige ­Ereignisdaten, um sie automatisiert zu analysieren. Die Ergebnisse dieser Analyse, Risikohinweise, werten anschließend Experten manuell aus. Dazu werden die Ereignisse mit ­Problemcharakter permanent verfolgt, untereinander korreliert und auf ihre Auswirkungen auf die IT, die Geschäftsabläufe und die daran beteiligten Daten hinterfragt. Idealerweise sollten die Ergebnisse der Analyse übersichtlich in ­einem Cockpit dargestellt werden, damit die Experten gezielt den Risikohinweisen nachgehen können. Oder anders ausgedrückt: Nur durch das Zusammenspiel automatisierter Erkennungsmethoden und von Experten, die en détail analysieren, wird das Unternehmen ein realistisches Risikoabbild entwickeln können.

ITB: Läuft das Sicherheitspersonal dennoch nicht Gefahr, bei der Flut an Ereignissen und Informationen schnell den Überblick zu verlieren?

Reisinger: Das hängt unter anderem von der Art und Qualität der Korrelationsmaschinen ab. Ihre Aufgabe ist es, die eingehenden risikorelevanten Informationen zu analysieren und auf die wesentlichen Hinweise zu verdichten. Die Sicherheitslösung der Wahl sollte nicht nur eine verhaltensorientierte Correlation Engine vorhalten. Je mehr Informationsquellen der Korrela­tionsmaschine zugänglich sind und je ­öfter sie mit hochwertigen Threat Intelligence Informationen versorgt wird, umso geringer ist das Risiko, dass Angriffe nicht erkannt werden und die Experten den Überblick verlieren. Parallel sollte ­innerhalb der Sicherheitslösung eine „Advanced Correlation Engine“ verwendet werden. Diese neuen Korrelationssysteme wenden statistische Modelle, rekursive Methoden und selbstlernende Algorithmen an. Sie klären darüber auf, ob sich IT-Systeme außergewöhnlich und somit potenziell risikorelevant verhalten. So kommen Unternehmen auch modernen Cyberattacken auf die Spur, die nicht anhand bestimmter Bitmuster erkannt werden können.

ITB: Wodurch sollte sich Risk Detection auszeichnen?

Reisinger: Risk Detection sollte sämtliche IT-Infrastrukturkomponenten in die permanent ablaufende Bewertung einbeziehen. Sobald es zu kritischen Ereignissen innerhalb der IT kommt, sollten diese in Echtzeit gemeldet werden. Leistungsfähige Risk-Detection-Services gehen noch ­weiter: Sie bewerten die tatsächliche ­Kritikalität der identifizierten Risiken und prüfen die Priorität der Behebungsreihenfolge. Zusätzlich wird analysiert, inwieweit sich IT-Risiken auf die Geschäftsprozesse im Gesamtunternehmen auswirken können. Werden Risiken bei IT-Systemen festgestellt, werden nicht nur die betroffenen Komponenten sondern auch die betroffenen Geschäftsprozessabschnitte, idealerweise in einem leicht verständlichen Risk Cockpit, dargestellt. Für die Einleitung schneller und wirksamer Verteidigungsmaßnahmen sollten dem verantwortlichen Team ­zudem per Workflow alle erforderlichen Informationen zur Verfügung gestellt werden.

Autor: Andreas Bergler

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.