Active Security Management[Advertorial]

Cyber Security: Weckruf für Unternehmen

Cyber Security: Weckruf für Unternehmen.
Cyber Security: Weckruf für Unternehmen. (Bild: bg-pictures / stock.adobe.com)

Bereitgestellt von

Die Flut an Meldungen über aktuelle Cyberattacken zeigt, wie verwundbar Unternehmen sind. Aktives Sicherheitsmanagement hilft Firmen, Schäden in Grenzen zu halten und schnell wieder zum Normalbetrieb zu finden.

In den vergangenen Wochen stieg die Zahl an öffentlichen Hacks und Datendiebstählen, die durch Medienberichte bekannt wurden, gewaltig an. Ransomware namens „WannaCry“ beeinträchtigte Unternehmen auf der ganze Welt. Die Schadsoftware verschlüsselte Dateien, wodurch beispielsweise Krankenhäuser in Großbritannien den Betrieb einstellen mussten. Bei der Deutschen Bahn fielen die Anzeigetafeln aus. Honda musste Produktionsanlagen offline nehmen. Außerdem wurden Kameras zur Geschwindigkeitsmessung mit Malware infiziert. Das führte dazu, dass hunderte von Bußgeldbescheiden im Nachhinein ungültig waren. Schon kurze Zeit später machte ein Cyber-Angriff auf das britische Parlament Schlagzeilen. Kriminelle versuchten, sich Zugang zu E-Mail-Konten zu verschaffen. Die erste Reaktion war, dass die Regierung die Betroffenen informierte und den Fernzugriff deaktivierte. Außerdem wandte sie sich an das nationale Zentrum für Cyber-Sicherheit, um weitere Maßnahmen zur Sicherung des Computernetzwerkes einzuleiten. Daraufhin folgte noch ein weiterer Hack, der schnell als „Petya“ Bekanntheit erlangte. In der Ukraine verursachte er große Schäden: Dort fielen wegen ihm die Überwachungssysteme des havarierten Tschernobyl-Reaktors und viele Geldautomaten aus.

Diese Beispiele zeigen, dass die IT- oder generell die digitale Sicherheit nicht länger nur ein Problem für Systemadministratoren aus der IT-Sicherheit ist. Es geht nicht mehr nur darum, neue Netzwerk-Firewalls zu installieren und zu konfigurieren, Endpoint-Sicherheitslösungen und modernere Spam-Filter zu implementieren. Zwar konnten Unternehmen und Einrichtungen, die ihre Systeme aktuell hielten, der WannaCry-Attacke widerstehen. Allerdings müssen Verantwortliche immer häufiger abwägen, ob sie eine temporäre Nicht-Verfügbarkeit in Kauf nehmen, um das Sicherheits-Level aufrechtzuerhalten: Im Fall des britischen Parlaments wurde im Zuge einer Geschäftsentscheidung ein wichtiger digitaler Kommunikationsdienst aus Sicherheitsgründen abgeschaltet. Das wiederum beeinträchtigte den parlamentarischen Betrieb. Solche Situationen übersteigen den Aufgabenbereich von System-Administratoren aus der IT-Security. Außerdem zeigen sie auf, dass Verantwortliche das Thema Sicherheit aus einer Business- und Risk-Management-Perspektive angehen müssen.

Was sollten Unternehmen also tun?

  • Etablierung einer grundlegenden Sicherheitshygiene
  • Proaktiv den Zugang zu kritischen Diensten überwachen
  • Einen Incident-Response-Prozess definieren und damit ein Team betrauen

Um all diese Initiativen zu unterstützen, müssen Verantwortliche eine analysegestützte Sicherheitsstrategie etablieren, die sich auf Erkenntnisse aus Maschinendaten stützt. Sie bildet das notwendige Grundfundament. Um zu überwachen, ob eine grundlegende Sicherheitshygiene aufrechterhalten wird und um „offen Flanken“ zu erkennen, bietet sich eine Security-Information-and-Event-Management-Lösung (SIEM) an. Sie sammelt Informationen und Entscheider können darüber regelmäßig Berichte analysieren, zum Beispiel darüber, welche Systeme gepatcht sind. Außerdem stellt ein SIEM Informationen von Scannern bereit, die auf Schwachstellen prüfen. Zudem erhalten Verantwortliche einen aktuellen Status über den Stand der Endpoint-Sicherheitslösungen. Ein SIEM alarmiert ferner über auffallende Sicherheitsanomalien, beispielsweise ein Virus-Event oder ein neuer Dienst, der gerade auf einem System installiert wird.

