Ab in die Vitrine Best of Breed ist tot!

Von Richard Werner Lesedauer: 5 min |

Anbieter zum Thema

Über viele Jahre galt „Best of Breed“ als der richtige Ansatz für ein IT-Security-Konzept. Doch seit Cyberkriminelle Unternehmen gezielt mit Ransomware angreifen, offenbaren sich die Schwächen der Strategie. Denn im Ernstfall behindert sie die Verteidigung mehr als den Angriff.

Der Best-of-Breed-Ansatz gehört in die Vitrine aus der Anfangszeit der IT-Security, denn dadurch wurden Silos geschaffen, die es erschweren, sicherheitsrelevante Informationen im Zusammenhang zu betrachten; meint Richard Werner von Trend Micro.
Der Best-of-Breed-Ansatz gehört in die Vitrine aus der Anfangszeit der IT-Security, denn dadurch wurden Silos geschaffen, die es erschweren, sicherheitsrelevante Informationen im Zusammenhang zu betrachten; meint Richard Werner von Trend Micro.
(Bild: tab62 - stock.adobe.com)

Best of Breed bedeutet, dass man die Fähigkeiten verschiedener Security-Hersteller bündelt, um Cyberangriffe abzuwehren. Lange Zeit glaubt man, dass das die Sicherheit erhöht. Auch die Komplexität, die dadurch entstand, war Ziel der Verteidigung. Sie sollte Angreifer abschrecken oder zu Fehlern verleiten. Ob das jemals funktioniert hat, ist fraglich. Denn einen richtigen Härtetest gab es für diese These nie. Weil Unternehmen in der Vergangenheit nur selten von Cyberangriffen betroffen waren, gingen sie davon aus, dass ihr Konzept aufging. Zumal die Logs der einzelnen Security-Systeme voller Hinweise auf erfolgreich abgewehrte Aktionen waren. Sieht man sich aber aktuelle Angriffszahlen einmal genauer an, ergibt sich ein ganz anderes Bild. Statistisch gesehen hat Trend Micro im ersten Halbjahr 2022 64 Milliarden Angriffe auf seine Kunden geblockt. Im selben Zeitraum haben 57 sogenannte „Ransomware-as-a-Service (RaaS)“-Gruppen nachweislich mindestens 1.205 Unternehmen verschlüsselt – Dunkelziffer unbekannt. Vor diesem Hintergrund ist die Zahl der abgewehrten Angriffe kaum noch relevant. Denn ähnlich wie beim Fußball zählt nur das, was durchkommt.

Cyberangriffe haben sich geändert

Mittlerweile haben wir es mit einer hochprofessionalisierten und kommerzialisierten cyberkriminellen Szene zu tun. Die Akteure führen gezielt Angriffe auf Unternehmen durch – meist, um damit Geld zu verdienen. Dabei setzen sie weitestgehend automatisierte Prozesse ein, die sie milliardenfach anwenden. Auch bei bester Verteidigung ist es also nur eine Frage der Zeit, bis etwas passiert. Haben Täter ein System erfolgreich infiltriert, versuchen Sie sich möglichst unbemerkt auszubreiten. Sie wissen, dass ihre Opfer Sicherheitslösungen im Einsatz haben. Daher versuchen sie, ihr Profil niedrig zu halten und möglichst wenig Aufmerksamkeit in einer Sicherheitsebene zu verursachen. Oft fliegen die Angreifer erst dann auf, wenn sie ihr Ziel erreicht haben und es zum Datendiebstahl beziehungsweise zur Verschlüsselung kommt. Je nach Größe des Opfers und Verteidigungsmaßnahmen kann das Tage bis Monate dauern. In der Regel Zeit genug, um den Angriff zu erkennen und Gegenmaßnahmen zu ergreifen. Aber das ist einfacher gesagt als getan.

Best of Breed behindert die Bedrohungserkennung

Wenn es darum geht, Bedrohungen schnell zu erkennen und sie zu mindern, stehen die meisten Unternehmen vor einem Problem: der Komplexität der eigenen Verteidigung. Denn der Best-of-Breed-Ansatz hat Silos geschaffen, die es erschweren, sicherheitsrelevante Informationen im Zusammenhang zu betrachten. Jedes der einzelnen Systeme loggt zwar fleißig mit und liefert dadurch Indikatoren einer Kompromittierung (IoC). Doch selten können diese als eindeutig gut oder böse belegt werden. Erst, indem man möglichst viele Daten aus unterschiedlichen Sicherheitsebenen wie Puzzleteile zusammensetzt, ergibt sich ein Angriffsbild.

