Hohe Relevanz des Faktor Mensch Cybersicherheit lässt sich nicht vollständig automatisieren

Von Peter Aicher

Cybersicherheit hat ihren Preis. Im Jahr 2021 war das durchschnittliche IT-Sicherheitsbudget für Großunternehmen ca. 10 Millionen Euro und für KMU ca. 236.000 Euro. Dass diese Budgets gerechtfertigt sind, zeigen die durchschnittlichen Kosten einer Datenschutzverletzung von ca. 820.000 Euro bei einem großem Unternehmen. Außerdem können durch einen Sicherheitsvorfall Kunden abwandern und die Reputation Schaden nehmen.

Anbieter zum Thema

Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren.
Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren.
(Bild: NicoElNino - stock.adobe.com)

Daraus ergibt sich ein Dilemma: Einerseits würden Unternehmen gerne eine Lösung finden, um ihr Budget für Cyberabwehr zu senken, andererseits sind die Kosten für einen Fehler bei der Einführung neuer und billigerer Tools in diesem Bereich viel zu hoch. Eine automatisierte Vorfalls-Prävention kann hierfür theoretisch eine gute Lösung sein, die Kosten senkt und menschliches Fehlverhalten hinsichtlich Cyberbedrohungen eliminieren kann. In der Praxis ist ein wirksamer Cyberschutz jedoch nur durch eine Kombination aus automatisierten Lösungen und menschlicher Expertise möglich. Weshalb? Angreifer finden ständig neue Wege, um Sicherheitssysteme zu umgehen, entwickeln und implementieren neue ausgeklügelte Angriffstaktiken und nutzen aktiv menschliche Schwächen aus, um sich Zugang zur Infrastruktur eines Unternehmens zu verschaffen. Selbst die ausgefeilteste Künstliche Intelligenz (KI) kann die Vielfalt aller existierenden schädlicher Aktivitäten nicht bekämpfen, da sie auf der Grundlage zuvor erworbener und erlernter Erfahrungen arbeitet. Im Folgenden werden einige Cybersicherheitspraktiken vorgestellt, die eine Beteiligung von Menschen erfordern.

Erkennung komplexer Bedrohungen

Selbst die sorgfältigst tarierten Sensoren können bisher unbekannte schädliche Aktivitäten nicht erkennen, da solche Angriffe in der Regel aus einer Reihe separater und legitimer Aktionen bestehen, die leicht mit denen von Systemadministratoren oder normalen Nutzern verwechselt werden können. Dateilose Angriffe, die intensive Nutzung von LOLBAS-Tools (Living Off the Land Binaries and Scripts), Laufzeitverschlüsselung, Downloader und Packer – all dies setzen Angreifer häufig ein, um Sicherheitslösungen und -kontrollen zu umgehen.

Auch KI, die Telemetriedaten von Sensoren analysiert, kann nicht alle Daten oder Aktionen, die zu unterschiedlichen Zeiten stattfinden, erfassen und verarbeiten. Selbst wenn dies möglich wäre, gibt es eine weitere Herausforderung: das Situationsbewusstsein. Damit ist die Verfügbarkeit von Informationen über alle Vorgänge, die derzeit in der Infrastruktur stattfinden, gemeint. Ein einfaches Beispiel: eine KI beobachtet einen Vorgang, von dem sie glaubt, dass es sich um einen von Menschen gesteuerten Advanced Persistent Threat (APT) handelt, der sich aber als legitime Handlung eines Mitarbeiters herausstellt, der Recherchen durchführt. Dies kann nur durch eine direkte Kontaktaufnahme mit dem Kunden geklärt werden. Situationsbewusstsein ist deshalb entscheidend, um echte Vorfälle von False-Positives zu unterscheiden – unabhängig davon, ob die Warnlogik auf einer bestimmten Angriffstechnik oder einer Anomalie-Analyse basiert.

Das bedeutet nicht, dass KI bei der Erkennung von Bedrohungen unwirksam ist. Tatsächlich kann sie 100 Prozent der bekannten Gefährdungen erfolgreich bekämpfen und, wenn sie richtig konfiguriert ist, den Aufwand für Analysten erheblich verringern. Kaspersky hat dies beispielsweise als eigenen Machine-Learning (ML)-Analysten für seinen Managed Detection and Response (MDR) -Service entwickelt. Es handelt sich um einen überwachten ML-Algorithmus, der markierte historische Daten für die primäre Klassifizierung von Alarmen als False-Positive oder True-Positive verwendet. Alle Warnmeldungen geschützter Assets werden zunächst so verarbeitet. Etwas mehr als ein Drittel der Aktivitäten, die der Algorithmus klassifiziert, werden als False-Positive eingestuft, und alles, was den Schwellenwert oder die angegebene Filterregel überschreitet, wird zur Prüfung an das Sicherheitsanalystenteam geschickt. Dieses bewertet dann jeden Alarm, wobei zusätzliche Methoden und Daten verwendet werden, die für den jeweiligen Fall geeignet sind und von der KI möglicherweise nicht verwendet wurden. Nach der Problemlösung durch die menschlichen Analysten werden diese Informationen an den ML-Analysten weitergeben, so dass der nächste ähnliche Fall für die KI keine Herausforderung mehr darstellt.

