IT-Sicherheit, richtig gedacht
Viele IT-Sicherheitsvorfälle, die an die Öffentlichkeit gelangen, wären entweder komplett vermeidbar gewesen – oder deren Folgen hätten weniger dramatisch ausfallen können. An technischen Lösungen mangelt es nicht. Doch warum gibt es noch immer IT-Notfälle? Die Antworten sind vielschichtig, aber es gibt eine Konstante.
Der erste Impuls vieler IT-Verantwortlicher ist, sich auf die Verteidigung des Netzwerks und der darin verarbeiteten Daten zu konzentrieren. Das erscheint soweit auch logisch und nachvollziehbar. Was jedoch passiert, wenn es einem Angreifer doch einmal gelingen sollte, an allen Verteidigungslinien vorbeizukommen und das Netzwerk zu infiltrieren? Diese Frage ruft meist Unbehagen hervor. Doch genau hier fehlt die Sichtbarkeit meist komplett. Ist ein Angreifer einmal drin, fällt seine Präsenz meist erst dann auf, wenn bereits alles zu spät ist.
Nach einem erfolgreichen Angriff steht schnell die Frage im Raum, warum die Attacke erst so spät aufgefallen ist. In der Praxis des Incident Response stellt sich oft genug heraus, dass es sehr wohl eindeutige Anzeichen für einen Angriff gegeben hat. Diese sind jedoch nicht oder zu spät erkannt worden – obwohl alle relevanten Informationen vorhanden waren. Die mangelnde Sichtbarkeit von Informationen sowie Mängel bei nachgeordneten Prozessen sind der Dreh- und Angelpunkt des Ganzen.
Netzwerke überwachen
Hier kommen weitere Lösungen zum Einsatz – wie etwa das SIEM, ein Security Information and Event Management. Ohne den zweifelsfrei vorhandenen Nutzen und die Sinnhaftigkeit von SIEM-Systemen schmälern zu wollen: Für die meisten KMUs ist der Aufbau und Unterhalt eines eigenen SIEM wirtschaftlicher Wahnwitz. In erster Linie ist ein SIEM ein Werkzeug, mit dem sich Informationen sammeln und aggregieren lassen. Aber ein SIEM ist keine «Lösung» im eigentlichen Sinne. Es benötigt konstante Betreuung und geschultes Personal. Die Kosten allein für das System, plus die jährlichen Personalkosten, bewegen sich schnell in schwindelerregende Höhen. Das Gleiche gilt für ein dediziertes SOC, das Security Operations Center. Für grosse Konzerne leistbar, für KMUs jedoch bestenfalls Wunschdenken. Anders sieht es aus, wenn SIEM oder SOC als Dienstleistung gebucht werden. Erstattet der Dienstleister Rapport, müssen die Informationen auch im Kontext des Netzwerks betrachtet werden und eventuelle Handlungsempfehlungen auch für die Systembetreuer verständlich sein.
Abweichungen von der Norm
Wenn unklar ist, welche Aktivitäten im Netzwerk zur Normalität gehören, ist es unmöglich, Abweichungen von der Norm überhaupt zu detektieren. Und selbst wenn die «Baseline» definiert ist: Den Rapport eines Dienstleisters genau zu untersuchen, ist unverzichtbar, um allzu lautes «Grundrauschen» zu minimieren. Eine Filterung der Ergebnisse ist also angezeigt, sonst droht eine Alarmmüdigkeit, letztlich zum Schaden des Unternehmens. Selbst wer einen Dienstleister beauftragt, befreit sich dadurch nicht von der Verantwortung, genau hinzusehen.
Ein weiterer Stolperstein für die Sicherheit sind Prozesse beziehungsweise deren Fehlen. Werkzeuge ohne einen angegliederten Prozess sind ebenso unnütz wie Prozesse, die auf einem wackligen technischen Fundament stehen. Erst in Verbindung mit ausgereiften Prozessen werden aus blossen Produkten auch Teile von Lösungen.
Partner
Best of Swiss Web bittet zum Winner Talk
Nach Ransomware-Angriff leuchten in Leicester die Strassenlampen Tag und Nacht
Die erfolgreichsten Webdienstleister der letzten fünf Jahre
Simap-Meldungen Woche 18: Zuschläge
Kanton Bern will IT der Strafbehörden harmonisieren
ETH-Spin-offs entwickeln leistungsfähigere Batterien
Abraxas verbucht operativen Verlust
Unbekannte Cyberkriminelle attackieren Kanton Bern im Internet
Dell präsentiert drei neue Produkte für sein Cyberresilienz-Angebot