Eine solche Korrelation über mehrere Ebenen hinweg ist im Best-of-Breed-Kontext schwer durchführbar. Nicht nur, weil die Security-Strategie auf die Abwehr fokussiert ist. Selbst wenn es Erkennungsmechanismen gibt, sind die Lösungen oft nicht aufeinander abgestimmt. Dadurch kommt es zu Überschneidungen und auch zu Löchern in der Abdeckung der Daten. Darüber hinaus verwenden die einzelnen Systeme unterschiedliche Logging-Mechanismen, sodass sie einen Übersetzer brauchen, um miteinander zu kommunizieren. In der Stress-Situation eines echten Cyberangriffes führt dieses Durcheinander zu Zeitverlusten und zu Fehlinterpretationen.

SIEM und SOAR lösen das Problem nicht

Viele Unternehmen versuchen, die genannte Problematik mithilfe von SIEM- (Security Information and Event Management) und SOAR-Lösungen (Security Orchestration, Automation and Response) zu adressieren. Doch das funktioniert nur bedingt. Denn auch sie scheitern oft an der Qualität der Daten. Ein SIEM sammelt zwar die Informationen angeschlossener Security-Systeme, ist meist aber nicht in der Lage, diese effektiv zu korrelieren. Das führt dazu, dass die Lösung viel zu viele Warnmeldungen ausgibt, von denen ein Großteil irrelevant ist. Laut einer ESG-Studie kämpft zudem fast die Hälfte der Unternehmen mit redundanten Daten im System. Diese Flut erschwert es nicht nur, die wirklich wichtigen Warnmeldungen zu erkennen, sondern treibt auch die Kosten in die Höhe. Denn ein SIEM wird üblicherweise nach Events pro Sekunde lizensiert. Ein weiteres Problem ist die Anbindung und Integration der Datenquellen, die sich in einem Best of Breed-Umfeld sehr aufwändig gestaltet. Das gilt für SIEM- ebenso wie für SOAR-Lösungen. Beide funktionieren immer nur so gut, wie es ihre Datenbasis erlaubt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ein SOAR kann bis zu einem gewissen Grad Security-Prozesse automatisieren. Trotzdem sind bei einem Cyberangriff immer noch menschliche Entscheidungen nötig. Muss der Stecker zum Serverraum gezogen werden oder reicht es das betroffene System zu isolieren? Opfer ziehen häufig erfahrene Fachleute hinzu, um sich professionell beraten zu lassen. Aber selbst Profis haben es in einem Best of Breed-Umfeld schwer, sich ein Lagebild zu verschaffen. Oft fehlt Expertise für bestimmte Security-Lösungen. Zieht man Hersteller hinzu, können diese nur Aussagen über die eigenen Produkte treffen. Wenn dedizierte Teams involviert sind, kommt es darüber hinaus nicht selten zu stressbedingten Konflikten wie beispielsweise Schuldzuweisungen.

Hersteller-Konsolidierung und Plattform-Strategie

Je mehr voneinander unabhängige Security-Lösungen man einsetzt, desto schwieriger wird es also, schnell auf einen Cyberangriff zu reagieren. Flexibilität in einer Best-of-Breed-Architektur umzusetzen und ein zusätzliches Security-Layer auf die bestehenden aufzusetzen, wird unverhältnismäßig teuer und schwer zu koordinieren. Unternehmen stehen also vor der Herausforderung, wie sie die Anzahl ihrer Security-Hersteller konsolidieren, eine Drittanbieter-Integration über Schnittstellen ermöglichen oder einheitliche Datenstandards durch eine übergreifende Plattform-Strategie gewährleisten. Nur so kann im Anschluss auch eine moderne Detection & Response (XDR) greifen und sich nahtlos in die bestehenden Systeme einfügen. Im Gegensatz zu Best of Breed kommen bei einer XDR-orientierten Architektur nämlich meist aufeinander abgestimmte Sicherheitslösungen eines dedizierten Herstellers zum Einsatz. Optionale Service-Angebote gleichen fehlendes Fachwissen aus und bieten Unterstützung im Ernstfall.

Fazit

Zu Notfallsituationen kommt es immer häufiger. Denn Cyberkriminelle greifen heute gezielt mit modernen Tools und Methoden Unternehmen an. Ein umfassendes Sicherheitskonzept sollte sich daher unbedingt weg von einer behäbigen Verteidigung und hin zu einer agilen Detection & Response bewegen. Flexibilität ist der Schlüssel, der im Ernstfall schnelle Hilfe erlaubt. Mit einer umfassenden Cybersecurity-Plattform können Unternehmen Komplexität reduzieren und Interoperabilität zwischen den einzelnen Verteidigungspunkten gewährleisten. So sind sie besser vor modernen Cyberangriffen geschützt und können ihre „Best of Breed“-Modelle ruhigen Gewissens in die Vitrine aus der Anfangszeit der IT-Security zurückstellen.

Über den Autor: Richard Werner ist Business Consultant bei Trend Micro.

(ID:49230985)