Tipps für eine schlagkräftige Einsatzzentrale gegen Hacker & Co.
Eine Gebäudesicherung mit ausgeklügelten Alarmsystemen, Videoüberwachung und automatischer Alarmierung der Einsatzkräfte ist für Unternehmen heute selbstverständlich. Anders sieht es hingegen bei den IT-Infrastrukturen aus: Was für Gebäude zwingend ist, bleibt bei der IT oft auf der Strecke. Höchste Zeit, dies zu ändern.
Mit der Digitalisierung steigt für Unternehmen die Gefahr, Ziel von Hackerangriffen aus dem Cyberspace zu werden. Dies erhöht die Anforderungen an die IT-Verteidigungsmassnahmen und an die Cyber-Alarmanlage. Denn der beste Schutzzaun ist nutzlos, wenn niemand erkennt, dass er durchlässig geworden ist.
Potentielle Angreifer sind weiter als die meisten Unternehmen: Sie organisieren ihre kriminellen Aktivitäten in spezialisierten Hacker-Teams. Dadurch sind ihre Angriffe schnell und präzise, die Schäden enorm. Betroffen sind längst nicht nur Banken: Baupläne werden genauso gehackt wie Kreditkartennummern von E-Shop-Kunden. Darüber hinaus publizieren Hacker Steuerdaten von Gemeindemitgliedern oder legen ganze Produktionsstrassen lahm. Firmen müssen also überwachen, was ihnen wertvoll ist: Einkommen, Wissen, Reputation. Kein einfacher Job für den Chief Information Security Officer (CISO).
Fünf Punkte, die beim CISO für Kopfschmerzen sorgen.
- Knappe IT-Ressourcen: fehlende Security-Fachkräfte und -Budgets
- Mobilität und Cloud: immer und überall verfügbar – und angreifbar. Der Mobilitätszwang erhöht die Verletzlichkeit.
- Digitalisierung: Der Einzug der IT in die Wertschöpfung der Unternehmen öffnet neue Möglichkeiten für Angriffe.
- Die internationale Lage: Aktuell versperren die USA China den Zugang zu Mobile-Software. Darf der CISO in Zukunft also noch Anti-Virus-Lösungen von russischen Herstellern einkaufen? Sollte der Security-Provider Schweizer sein?
- Compliance: Datenschutzgesetz und Branchenvorgaben (z. B. Finma)
Die Haustür ist auch nicht einfach offen
Gebäudesicherheit umfasst viele Stufen: Zutrittsschleusen, Codes, Badges, Kameras, Fingerprintsysteme oder den guten alten Türschlüssel. Für die IT-Infrastruktur sollten die gleichen Ansprüche gelten. Denn: Was im Gebäude sofort Alarm auslösen würde, bleibt in der virtuellen Welt vielfach verborgen. Eine mehrstufige Überwachung der IT-Infrastrukturen, das Security Monitoring, fehlt in vielen Unternehmen. Der CISO muss daher wirksame Gegenmassnahmen ergreifen, um Cyber-Einbrüche zu erkennen und zu verhindern.
Was im Gebäude sofort Alarm auslösen würde, bleibt in der virtuellen Welt vielfach verborgen.
Was eine Cyber-Alarmanlage beinhaltet
Wie beim Gebäude besteht auch die Alarmanlage einer IT-Infrastruktur aus einer Zentrale und einer Vielzahl an Sensoren. Als Sensoren dienen sämtliche Systeme und Applikationen, die relevante Informationen (Logfiles) zur Verfügung stellen können. Dazu kommen IT-Sicherheitskomponenten wie Antivirus-, Firewall und IDS-Lösungen, welche in die Zentrale integriert werden. Ziel ist es, Informationen zentral zu sammeln und zu verdichten, um dem Nutzer, dem CISO oder Security Analysten möglichst zielgerichtete Informationen zur Verfügung zu stellen. Durch die zentrale Sammlung über Abteilungen, Systeme und Applikationen hinweg soll auch die Zusammenarbeit der IT-Organisation verbessert werden. Dadurch können Vorfälle schneller erkannt und abgearbeitet werden.
Cyber Defense: So bauen Sie Ihre Cyber-Alarmanlage
Beim Aufbau einer Alarmvorrichtung sollten Sie schrittweise und in fokussierten Teilbereichen der IT-Infrastruktur ans Werk gehen. Nur, wer schnell Resultate und Nutzen aufzeigen kann, hat am Ende Erfolg. Ein Unternehmen muss aber nicht alles selber bauen. Bei fehlenden Mitarbeiter-Ressourcen oder geringem Security-Know-how macht es Sinn, bestimmte Aufgaben an dedizierte externe Fachkräfte abzugeben, denn diese erweitern tagtäglich ihre Erfahrung aus verschiedenen Kundenprojekten. Unternehmen können für ihre Alarmanlage zu ihren Bedürfnissen passende Jobprofile «einkaufen» und so ihr eigenes Security-Team ergänzen – entweder jährlich im Sinne eines Security-as-a-Service oder zeitlich begrenzt für ein Quartal.
Hacker Detection: So erkennen Sie «Einbrecher»
Erstens gilt es, Fehlalarme zu minimieren und zweitens den echten Sicherheitsvorfall eindeutig zu erkennen. Bei der Einführung einer Security-Monitoring-Lösung muss man sich darauf fokussieren, die Infrastruktur zu verstehen, um die tatsächlichen Vorfälle zu identifizieren. Falls der Vorfall richtig erkannt wurde, werden vordefinierte Gegenmassnahmen ausgelöst. Dies geschieht möglichst automatisch, ohne dabei zu viele (knapp verfügbare) Security Engineers zu involvieren. Um diese Prozesse optimal zu gestalten und auf die bestehende IT-Organisation abzustimmen, empfiehlt es sich also, auf die Erfahrung eines SOC- oder MSS-Anbieters zu setzen (Security Operations Center, Managed Security Services).
Einsatzteam SOC: für Sicherheitsvorfälle zuständig
Wo in der realen Welt die Securitas, Polizei oder Sondereinheiten zum Einsatz kommen, da wird in der Cyber-Welt ein vergleichbarer Ansatz benötigt. Es ist die Aufgabe des Security Operations Centers, ein Unternehmen erfolgreich zu schützen. Am besten 7×24 mit Schweizer Cyber-Experten, die im Ernstfall schnell eingreifen und Gegenmassnahmen einleiten können. Die Erkennung, Verhinderung und Bekämpfung von Cyber-Angriffen mittels Cyber-Alarmanlage steht dabei im Mittelpunkt. Denn nur wer in allen drei Bereichen reagieren kann, ist auch in Zukunft gegen die professionellen Angriffe von aussen und innen geschützt.
Beispiel Jobprofil Threat Hunter.
Aufgaben im Incident Response Center, das für rechtzeitige Alarmierung sorgt (Quelle: security.ch):
APT-Suche und Tiefenanalyse
Analyse neuer und historischer Angriffsdaten
Erkennung von Anomalien in der IT-Infrastruktur und den Anwendungen
Alarmierung und Klärung mit dem Kunden
Tuning der Security-Monitoring-Lösung
Weitere Informationen:
Text: Urs Rufer, CEO Terreactive AG
Schreibe einen Kommentar