Security Operations & die Frage nach dem Wie

  • Managed Cyber Defense Dienste als externe Werkzeuge für Cyber-Hygiene innerhalb der Unternehmen.
  • Der Security-by-Design Ansatz übernimmt die Schirmherrschaft für alle Security-Angelegenheiten.
  • Security Operation Center (SOC) sind für Unternehmen eine wichtige Alternative zum Eigenbetrieb, um Cyber-Hygiene zu betreiben.

Ca. 53.000.000.000 Euro Schaden sind laut BfV (Bundesamt für Verfassungsschutz) in den vergangenen zwei Jahren durch Cyberangriffe in deutschen Unternehmen entstanden. Diese Summe muss man erst einmal verdauen. Die Auswirkungen sind vielfältig und reichen vom Produktionsstillstand - und Ausfall, über finanzielle Einbußen, Wettbewerbsnachteile, Schäden an Infrastrukturen und andere physische Schäden, bis hin zu Reputationsverlusten und rechtlichen Konsequenzen für etwaige Führungskräfte bzw. Mitarbeiter.

Diese Liste lässt sich durchaus weiter fortführen. Dabei sind nicht mehr ausschließlich die IT-Branche und Technologiekonzerne in den Fokus von Cyberkriminellen gerückt - nein, auch mittelständische Unternehmen sind in das Fadenkreuz von Wirtschaftsspionage und Erpressungssoftware gelangt und werden zunehmend interessant für Cyberkriminelle. Dabei bedrohen vielfältige Angriffsvektoren die Unternehmen, wie bereits in einer anderen Publikation veröffentlicht.

Risiken für KMUs und Konzerne

Wichtig ist, dass Digitalisierung und IT-Security bzw. Datenschutz ein Paar Schuhe werden. Denn durch den zunehmenden Vernetzungsgrad und der steigenden Anzahl von kognitiven Systemen und den daraus resultierenden Daten sowie den neuen Geschäftsprozessen, verändert sich auch die Security-Landschaft innerhalb der Unternehmen (auch innerhalb der KMUs) sehr stark. Diese exponentiell steigende Zahl der vernetzten Geräte und des Datenvolumens erfordert nicht nur, dass alles miteinander vernetzt wird, sondern erfordert vor allem dass alles miteinander geschützt wird.

 

 

Neben den klassischen Schauplätzen der Digitalisierung, wie IoT und Industrie 4.0, ist es maßgeblich der Faktor Mensch bzw. sind es die eigenen Mitarbeiter, die als schwierig kalkulierbare Akteure gelten und für die meisten Entscheider eine Kernherausforderung im Kontext IT- und Datensicherheit darstellen. Beispielhaft für jedwedes Fehlverhalten sind vor allem unsichere Internetzugänge, die mit Laptops und Smartphones genutzt werden oder Mails, die im Anhang Schadsoftware enthalten. Daher werden zur Zeit insbesondere im Rahmen von Trainings und Change-Kampagnen gezielt alle Mitarbeiter im Umgang mit digitalen Technologien und IT-Sicherheit geschult.

Ein immer größer werdender Faktor, welcher im Zuge von Cyberangriffen einhergeht, sind neue Bedrohungsarten aus dem Bereich der Künstlichen Intelligenz. Künftig werden sich im Rahmen von Künstlicher Intelligenz (KI) neue Möglichkeiten für Cyber-Angriffe anbieten, die sich Cyberkriminelle zu Nutze machen. Alles, was KI Positives für Unternehmen zu tun vermag, kann auch zu Hacking-Zwecken genutzt werden. Die Einbeziehung von Logiken, Automatisierung und Deep Learning können auch für Hacker-Angriffe, mit dem primären Ziel an Daten oder in Unternehmensnetze zu gelangen, genutzt werden.

 

 

Algorithmen und Machine Learning werden in diesem Kontext ein wichtiges Werkzeug, mit dem die Automatisierung noch einmal auf die nächste Stufe gehoben wird, gerade hinsichtlich sicherheitsrelevanter Themen. Je besser Security-Analysen ausgewertet werden können und Daten-Sets dieses Werkzeug durch Training verbessern, versprechen Künstliche Intelligenz bzw. Machine Learning Security-Lösungen ein echter Game Changer zu sein.

