:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Prävention ist nur die halbe Miete Bedrohungserkennung mit NRD, EDR und XDR
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Bei Cybersecurity setzen viele Unternehmen immer noch ihren Fokus auf präventive Maßnahmen. Sind diese einmal überwunden, so können sich Cyberkriminelle meist ungehindert – und unentdeckt – im IT-Netzwerk bewegen und Daten manipulieren oder stehlen. KI-gestützte Netzwerküberwachung kann diesen Aktivitäten schnell einen Riegel vorschieben – noch bevor der eigentliche Schaden entsteht.
In seinem aktuellen Lagebericht warnt das Bundesamt für Sicherheit und Informationstechnik (BSI) vor der steigenden Anzahl von Ransomware-Angriffen – aber in zahlreichen Branchen zeigen sich die Entscheidungsträger noch nicht ausreichend für die Problematik sensibilisiert. Zahlreiche Vorfälle in der jüngeren Vergangenheit haben gezeigt, dass sich solche Angriffe als existenzbedrohend erweisen können – nicht nur weil Daten böswillig verschlüsselt, sondern auch kopiert und mit deren Verkauf gedroht werden kann.
Hinsichtlich Cybersecurity setzen Unternehmen noch immer vor allem auf Prävention und abschirmende Maßnahmen: Firewalls, Anti-Viren-Systeme, Verschlüsselung oder Zugriffsmanagement sollen Firmendaten, Infrastruktur und die Accounts der Mitarbeitenden vor Attacken schützen. Gelingt es Angreifern jedoch, diese Maßnahmen einmal zu überwinden, steht den Angreifern buchstäblich nichts mehr im Wege. Sie können sich dann oft unbemerkt im Innern des Netzwerkes einnisten und enorme Schäden anrichten.
Fast täglich berichten Medien von erfolgreichen Angriffen und Datendiebstählen. Die Frage ist also nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann.
Mehr als 200 Tage lang unentdeckt
Laut einer Studie von IBM werden Cyberangreifer, die erfolgreich in ein Firmennetzwerk eingebrochen sind, im Durchschnitt erst nach 207 Tagen erkannt. Dies lässt sich damit erklären, dass viele Unternehmen nur eine sehr begrenzte Sicht auf die eigene IT-Landschaft haben. Oft werden zwar sehr viele Logdaten zu IT-Aktivitäten gesammelt. Diese Daten summieren sich aber oft zu Millionen bis Milliarden von Datensätzen pro Tag auf, was es schlicht unmöglich macht darin manuell die Spuren von Cyberangreifern zu finden. Das heißt, die Suche nach Cyberangreifern wird zu einer Suche nach der Nadel im Heuhaufen – und genau deshalb bleiben Angriffe oft so lange unentdeckt.
Ein Angreifer, der sich ganze Wochen oder gar Monate frei in einem Firmennetzwerk bewegt, kann verheerende Schäden anrichten: Betriebsunterbrechung, fehlerhafte Produkte, finanzielle Schäden und Reputationsverluste. Von solchen Cyberattacken betroffen sind Unternehmen aller Größenordnungen – selbst, wenn enorme Präventionsanstrengungen unternommen werden.
Schnelle Erkennung und Reaktion sind entscheidend
Der Schlüssel liegt darin, Bedrohungen, Attacken und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden entstehen kann. Dies lässt sich bewerkstelligen, indem das jeweilige Unternehmensnetzwerk kontinuierlich überwacht wird, um ungewöhnliche oder verdächtige Vorgänge sofort zu erkennen und dann Alarm zu schlagen. Denn Cyberkriminelle benötigen eine gewisse Zeit, um sich nach einem Einbruch im Netzwerk zurechtzufinden und die wirklich wertvollen Daten ausfindig zu machen – daher gilt, je schneller ein Unternehmen einen Cyberangriff erkennen kann, umso kleiner ist das Risiko, dass für das jeweilige Unternehmen ein Schaden entsteht.
KI für Cybersicherheit
Um Schlupflöcher proaktiv zu finden, sowie bereits infizierte Systeme rasch zu entdecken, sind wirksame Detektionsmechanismen nötig. Hierbei ist KI ein unverzichtbares Hilfsmittel, denn mit ihr wird es möglich, Angreifer zwischen Millionen bis Milliarden von Aktivitäten zu finden, das heißt, man kann tatsächlich die sprichwörtliche Nadel im Heuhaufen aufspüren. KI kann die bestehenden Logdaten analysieren und lernen, welche Vorgänge im Netzwerk normal sind, und so bei Abweichungen schnell Alarm schlagen. Die entsprechenden KI-Modelle werden je nach Einsatzgebiet entweder anhand von Beispieldaten im Voraus trainiert oder im jeweiligen Firmennetzwerk das reguläre Verhalten des Netzwerkes lernen. Der Name für diese Sicherheitstechnik lautet „Network Detection & Response“, kurz NDR.
