SPONSORED-POST Dossier kompakt in Kooperation mit Abraxas Informatik

Schutzschild gegen digitale Bedrohungen

Uhr
von Anton Brauchli, Solution Architect, Abraxas Informatik

Eine Kehrseite der Digitalisierung ist die wachsende Gefahr durch Cyberattacken. Unternehmen müssen ­organisatorisch und technologisch gewappnet sein, sensible Daten zu schützen. Ein "Security Operations Center"-­Service bietet hier eine einfache und effiziente Möglichkeit für die Sicherheit ihrer IT-Infrastruktur.

(Source: Abraxas Informatik)
(Source: Abraxas Informatik)

Mit der voranschreitenden Digitalisierung können Unternehmen, Organisationen und Behörden auch vermehrt zu Opfern von Cyber­angriffen werden. Die grosse Mehrheit der Unternehmen verfügt über kein implementiertes Insider-Bedrohungsmanagement, insbesondere fehlt ein technisches Monitoring von verdächtigen Aktivitäten. Und auch wenn ein solches im Einsatz steht: den Unternehmen fehlen ausgewiesene Security-Analysten, die aus der Flut von Daten relevante und qualifizierte Security-Alerts herauslesen können. Daher ist es nicht erstaunlich, dass die mediane Dauer bis zur Entdeckung von Sicherheitsverletzungen über 100 Tage beträgt (Mandiant Trends 2018).

Agents of Shield

Das Rückgrat der Schweiz sind zuverlässige Infrastrukturen von Wirtschaft und öffentlicher Hand – diese gilt es angesichts der geänderten digitalen Bedrohungslage besser zu schützen. Auch aufgrund verschärfter Datenschutzgesetze (DSG & EU-DSGVO) und zur Wahrung des Vertrauens der Bürgerinnen und Bürger in die digitale Wirtschaft und Verwaltung ist eine nachhaltige Stärkung der Security eine zwingende Notwendigkeit.

Wie schreibt man sich nun als Schweizer Unternehmen die digitale Sicherheit auf den Schild? Wo holt man sich Unterstützung bei der technischen und organisatorischen Bewältigung von Cyberattacken? Abhilfe schaffen kann hier ein "Managed Security Service"-Provider (MSSP) mit einem Security Operations Center (SOC). Dieses bietet umfassende Sicherheit beim Erkennen und Managen von sicherheitsrelevanten Vorfällen. Ein solcher Service stützt sich in der Regel dabei auf ein "Security Information & Event Management"-System (SIEM), das die technologischen Grund­lagen liefert.

Sensoren und Service

Mittels Sensoren, die Funktionalitäten wie etwa Log Collectors, Intrusion Detection, Vulnerability Scanning, Honeypots oder ­Canaries umfassen, werden Unmengen Events gesammelt, gefiltert und korreliert, woraus spezifische Security Alerts entstehen. Zur Verdeutlichung: Von monatlich drei Milliarden geloggten Events eines Beispielunternehmens entstehen gut 1000 als sicherheitsrelevant eingestufte Alerts, von denen dann durch Security-Analysten drei als echte Security-Incidents mit negativem Impact für die Organisation qualifiziert werden. Die Security-Analysten des SOC liefern den Kunden anschliessend professionelle Handlungsempfehlungen zum Umgang mit diesen Incidents.

Neben dem technologischen Know-how für ein SIEM ist in einem SOC auch eine umfassende Supportorganisation vonnöten. Idealerweise dient hierbei ein Service Desk als zentraler Kontaktpunkt und Ansprechpartner für die Kunden, sei es fürs Security-Management oder für Support-Anfragen. So wird für die Kunden ein kompletter Rundum-Service gewährleistet.

Vorteile für Kunden

Ein flexibler SOC-as-a-Service-Ansatz ist auch wirtschaftlich deutlich kostengünstiger als vergleichbare interne Lösungen. Kunden können hier Einsparungen in der Grössenordnung von bis zu 70 Prozent realisieren – nicht zuletzt weil keine versteckten Zusatzkosten zu erwarten sind. Überdies sollte die Lösung aus datenschutzrelevanten Überlegungen vollumfänglich aus der Schweiz stammen. Hat der Anbieter ausserdem auch ein durchdachtes Konzept mit Standard-Use-Cases, verkürzen sich dadurch die Einführungszeiten für den Kunden zum Teil massiv. Das Angebot einer SOC-Lösung wird idealerweise mit einem integralen Kundenportal inklusive Security Dashboard und regelmässigem Reporting abgerundet.