Führungskräfte sind nun gefragt, die richtige IT-Security-Strategie und Datenschutz-Strategie zu definieren und umzusetzen, um Infrastrukturen und Daten vor aktuellen Bedrohungsszenarien und neuartigen Cyberangriffen zu schützen.

Security by Design & Security Operations

Der bedeutendste Faktor bei der Cyber-Hygiene ist eine ganzheitliche Sicherungsstrategie sämtlicher Prozesse und Anwendungen - getreu dem Motto “Security by Design”. Das Security by Design-Konzept (analog dazu auch Privacy by Design im Datenschutz-Umfeld) beschreibt, dass die IT-Sicherheitslösungen, -Tools und -Komponenten bereits mit der Entwicklung und Umsetzung des eigentlichen Produktes oder Dienstes bereitgestellt werden. Es handelt sich bei “Security by Design” also weniger um eine Technologie als um ein Vorgehensmodell. Dazu ist es notwendig, dass IT-Sicherheitsexperten und Produktentwickler sowie die IT-Abteilungen und alle Dienstleister gemeinsam an einem Konzept arbeiten und sich an gemeinsame Regeln halten. Dies entlastet vor allem die IT-Sicherheitsverantwortlichen, die meist erst im Nachhinein oder für ein bereits feststehendes Konzept eine Security-Lösung finden müssen.

Ein weiterer wesentlicher Punkt, um Cyber-Hygiene zu betreiben, ist dass davon ausgegangen werden muss, dass sich der Angreifer schon im Netzwerk befindet. Präventive Maßnahmen reichen allein nicht mehr aus. Gerade wenn Präventivmaßnahmen den Angriff nicht mehr verhindern konnten, können im Falle eines Angriffs Detektionsmaßnahmen sowie eine schnelle Reaktion der Security-Organisation für eine Begrenzung des Schadens sorgen.

Weitere wichtige Elemente für eine sichere digitale Zukunft sind vor allem APT-Schutz (“Advanced Persistent Threat”) für Mails und Web-Zugang. Zudem sollte DDoS-Schutz im hohen Terabit-Bereich garantiert werden. Auch sollte unbedingt Mobile Security miteinbezogen werden. Unternehmensnetzwerke mit Managed Cyber Defense Diensten zu sichern ist heute schon bei der Security-Strategie ein zentraler Faktor.

Security Operation Center als  - Make or Buy ?!

“Um ganzheitlich das eigene Unternehmen gegen Cyberangriffe zu schützen haben viele Großkonzerne, in Anlehnung an die Militär War Rooms, die operativen Aufgaben und Disziplinen der Security in sogenannte Security Operation Center ausgelagert. Innerhalb dieser Räume werden im betrieblichen Alltag Security-Aktivitäten umgesetzt.”

Solche Managed Cyber Defense Dienste sind für den Mittelstand gefragter denn je. Im Zuge dessen auch die Schaltzentrale dieser Managed Cyber Defense Dienste - die Security Operation Center (SOC).

Innerhalb eines SOCs spielen vor allem Security Information & Event Management (SIEM) und Abweichungserkennungssysteme wie UEBA (User and Entity Behavior Analytics) eine vornehmliche Rolle.

Ein solches SIEM dokumentiert dabei zu jeder Zeit die Protokollinformationen und Netzwerk-Verbindungsdaten. Es konsolidiert Logs und Netzwerkdaten aus dem gesamten Unternehmen und analysiert diese Daten auf Abweichungen oder Auffälligkeiten. Erkennt das System Abweichungen, schlägt es Alarm. Zudem laufen komplexe Analysen und Echtzeit-Prozesse unter den geschulten Blicken speziell qualifizierter Security-Experten ab.

SOCs werden durch verschiedene Service Angebote auch für den Mittelstand zunehmend interessanter. Ob ein solches SOC im Eigenbetrieb oder “as-a-Service” durch einen Dienstleister betrieben wird, ist im Einzelfall zu bewerten. Die Make or Buy-Entscheidung ist dabei ein zentraler Punkt für IT Security Manager und Geschäftsführer, da der Eigenbetrieb solcher SOCs in der Regel das Budget jeglicher Security-Ausgaben übersteigt. Anhand gewisser Parameter können Handlungsempfehlungen zur Entscheidungsfindung helfen, ob ein SOC in Eigenregie betrieben werden sollte oder externe Dienstleister mit ihren SOC-Angeboten die Schotten innerhalb des eigenen Unternehmens dicht machen sollten.