Der Einsatz von KI in der Cybersecurity endet aber nicht bei der Überwachung des Netzwerks. Die Technik kann die Security-Teams auch bei der oftmals sehr zeitintensiven Untersuchung und Bekämpfung von Vorfällen unterstützen. Sie tut dies zum einen, indem ausgelöste Alarme automatisch bewertet und priorisiert werden, womit sich Fehlalarme minimieren lassen und die Security-Teams sich auf die relevanten Vorfälle konzentrieren können. Zum anderen greift NDR den Teams bei der Untersuchung und Bekämpfung von Bedrohungen unter die Arme. Indem komplexe Firmennetzwerke intuitiv visualisiert und Alarme direkt mit Kontextinformationen geliefert werden, können die Security-Teams viel zielgerichteter agieren.
Der nächste Schritt: Einheitliche Sicht über alle Security-Anwendungen
In einem Unternehmen fallen aber nicht nur Logdaten aus dem Netzwerk an, die mit der oben beschriebenen NDR-Technologie untersucht werden können, oft gibt es auch Komponenten wie Endpoint Detection & Response (EDR) oder klassische Intrusion Detection Systems (IDS), die ebenfalls fortlaufend Daten für ihren Anwendungsbereich generieren. Dazu kommen Logdaten von Präventionsmechanismen, wie Antivirus-Software oder Firewalls, sowie von Host- und Anwendungsprogrammen.
Vielen Firmen fällt es aber schwer, eine ganzheitliche Bedrohungserkennung zu schaffen. Security Incident- und Event Management- (SIEM-)Lösungen sind zwar stark im Sammeln dieser Daten, die datenquellenübergreifende Auswertung ist mit dieser Technologie aber schwierig, da die Abfragesprachen oft sehr kompliziert sind, die Systeme für Korrelationen schlecht skalieren und es an automatisierten Szenarien zur Bedrohungserkennung fehlt. Als Konsequenz müssen sich Security-Teams bedrohungsrelevante Ereignisse in tausenden von SIEM-Ereignissen zusammensuchen und manuell ein Gesamtbild für die Analyse erstellen. Dies hat einen hohen Preis: Laut einer Studie der Enterprise Strategy Group werden mehr als die Hälfte der kritischen Security Alerts gar nicht als solche wahrgenommen.
Der nächste Schritt, aufbauend auf NDR, ist die Extended Detection and Response (XDR). XDR abstrahiert, korreliert und konsolidiert Informationen aus den verschiedenen Datenquellen und erstellt so ein aufschlussreiches Gesamtbild der Bedrohungslage einer IT-Infrastruktur. Mit Machine Learning zur generellen Erkennung von Anomalien und spezialisierten Algorithmen zur Detektion typischer Angriffsmuster wird die Infrastruktur ganzheitlich überwacht. XDR ermöglicht so eine automatisierte, schnellere Erkennung von Gefahren, da Angriffe oft über mehrere Kanäle geschehen und somit in einem Gesamtbild deutlicher auftauchen. Weiter können durch die kombinierte Überprüfung verschiedener Informationsquellen Fehlalarme schneller ausgemerzt und die relevanten Bedrohungen priorisiert werden. Auch bei der Untersuchung und Verteidigung kann XDR ihre Stärken ausspielen, da sie den Security-Teams mehr Kontext zur Bedrohung liefert, deren Ausmaß über Quellen oder Systeme hinweg zusammenfasst sowie Vorschläge zur Eliminierung macht. So stärkt XDR die Cyberabwehr genau dort, wo sie bislang ihre größten Schwachstellen hatte.
Über den Autor: Dr. David Gugelmann ist Gründer und CEO von Exeon.
(ID:47292048)
:quality(80)/images.vogel.de/vogelonline/bdb/1881400/1881492/original.jpg "Eine neue Generation von Incident Response Tools erfüllt den Bedarf an erweiterter, ausgefeilter Erkennung und Abwehr: Extended Detection and Response, kurz XDR. (iStock)")
:quality(80)/images.vogel.de/vogelonline/bdb/1961800/1961882/original.jpg "Das neue eBook enthält alles, was Unternehmen zum Thema XDR wissen müssen. (© Production Perig (stock.adobe.com) / VIT)")