In Hinblick auf die Authentifizierung von Benutzern reicht es nicht mehr nur aus, auf die integrierte Sicherheit des Microsoft Active Directorys und seiner Lockout-Policies zu vertrauen. Unternehmen müssen sich jeden digitalen Dienst ganz genau ansehen und darüber nachdenken, wie dieser Dienst von außen angreifbar ist, verstehen wie Anwender sich einloggen, wie sie ihre Passwörter zurücksetzen und wie neue Nutzer erstellt werden. Unternehmen müssen in der Lage sein, die maschinengenerierten Daten zu identifizieren, die für die entsprechenden Erkenntnisse notwendig sind. Danach haben sie die Möglichkeit, sich mit den speziellen Mustern der Daten zu befassen und Überwachungsabläufe aufzusetzen, um proaktiv Unregelmäßigkeiten zu erkennen. Mit einer grundlegenden Sicherheitshygiene und proaktiver Überwachung können Unternehmen Risiken minimieren und im Zuge dessen etwaige Lücken (White Spaces) in ihren Umgebungen identifizieren und schließen.

Im Leben ist allerdings nichts zu einhundert Prozent sicher. Von daher sollten Firmen schon im Voraus an potenzielle Hacks oder Sicherheitsverstöße denken. Dazu ergeben sich beispielsweise folgende Fragen: Wie sieht der organisatorische Prozess aus? Welche Mitarbeiter müssen sofort reagieren? Wer kann Klarheit darüber schaffen, was passierte? Wie können wir den Angriff stoppen? Wer ist betroffen? Und wer trifft die wichtigen Entscheidungen, wie beispielsweise Dienste offline zu nehmen, die Behörden zu benachrichtigen oder mit den Medien zu kommunizieren.

All diese Aufgaben gehen über die Rolle eines IT-Sicherheits-Systemadministrators hinaus. Sehr versierte Unternehmen haben bereits eine Krisen- und Risikoplanung für Cyber-Risiken innerhalb ihrer operativen Planung aufgenommen. Die Verantwortlichen müssen Antworten zu den offenen Fragen bei einem Sicherheitsverstoß finden. Informationen können die Verantwortlichen vor allem in maschinengenerierten beziehungsweise in Log-Daten finden. Idealerweise sollten diese in einer zentralen Plattform gespeichert sein, da sich darüber dann alle möglichen Fragen flexibel stellen lassen. Mit einer solchen Herangehensweise wird der Prozess skalierbar und effizient. In einer Krise zeigt sich nämlich oft, dass die technischen Sicherheitsuntersuchungen zu einem Flaschenhals werden. Auch bei dem Angriff auf das britische Parlament wurde klar, dass es zu den Kernvoraussetzungen gehört, mit anderen Behörden zusammenzuarbeiten, um Fragen zu beantworten. Zur zusätzlichen Unterstützung bei Sicherheitsuntersuchungen zeigt es sich, wie wichtig eine zügige Informationsbereitstellung ist. In Situationen wie diesen zeigt eine zentrale Plattform, gefüllt mit den gesamten Maschinendaten und einer schnellen Auswertefunktion, seine Stärken.

Die im Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (EU-DSGVO) sowie die NIS-Richtlinie sollen Unternehmen dazu bringen, solche Konzepte noch zügiger umzusetzen. Zum Beispiel drohen bei Verstößen gegen die EU-DSGVO Bußgelder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes. Bei der EU-DSGVO handelt es sich um eine europäische Verordnung, die den Umgang von persönlichen Nutzerdaten regelt. Die NIS-Richtlinie hat zum Ziel, eine hohe Netzwerk- und Informationssicherheit in der EU zu gewährleisten.

Matthias Maier, EMEA Director of Product Marketing, Splunk

Security-Insider Awards 2017: Jetzt für Splunk abstimmen!

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44865712 / Sicherheitsvorfälle)