----------

Einige Unternehmen ignorieren die ­Gefahren durch Cyberattacken bewusst 

Viele Unternehmen in der Schweiz sind heute noch im Blindflug unterwegs, wenn es um Cybersecurity und digitale ­Bedrohungen geht. Im Interview zeigt Anton Brauchli, Solution Architect bei Abraxas Informatik, wieso das so ist und wie man mittels eines "Security Operations Center"-as-a-Service Abhilfe schaffen kann. Interview: Marcel Urech

Viele Unternehmen sind der Meinung, dass sie das Thema ­Cybersecurity alleine bewältigen können. Ist das heute noch realistisch?

Anton Brauchli: Ganz klar nein. Cyberkriminelle haben sich längst zu Organisationen zusammengeschlossen. Damit wir dieser Bedrohungslage entgegentreten können, sind auch wir auf exzellente Vernetzung angewiesen. Sowohl Abraxas wie auch unser Partner Hacknowledge sind Mitglieder diverser sogenannter "Circle of Trust", zum Beispiel bei Melani, die genau einen solchen gesicherten Informationsaustausch fördern.

Nehmen Schweizer Unternehmen das Thema Cybersecurity ernst genug?

Natürlich hat die Sensibilisierung zugenommen. Wir stellen aber immer noch fest, dass viele Unternehmen die Bedrohung durch Cyber-Security-Attacken unterschätzen. Das geht bei einigen sogar bis zum bewussten Wegschauen mit der Begründung, dass dies neben den hohen direkten Kosten auch Folgeaufwände für die Behebung von Security-Lücken verursacht. Die Risiken sind aber sehr real: das reicht von Haftungsfragen über Imageschäden bis hin zu konkreten finanziellen Schäden, wenn die eigene Infrastruktur nicht zur Verfügung steht, weil sie durch einen Angriff kompromittiert wurde.

Unternehmen brauchen oft sehr lange, um Cyberattacken zu erkennen. Warum ist das so?

Die allermeisten Unternehmen verfügen über kein oder kein ausreichendes Security-Monitoring. Einige haben viel Geld in solche Systeme investiert, verzichten aber mangels Budget auf den vorgesehenen Betrieb oder finden kein geeignetes Personal und verlieren so den strategischen Vorteil wieder. Diese Unternehmen sind dann im Blindflug unterwegs und werden oft durch Aussenstehende über ihre eigenen Sicherheitslücken informiert. Genau hier setzen wir – zusammen mit Hacknowledge – mit unserem SOC/SIEM-Service an: Unsere Security-Analysten liefern unseren Kunden qualifizierte Alerts und konkrete Handlungsempfehlungen.

Wie können Unternehmen verdächtige Aktivitäten erkennen?

Im Wesentlichen muss die nötige Sensorik vorhanden sein. Intrusion-Detection-Systeme, Vulnerability-Scanner oder Firewalls sind oft schon vorhanden, sollten aber um weitere Systeme, wie etwa Honeypots ergänzt werden. Die gesammelten Informationen werden dann mittels einer SIEM-Plattform korreliert und analysiert. Alarm wird dann bei klaren Indizien aber auch aufgrund von sich veränderndem Verhalten ausgelöst, beispielsweise bei ungewöhnlichen Datenflüssen, "Lateral Movement" oder Verschleierungstaktiken. Unser Service bietet zu diesem Zweck auf attack.mitre.org abgestimmte Standard-Use-Cases.

Wie schwierig ist es, zu erkennen, ob ein Security-Alert wirklich kritisch ist?

Das kommt sehr stark auf den Security-Alert an. Einige sind sehr einfach zu erkennen, andere benötigen viel Erfahrung, Spezialistenwissen und externe Threat-Intelligence-Quellen. Natürlich gehört oft auch die Rücksprache mit dem Kunden dazu. Die Tendenz ist aber klar: Cyberangriffe werden immer ausgeklügelter, und Angreifer wissen sich immer besser zu verstecken.

Was empfehlen Sie KMUs, die oft über kein grosses Budget für die Abwehr von Cyberangriffen verfügen?

Um eine Organisation besser zu schützen, braucht es Security-Spezialisten. Die gibt es aber nicht in dieser Zahl auf dem Markt – schon gar nicht in der Schweiz. Das ist auch einer der Gründe, weshalb sich der Bezug eines SOC-as-a-Service durchsetzen wird. Sich externe Hilfe zu holen und die Dienstleistung zu beziehen, wird für die allermeisten Unternehmen der richtige Weg sein.

Nutzt Abraxas auch künstliche Intelligenz, um Cyberattacken zu erkennen?

Heute rechtfertigen es die hohen Kosten noch nicht, künstliche Intelligenz dafür einzusetzen. Was die Zukunft bringen wird, werden wir sehen. Als Zwischenschritt sehen wir den Teilbereich Machine Learning eher als geeignet an, beim Erkennen von Cyberattacken unterstützend zu wirken. Das ist auch das, was die meisten Hersteller heute als künstliche Intelligenz verkaufen.

Webcode
DPF8_137914