Drei Schritte zum Schutz vor Cybersecurity-Risiken

Advertorial

Wie wichtig IT-Security für alle Unternehmen ist, sollte jedem IT-Verantwortlichen inzwischen bewusst sein. Dazu tragen zweifelsohne schon die zahlreichen Berichte über Cyberangriffe und Schäden durch Malware in den Medien bei. Nachfolgend soll in drei Schritten aufgezeigt werden, wie eine strukturierte Vorgehensweise aussehen kann.

Schritt 1: Bewerten Sie Ihre individuelle Situation

Zuerst ist es wichtig, die eigenen Beweggründe ehrlich zu hinterfragen: Sind überwiegend externe Compliance-Anforderungen der Treiber oder ist der bestmögliche Schutz vor Cybergefahren das Ziel?

Nach wie vor wird die IT-Security häufig als begleitende Maßnahme zur Erreichung von Zertifizierungen, wie ISO 27001 oder TISAX, gesehen oder dient der Erfüllung gesetzlicher Verordnungen, wie dem IT-Sicherheitsgesetz oder der KRITIS-Verordnung. Ist dies der Fall, liegt der Fokus meist auf der Erfüllung der jeweiligen Mindestanforderungen, und das Budget wird sich demzufolge am Notwendigen und nicht am Machbaren orientieren. In diesen Fällen finden sich in Schritt 2 geeignete Hinweise. Wird Cyber Defense von der Unternehmensleitung strategisch gesehen und ein hohes oder sehr hohes Schutzniveau angestrebt, finden sich in Schritt 3 Hinweise auf wirkungsvolle Maßnahmen.

Unabhängig von den Beweggründen geht es in Schritt 1 zunächst darum, bestehende Sicherheitskonzepte und -Maßnahmen zu dokumentieren. Eine Reifegrad-Analyse zeigt momentane Stärken und Schwächen in der Cybersicherheit des Unternehmens auf. Auf dieser Basis kann ein Leitfaden mit Checkliste als valide Entscheidungsgrundlage erstellt werden. Unterstützung bieten in dieser Phase auch Compromise Assessments. Diese liefern nicht nur Informationen zur individuellen Sicherheitslage, sondern helfen auch, geeignete Maßnahmen festzulegen und zu priorisieren.

Schritt 2: Setzen Sie Mindestanforderungen um

Auf Basis der Bewertungen lassen sich in Schritt 2 erste Maßnahmen zur Verbesserung des Sicherheitsniveaus durchführen. In praktisch allen Zertifizierungsanforderungen wird eine Sammlung und eine strukturierte Auswertung von Logdaten sowie eine regelmäßige Überprüfung auf Schwachstellen gefordert. Die genaue Ausgestaltung mag unterschiedlich sein, allerdings werden diese beiden Maßnahmen zur aktiven Erkennung von Schwachstellen und Anomalien grundsätzlich verlangt.

SIEM-Lösungen

Die Mindestanforderung bei der Einführung von SIEM-Lösungen besteht darin, Verstöße gegen Compliance-Richtlinien oder Auffälligkeiten im Benutzerverhalten zu erkennen, die auf Security Incidents hindeuten. Somit lässt sich eine Basisüberwachung sicherstellen, jedoch keine vollständige Erkennung von Cybergefahren. Professionelle SIEM-Anbieter verfügen meistens über Use-Case-Kataloge, die eine Auswahl entsprechend den jeweiligen Anforderungen erlauben.

Schwachstellen-Management

Vulnerability-Management- oder Schwachstellen-Management-Lösungen überwachen die IT-Infrastruktur regelmäßig aktiv auf bekannte Schwachstellen. Es wird eine transparente Sicht auf vorhandene Schwachstellen und damit verbundene Risiken erreicht, gleichzeitig wird die Grundlage für eine strukturierte Bearbeitung geschaffen. Das Ergebnis: ein kontinuierlich steigendes Sicherheitsniveau. Zusätzlich lassen sich neu aufgetretene Schwachstellen schnell identifizieren.

Vulnerability-Management-Lösungen liefern jedoch selbst bei kleineren Unternehmensgrößen eine sehr hohe Anzahl von Schwachstellen, deren Bearbeitung und Beseitigung die Kunden-IT oft vor unüberwindbare Hürden stellt. Aus diesem Grund ist die Realisierung als Managed Service zu empfehlen, wobei insbesondere darauf zu achten ist, dass der Anbieter neben dem Betrieb auch die Bewertungen und Priorisierungen der Schwachstellen übernimmt.

Schritt 3: Schützen Sie sich umfassend

Der nächste große Schritt hin zu einem umfassenden Schutz vor Cybergefahren stellt die professionelle, kontinuierliche Bewertung und Priorisierung durch Security-Analysten im Security Operations Center (SOC) dar.

Wurde bereits eine SIEM-Plattform implementiert, lässt sich diese verhältnismäßig einfach erweitern, um die typischen Angreifer-Techniken in den unterschiedlichen Phasen eines Cyberangriffs zu erkennen. Für die Erkennung sind jedoch erweiterte Logquellen, wie Sysmon- oder Powershell-Logs, erforderlich. Alternativ oder in Ergänzung ist es ratsam, auch KI-basierte Ansätze zur Anomalie-Erkennung zu berücksichtigen. Endpoint-basierte „Detection & Response“-Lösungen gewinnen dabei deutlich an Bedeutung. Zum einen kann am Endpoint unverschlüsselter Datenverkehr analysiert werden, zum anderen lässt sich die Erkennung von Angreifern und Malware deutlich vereinfachen, da Informationen zu aktiven Prozessen und Usern vorliegen.

In der Regel ist der Betrieb eines SOC für Unternehmen sehr anspruchsvoll und in den meisten Fällen auch unwirtschaftlich. Daher ist es sinnvoll, qualifizierte Security-Analysten im Rahmen eines Managed Service für die Bewertungen und Priorisierungen einzusetzen. Diese verfügen über ein profundes Verständnis der Angreifer-Techniken und gleichzeitig über Erfahrungen in Bezug auf Angriffsreaktionen. Ein weiterer Vorteil von Managed Services besteht darin, dass Serviceprovider auf Erkenntnisse aus anderen Kundenumgebungen zurückgreifen und die weltweite Bedrohungslage bei der Bewertung von Incidents berücksichtigen können. Somit sind sie häufig in der Lage, den Schadenseintritt bereits präventiv zu verhindern.

Zusammenfassung:

  • Die richtige Herangehensweise an Cyber Defense ist vom individuellen Motiv abhängig.
  • Cybersecurity-Checks helfen, den eigenen Reifegrad zu ermitteln und die weiteren Schritte zu planen.
  • Modulare Lösungen lassen sich sinnvoll erweitern und schützen bereits getätigte Investitionen.
  • Managed Services tragen dazu bei, den betrieblichen Aufwand zu minimieren und die Bewertung und Priorisierung von Security Incidents zu verbessern.

Autor: Christian Bohr, Head of Managed Services, Controlware GmbH

https://www.controlware.de/index.html

Teaserfoto: © Adobe Stock/Sergey Tarasov