Security Intelligence – die Stolperfallen

Valeria Dimitrova
Expertin für IT-Security
Mehr erfahren

Der verbreitete Glaube, man könne mit Investitionen in die IT-Security alle Angriffe bereits im Vorfeld unterbinden, ist höchst riskant. Heute geht es nicht mehr darum, ob ein Angriff erfolgt ist, sondern wann und vor allem mit welchem Zeitverzug dieser erkannt wird. Dazu müssen alle an einem Strang ziehen.

Ein vollkommen gesichertes IT-System gibt es nicht, dazu sind die heutigen Landschaften zu komplex und die Angreifer zu clever. Klassische präventive Security-Ansätze sind bei fortgeschrittenen Attacken oft unzureichend. Um angemessen reagieren zu können, müssen Angriffe möglichst frühzeitig entdeckt werden. Hierfür ist vor allem die kollaborative, bereichsübergreifende Zusammenarbeit von entscheidender Bedeutung für den Erfolg.

Zwar ist bekannt, dass der Aufbau derartiger Security-Intelligence-Kompetenz entsprechendes Know-how, ein motiviertes Team, Management-Unterstützung und natürlich die passenden Lösungen erfordert. Doch selbst wenn all dies vorhanden ist, bleibt der erfolgreiche Einsatz trotzdem oft sehr herausfordernd. Warum ist das so?

SIEM lebt von Vernetzung

Mit dem Security Information und Event Management (SIEM) sollen interne wie externe Angriffe auf die Enterprise-IT erkannt und analysiert werden. Das Ziel: Auf Grundlage der gewonnenen Erkenntnisse schnell und zielgenau auf Bedrohungen reagieren zu können. Dazu werden Meldungen, Events sowie Logfiles von Geräten, Netzkomponenten, Anwendungen und Security-Systemen ausgewertet und in Beziehung gesetzt, um auffällige Muster und gefährliche Entwicklungen zu erkennen. Im Idealfall in „Echtzeit“, also sofort.

Gewonnene Erkenntnisse helfen bei der zielgenauen Reaktion auf Bedrohungen (Quelle: iStock / Orbon Alija).

Hausaufgaben erledigen

Während IT-Sicherheitsabteilungen wie das Sicherheits-Management und die Security-Governance seit Längerem scherzhaft als „Department of No“ bekannt sind, laufen Security-Operations-Abteilungen immer häufiger Gefahr, als „Department of we can‘t“ abgestempelt zu werden. Das Problem: Die Implementierung der meisten modernen Cybersecurity-Technologien, darunter hoch gepriesene Ansätze wie UEBA (User and Entity Behavior Analytics) oder Machine Learning, setzt voraus, dass altbekannte (und oft nicht abgeschlossene) Aufgaben endlich gelöst werden. Themen wie Asset-Management, die unternehmensweite CMDB, aber auch die Datenqualität sind nach wie vor vital für die Einführung von zukunftsfähigen Security-Lösungen.

Know your IT assets

Ein Beispiel verdeutlicht, warum die Forderung „Know your IT assets“ für den erfolgreichen Betrieb von Security-Intelligence-Lösungen wichtig ist. Defensive-Security-Teams sollten immer „Situational Awareness“ haben, also die aktuelle Lage kennen. Dazu werden gerne unterschiedliche Systeme eingesetzt, die jede Abweichung vom normalen Zustand frühzeitig erfassen und melden. Hierzu zählen beispielsweise Failed Logins, ein unbekanntes Programm auf dem Endgerät oder untypisches Nutzerverhalten. Die Qualität eines solchen Frühwarnsystems hängt maßgeblich ab von der Qualität und Quantität der im System integrierten Kontextinformationen. Die beste Lösung zur Anomalieerkennung bringt wenig, wenn man den normalen Zustand des überwachten Systems nicht kennt.

Ähnlich wie bei der Sicherung eines Gebäudes muss auch die IT-Security neben den internen auch potentielle Gefahren von außen kennen (Quelle: iStock / eakrin rasadonyindee).