Auswahlkriterien für ein Security Operation Center

Wo die Leistung eines SOCs erbracht wird, hängt von den Anbietern bzw. von den Vertragsbedingungen ab. Es ist durchaus möglich, dass ein Security-Anbieter ein SOC beim Kunden aufbaut, dass das “SOC-as-a-Service” komplett cloudbasiert angeboten wird oder das SOC aus der Ferne als Service betrieben wird. Das prominenteste Beispiel ist an dieser Stelle das SOC der T-Systems mit Hauptsitz in Bonn. Mit rund 200 IT-Security-Experten werden im 24-Stunden-Betrieb tagtäglich nahezu vollautomatisiert 3000 Datenquellen analysiert, um ihre eigenen Infrastrukturen und somit die ihrer Kunden zu schützen.

Doch welches sind die Kriterien zur Auswahl eines geeigneten Dienstleisters für einen “Security Operations Center-as-a-Service”?:

  • Fundierte Lageberichte & Analysen: Proaktive Analysen und Verwaltung der Systeme und schneller Zugang zu Untersuchungsberichten, damit die aktuelle Gefährdungslage sowie Schwachstellen aufgezeigt werden können.
  • 24/7 Monitoring: Analysen und Reporting, sowie die Überwachung der Systeme hat 24/7 zu erfolgen.
  • SIEM & IT-Forensik: Ein wesentlicher Punkt ist die schnelle Konsolidierung von: Logs und Netzwerkdaten und diese zu analysieren, um auf Abweichungen oder Auffälligkeiten reagieren zu können und entsprechend Alarm zu schlagen.
  • Zertifizierungen & Zusammenarbeit mit Verbänden: Zertifizierungen nach gewohnten Security-Standards (z.B. ISO, BSI) sowie die Zusammenarbeit mit zum Beispiel Bundesverbänden, zeigt die Tragweite eines SOC-Dienstleisters.
  • Fachpersonal: Einen wirklich großen Vorteil, die gute SOC-Anbieter mit sich bringen, befindet sich in den eigenen Reihen dieser Dienstleister. Diese besitzen Security-Experten, die von der Pike auf mit dieser Thematik groß geworden sind. Das schlägt sich nicht nur in Standard-Zertifizierungen, sondern auch jahrelanger Erfahrung im Security-Umfeld nieder.
  • Integration in Systeme: Leichte Integration der Systeme von neuen Kunden.
  • Machine Learning und KI als Security-Werkzeug: Lösungen mit neuen Möglichkeiten von Machine Learning im Cyberspace werden zum Game Changer.
  • SOC Meetups: Um ein Gespür für die wichtigkeit von Cyber-Hygiene zu bekommen und das Verantwortungsbewusstsein voranzutreiben sind Security Meetups und Veranstaltungen unerlässlich.
  • Security Assessments: Verbindliche, kontinuierliche und nachprüfbare Vulnerability Scans.
  • Technische Hilfe: Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen.

Ausblick

Im Zeitalter der Digitalisierung bekommen Daten einen immer höheren Stellenwert. Der hohe Vernetzungsgrad und der gleichzeitige Austausch von unternehmenskritischen Daten über das Internet bietet Cyber-Kriminellen ein größeres Potential als je zuvor. Für mittelständische Unternehmen sind sicherheitsrelevante Maßnahmen bis dato nur schwer erschwinglich. Der Fokus der Mittelständler lag bislang darin, alle 2-3 Jahre die Security-Software zu erneuern (Firewall, eMail-Filter etc.). Im Rahmen der Digitalisierung und des hohen Datenaufkommens definitiv zu wenig, um Herr über die eigenen Daten zu bleiben. Security Operations Center sind daher ein guter Ansatz das eigene Unternehmen effizient und ganzheitlich zu schützen. Die Möglichkeit “SOCs” auch als Dienstleistung “as-a-Service” einzukaufen, verbessert die Chancen gerade für kleinere und mittelständische Unternehmen, sich auf ein höheres IT-Security-Niveau zu heben.