Sicherheit spielt eine große Rolle in Unternehmen. Wie eine Überforderung der zuständigen Mitarbeiter verhindert werden kann, lesen Sie hier.
Eine neue ESG-Studie zeigt, dass Sicherheitsbeauftragte in Unternehmen und Institutionen mit der Menge an Bedrohungsbenachrichtigungen so überfordert sind, dass 43 Prozent der Teams 75 Prozent dieser Benachrichtigungen routinemäßig schlichtweg ignorieren.
Gefährliche Security-Konzepte: Überforderung kann zu Ignoranz führen. Foto: Kaspars Grinvalds - shutterstock.com
Auf der Black-Hat-Konferenz wurden 337 Sicherheits- und IT-Fachkräfte befragt, um ein besseres Verständnis davon zu bekommen, wie und wann Sicherheitsmaßnahmen automatisiert werden sollten. Die Studienergebnisse zeigen eine Art Strategieplan zur Bewältigung der enormen Mengen an Bedrohungsbenachrichtigungen.
Viele Diskussionen, zu wenige Taten
Sicherheitsteams sehen einen klaren Mehrwert in automatisierten Sicherheitsmaßnahmen, wie nahezu alle Befragten (95 Prozent) bestätigen. Doch das alleine bewegt sie nicht dazu, dies in die Tat umzusetzen. Fast die Hälfte der Studienteilnehmer nutzen manuelle Sicherheitsmaßnahmen wie E-Mails, Tabellen und Ähnliches.
Die größten Hindernisse für Automatisierung sind isolierte Arbeitsweisen und fehlende Ausstattung. Foto: ServiceNow
Die häufigsten Gründe, warum Automatisierung nicht umgesetzt wird, sind:
die meistens isolierte Arbeitsweise von Sicherheits- und IT-Teams, die die Automatisierung erschwert und
fehlt schlicht die nötige Ausstattung.
Nicht alle Vorgänge lassen sich einfach automatisieren
Die Studienteilnehmer wurden gebeten, Arbeitsabläufe danach zu bewerten, wie einfach oder schwer sie sich automatisieren lassen. Natürlich waren die grundlegenden Aufgaben, die unkompliziertesten zu automatisieren:
Sammeln von Vorfällen aus mehreren Produkten an einem einzigen Ort
IP-Quelladressen, Datei-Hashes und andere IOCs (Indicators of Compromise) identifizieren
Abfragen von externen Bedrohungsquellen
Diese Aufgaben sind gleichzeitig die am häufigsten automatisierten Aufgaben in Unternehmen.
Als die Aufgaben, deren Automatisierung am schwierigsten wären, nannten die Befragten die komplexeren Prozesse:
Problemlösung
Tatsächliche Bedrohungen besätigen
Fehlerbehebungsprozesse festlegen
Diese Aufgaben waren wiederum die am wenigsten automatisierten in Unternehmen.
Lektionen für Sicherheitsfachkräfte
Wenn zwei von fünf Sicherheitsexperten sagen, dass sie routinemäßig Sicherheitswarnungen ignorieren, weil sie überfordert sind, haben sie ein ernstes Problem. Fachleute, die bei der Black-Hat-Studie befragt wurden, sehen die Automatisierung als eine mögliche Lösung für dieses Problem.
Die größten Bedrohungen für Unternehmen 2018
Crime-as-a-Service (CaaS) Nachdem das Information Security Forum in diesem Bereich bereits 2017 einen signifikanten Anstieg verzeichnen konnte, rechnen die Experten für 2018 mit einem neuerlichen CaaS-Boom. Das wird vor allem daran liegen, dass man insbesondere in der organisierten Kriminalität die Cybercrime-Vorteile zu schätzen weiß. <br><br /> Im Vergleich zu 2017 rechnet Steve Durbin - Managing Director des ISF - allerdings damit, dass der CaaS-Trend viele neue „Cybercrime-Aspiranten“ ohne tiefgehendes technisches Wissen anziehen wird, die dann mit gekauften Tools Hackerangriffe bewerkstelligen, zu denen sie sonst niemals in der Lage gewesen wären. Gleichzeitig steigt aber auch das Professionalisierungslevel unter fähigen Black-Hat-Hackern – insbesondere beim Thema Social Engineering, wie Durbin sagt: „Die Linie zwischen Enterprise und Privatperson verwischt immer mehr – das Individuum wird immer mehr zur Firma.“ <br><br />
Internet of Things (IoT) Das Internet der Dinge bleibt auch 2018 Security-Sorgenkind. Der Grund: Immer mehr Unternehmen setzen IoT-Devices ein – der „Security by Design“-Grundsatz hat sich hingegen immer noch nicht im großen Stil durchgesetzt. Auch die durch die rasant wachsenden IoT-Ökosysteme verwässerte Transparenz wird vom ISF angeprangert. <br><br /> Kommt es zu Datenlecks, ist es sehr wahrscheinlich, dass die betroffenen Unternehmen nicht nur den Zorn der Kunden, sondern auch die harte Hand der Regulatoren zu spüren bekommen. Worst-Case-Szenario: IoT-Devices in industriellen Kontrollsystemen (oder anderen kritischen Infrastrukturen) werden kompromittiert und führen zu Gefahr für Leib und Leben. <br><br /> „Aus Sicht der Hersteller ist es wichtig, Verhaltensmuster und Wünsche der Kunden zu verstehen,“ so Durbin. „Aber das hat dazu geführt, dass mehr Angriffsvektoren als je zuvor vorhanden sind. Die Devices müssen so abgesichert werden, dass sie unter Kontrolle sind – und nicht uns unter Kontrolle haben.“ <br><br />