Wie kann ein Sicherheitsunternehmen ein Gebäude erfolgreich schützen, wenn es nicht weiß, dass das Nebenhaus auch dazu gehört oder dass es einen zweiten Zugang durch den Keller gibt? Um Risiken wirksam abwenden zu können, kommt es darauf an, sich einen vollständigen Überblick über die Art der Daten und deren Wirkungszusammenhänge zu verschaffen. Damit dieser Mechanismus greifen kann, müssen alle IT-Bereiche der Organisation einen gemeinsamen Datenpool befüllen. Umso wichtiger ist hierbei die ressortübergreifende, kohärente Zusammenarbeit innerhalb des Unternehmens. Das ist nur selten gegeben.

IT-Sicherheit als Querschnittsfunktion

In der täglichen Praxis sind operative IT-Sicherheitsabteilungen auf die gute Vorarbeit ihrer IT-Organisationen angewiesen. Sie können nur dann die Datenbank-Logs zum Monitoring in das SIEM-System anbinden, wenn der Datenbankadministrator diese vorher konfiguriert hat. Und für einen risikobasierten Ansatz braucht man das Mapping zwischen unternehmenskritischen Daten und den darunterliegenden IT-Komponenten. Vielleicht erkennen Sie einen IT-Sicherheitsvorfall, doch können Sie nicht sofort ausschließen, dass datenschutzrelevante Daten betroffen sind – weil keiner so recht weiß, was genau in dem System alles verarbeitet wird?

Die fachübergreifende Zusammenarbeit ist auch insofern wichtig, als dass Mitarbeiter On-the-Job und auf Augenhöhe voneinander lernen und sich gegenseitig in der jeweiligen Anwendungssituation sensibilisieren können. Diese User Experience hat psychologisch gesehen eine andere Wirkung als stundenlange Security-Trainings, mit denen aus Mitarbeitern bessere Menschen gemacht werden sollen. Wichtig beim kollaborativen Vorgehen ist auch eine Analyse, um zu verstehen, warum Mitarbeiter den Angreifern immer wieder Tür und Tor öffnen. Hierbei kann die Security-Intelligence beispielsweise mit SIEM-Systemen ebenfalls hervorragende Unterstützung leisten.

Dass Mitarbeiter On-the-Job und auf Augenhöhe voneinander lernen können, ist wichtig, um sie für die jeweilige Anwendungssituation zu sensibilisieren (Quelle: iStock / fizkes).

meta-Ebene: Lessons learned

Gefahr 1: Die grundlegenden Aufgaben für SIEM (z.B. CMDB, Asset-Management, Datenqualität) werden als harte Anforderung für die gelungene Einführung der neuen Sicherheitslösung vorausgesetzt. Dies führt in der Regel dazu, dass dem Management Missstände statt Erfolge präsentiert werden.

Lösung 1: Machen Sie anfangs das Beste aus den Daten, die Sie haben. Großunternehmen vernetzen sich oft in Expertengruppen zum Erfahrungsaustausch. Ähnliche Angebote stehen auch KMUs offen. Die Erkenntnis, dass andere Unternehmen vor ähnlichen Herausforderungen stehen, hilft oft dabei, sich auf die eigentliche Problemstellung zu konzentrieren.

Gefahr 2: Bei einer schlechten Vorarbeit der IT-Organisation beginnt die IT-Security damit, Aufgaben anderer Abteilungen zu erledigen, um die eigenen Ziele zu erreichen. Dies verlangsamt den Projekterfolg bei laufenden Projektkosten.

Lösung 2: Zugegeben – dies ist immer wieder ein Balance-Akt. Um den Fokus nicht zu verlieren, hilft es, sich immer wieder den eigenen Scope vor den Augen zu führen. Sollte man tatsächlich zusätzliche Arbeiten erledigen müssen, ist Bescheidenheit fehl am Platz.

Vertrauliche Daten auf dem Handy und im Homeoffice? So arbeiten wir für Mobile Security und Awareness.

Quelle Titelbild: iStock / baona

Valeria Dimitrova
Expertin für IT-Security
Mehr erfahren

Weitere Beiträge

Risk & Security

Cybersecurity im Automobilbereich: die neue ISO 21434

Weiterlesen
Risk & Security

Messenger-Security-Check: Wie sicher sind die täglichen Begleiter?

Weiterlesen
Human & Relations

Vielfalt als Chance: Diversity macht stark

Weiterlesen

Diesen Beitrag teilen

Alle Beiträge von
Risk & Security