Systemausfall aus dem Nichts: Wenn bei Unternehmen eine IT-Störung für Probleme oder gar Produktionsausfälle sorgt, gilt der erste Gedanke zur Ursache einer Hackerattacke. Aber auch interne Schwachstellen und Ereignisse können schnell problematisch werden – ausgelöst von Datenanomalien oder Versäumnissen in der Hardware-Wartung.
“IT-Netzwerke sind heute das entscheidende Asset eines Unternehmens. Neben der Architektur und laufenden Absicherung nach außen muss ein Netzwerk auch intern rund um die Uhr auf Abweichungen von der Norm überwacht werden. So besteht die Chance, eine kritische Situation vor einer Eskalation über einen gewissen Zeitraum zu identifizieren und frühzeitig Schlimmeres zu verhindern”, sagt Andreas Schlechter, Geschäftsführer von Telonic. Das Kölner Unternehmen ist spezialisiert auf die Planung und den Aufbau von Netzwerken und übernimmt die Überwachung rund um die Uhr. Denn zahlreiche Stellglieder in einem Netzwerk geben System-Logs aus – Dateien, die alle Netzwerkereignisse verzeichnen und auflisten. Problematisch: Unter tausenden unkritischen Einträgen gehen wichtige Hinweise auf sich aufbauende Probleme meist aufgrund mangelnder Kapazitäten unter.
NSA: Network, Security und Analytics
Solche Situationen seien nichts Außergewöhnliches, berichtet das NSA-Team von Telonic. NSA steht hier nicht für einen Geheimdienst, sondern die drei Stellglieder einer IT-Infrastruktur: Network, Security und Analytics. “Kritische Situationen bauen sich meist über Stunden oder Tage auf, und meist haben verschiedene Systeme das auch bereits erfasst und geben es über Logdateien aus. In den Unternehmen besteht aber kaum die Chance, diese Datensätze zu analysieren und etwaige Probleme nachzuverfolgen”, analysiert Andreas Schlechter. Sein IT-Team hat mit Humboldt Abhilfe entwickelt: Eine Security Action Platform, die als operatives Tool genutzt werden kann. Im eigenen Security Network Operation Center (SNOC) setzt Telonic die Lösung bereits für eine Vielzahl an Kunden ein. Aus den Logs aller security-relevanten Komponenten in den Systems-Firewalls werden mit Hilfe einer Wissensdatenbank und Künstlicher Intelligenz (KI) automatisch Handlungsanweisungen generiert, die sofort und unmissverständlich umgesetzt werden können.
Handeln vor dem GAU – nicht danach
“Wir beobachten in den letzten Jahren zunehmend, dass Netzwerkereignisse in Unternehmen, die zu Ausfällen führen, sich über eine längere Zeit aufbauen, und so gut wie nie aus heiterem Himmel entstehen. Bei den nachfolgenden Analysen wurde klar: Das hat sich aufgebaut und hätte bereits frühzeitiger erkannt werden können”, erklärt Schlechter. Mit Humboldt entfällt die zeitaufwendige Analyse eines Security Incidents durch einen Spezialisten. Humboldt greift über einen VPN-Zugang auf das SIEM oder einen Log-Server im Datacenter des Kunden zu und extrahiert die relevanten Events. Nach einer automatisierten Bewertung gibt das System eine Analyse und präzise Handlungsanweisungen aus.
Ein weiteres Problem sei die inhomogene Hardware-Landschaft innerhalb von IT-Netzwerken. Hier setzt Telonic eine speziell adaptierte Cloud-Software von Versio.io ein, mit der eine heterogene und hybride Netzwerkstruktur untersucht und katalogisiert werden kann. Nach der Implementierung fragt Versio.io alle Devices in der Netzwerkarchitektur nach Hersteller, Modell und Firmware-Version ab. Durch die laufende Kontrolle können Router, Firewalls und Switche zentral gepatcht oder Updates unterzogen werden. Versio.io übernimmt auch die Dokumentation zur Erfüllung von Compliance-Vorgaben. “Netzwerke brauchen Pflege. So können schwere Störungen aus dem eigenen System verhindert oder zumindest frühzeitig erkannt werden”, resümiert Telonic-Chef Andreas Schlechter.