Supply Chain Seit Jahren prangert das ISF die Schwachstellen in der Supply Chain an. Denn hier werden, wie die Experten wissen, oft vertrauliche Daten mit Zulieferern geteilt. Sobald das der Fall ist, verliert das betreffende Unternehmen seine direkte Kontrolle. <br><br /> „Egal, in welcher Branche Sie tätig sind“, macht Durbin klar, „jedes Unternehmen hat eine Lieferkette. Die Herausforderung besteht darin, zu wissen, wo sich die Daten befinden – und zwar zu jedem Zeitpunkt im Lifeycycle. Und natürlich darin, die Integrität der Informationen, die geteilt werden sollen, zu bewahren.“ Unternehmen sollten deshalb nach Meinung der ISF-Experten auf das schwächste Glied in ihrer Lieferkette fokussieren und Risikomanagement-Elemente in bestehende Prozesse einbauen. <br><br />
Regulierung Regulationen steigern die Komplexität. Das ist auch im Fall der EU-Datenschutzgrundverordnung (DSGVO/GDPR) nicht anders. <br><br /> „Ich habe in den letzten Monaten kein Gespräch geführt, bei der GDPR nicht Thema war“, meint Durbin. „Dabei geht es nicht nur um Compliance: Sie müssen in der Lage sein, persönliche Daten zu managen und zu schützen und das auch beweisen können – und zwar zu jeder Zeit. Und nicht nur gegenüber den Regulatoren, sondern auch gegenüber den Kunden.“ <br><br />
Unerfüllte Erwartungen Diskrepanzen zwischen den Erwartungen des Vorstands und dem, was IT-Sicherheits-Abteilungen tatsächlich leisten können, wird laut den ISF-Experten 2018 eine Bedrohung darstellen. <br><br /> Durbin erklärt, warum: „Der CISO – so die Denke – hat schon alles unter Kontrolle. In vielen Fällen weiß der Vorstand einfach nicht, welche Fragen er dem CISO stellen sollte. Auf der anderen Seite versteht auch so manch ein CISO nicht unbedingt, wie er mit dem Vorstand – oder dem Business – kommunizieren muss.“ <br><br /> Die Folgen eines Sicherheitslecks oder erfolgreichen Angriffs bekommt aber nicht nur das Unternehmen als Ganzes zu spüren – auch die Reputation einzelner Manager – oder des ganzen Vorstands – können darunter leiden. Die Rolle des CISOs muss sich 2018 deshalb verändern, ist Durbin überzeugt: „Die Rolle des CISOs besteht heute vor allem darin, Dinge vorher zu sehen – nicht darin, für die Funktion der Firewall zu sorgen. Ein guter CISO muss Sales-Experte und Berater zugleich sein: Wenn er seine Ideen nicht verkaufen kann, werden Sie beim Vorstand auch keinen Anklang finden.“ <br><br />
Mit folgenden drei Schritten können Sicherheitsmaßnahmen automatisiert werden:
1.Fangen Sie klein an. Sie müssen nicht Automatisierung als ein End-to-End-Projekt betrachten. Fangen Sie mit ein paar banalen Aufgaben an, die Analysen vereinfachen. Die Umsetzung kann ganz simpel aussehen, wie zum Beispiel Automatisieren von maschineller Prozesssuche: Was läuft auf der Maschine? Ist das normal? Das könnte etwa Malware-Eliminierung in einer Sandbox oder eine Bedrohungsintelligenz-Suche sein. Diese kleinen Schritte können den Zeitaufwand für die Bedrohungsanalyse stark beeinflussen.
2.Machen Sie weiter. Wenn Sie einige Aufgaben erfolgreich automatisiert haben, wählen Sie weitere Anwendungsfälle. Fokussieren Sie sich dabei auf Arbeitsprozesse, die Teil der Analysen sind und gewöhnliche, sich wiederholende Aufgaben, die die Analysezeit deutlich verringern könnten.
3.Werden Sie aktiv. Erweitern Sie Automatisierung auf risikoschwache Elemente, die Teil des Auflösungsprozesses sind, wie das Deaktivieren eines Benutzerkontos, wenn ein Konto kompromittiert wurde oder wenn ein Block auf einer Firewall hinzugefügt wird, wenn ein infiziertes System mit einem neu gefundenen Befehls- und Kontrollsystem kommuniziert. Oder sogar das automatische Löschen von neu bestätigter Phishing-E-Mail aus allen Postfächern. Dies ermöglicht eine Automatisierung, die Unternehmen wertvolle Zeit beim Beheben von Sicherheitsvorfällen spart und gleichzeitig Sicherheitsanalysen auslagert, damit sich Sicherheitsfachkräfte auf komplexere Aufgaben konzentrieren können.