Umfassende Expertise entscheidend für den „Jagderfolg“

Dieser Joint-Force-Ansatz erfordert besondere Fähigkeiten, hochgradige Analystenerfahrung und eine ständige Anpassung der Algorithmen. Sicherheitsteams sind dadurch in der Lage, selbst die gefährlichsten Situationen, wie etwa die bekannte Ausnutzung der Schwachstelle PrintNightmare oder den APT-Angriff MuddyWater, zu bewältigen und diese wertvollen Erkennungsszenarien mit anderen zu teilen.

Bei der Identifizierung neuer Bedrohungen ist zudem ein aktives manuelles Threat Hunting erforderlich. Auf diese Weise kann ein Sicherheitsteam solche Bedrohungen aufspüren, die zwar bisher unentdeckt blieben, aber in der Infrastruktur des Unternehmens noch aktiv sind. Diese aktive Bedrohungssuche ermöglicht es einem Unternehmen, aktuelle Aktionen von Cyberkriminellen und Cyberspionage im Netzwerk zu identifizieren, die Gründe für diese Vorfälle und die möglichen Quellen zu verstehen und wirksame Maßnahmen für deren Eindämmung zu planen, um ähnliche Angriffe zu vermeiden. Analysten müssen also den KI-basierten Algorithmus ständig anpassen und trainieren, damit dieser neue Bedrohungen erkennen und die Effizienz der Optimierungen testen kann.

Erweiterte Sicherheitsbewertungen

Evaluierungen sind von entscheidender Bedeutung, um einen detaillierten Überblick über den Stand der Cybersicherheit in einem Unternehmen zu erhalten. Auch dafür gibt es automatisierte Lösungen. So kann beispielsweise eine Schwachstellenbewertung dabei helfen, öffentlich bekannte Schwachstellen in einer genau definierten Gruppe von Systemen zu entdecken. Dieser Dienst nutzt zwar eine Datenbank mit bereits bekannten Sicherheitsproblemen, kann aber nicht die Widerstandsfähigkeit des Sicherheitssystems gegenüber ausgeklügelten Angriffen und unkonventionellem Verhalten der Angreifer testen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Um sicherzustellen, dass das Unternehmen sich selbst schützen kann, sollten fortschrittlichere Bewertungsverfahren eingesetzt werden. Zum Beispiel Dienste, die tatsächlich einen Cyberangriff simulieren können. Dazu zählen unter anderem Penetrationstests und Red Teaming, die zumeist manuell durchgeführt werden und auf dem Wissen und der Erfahrung eines Spezialisten beruhen. Diese Ansätze verwenden eine Mischung aus Techniken, Taktiken und Verfahren und passen sich den spezifischen Cyberabwehrfähigkeiten des Unternehmens an, indem sie das reale Verhalten von Angreifern imitieren.

Sicherheitsbewusstsein regelmäßig und intensiv schulen

Studien zeigen, dass ein Unternehmen jedes Jahr durchschnittlich mit über 700 Social-Engineering-Angriffen konfrontiert ist. Darüber hinaus gehören schwache Passwörter und Phishing-E-Mails nach wie vor zu den Haupteinfallstoren in Unternehmensnetzwerke. Cyberkriminelle folgen Trends und nutzen diese für ihre Zwecke: von der Pandemie bis zum neuen Album von Kanye West –Angreifer setzen auf Aktualität, um die Aufmerksamkeit eines potenziellen Opfers durch Phishing-E-Mails und schädliche Websites auf sich zu lenken und ihre Ziele zu erreichen.

Daher ist es von entscheidender Bedeutung, dass Mitarbeiter ein klares Verständnis für die Bedeutung von Cybersicherheitsrichtlinien sowie die Konsequenzen ihres Handelns haben. Es reicht nicht aus, einfach ein Handbuch oder einen Test zur Sensibilisierung zu entwickeln, der nur für die Einarbeitung neuer Teammitglieder verwendet wird. Das IT-Sicherheitsteam sollte sich der Relevanz von Sicherheitsschulungen bewusst sein und neue, nicht standardisierte Ansätze entwickeln, um allen Beschäftigten wichtige Informationen zu vermitteln. Ist dies intern nicht möglich, kann das Training an ein professionelles Sicherheitstrainingsteam ausgelagert werden, das die Informationen regelmäßig aktualisiert und eine ansprechende und motivierende Lernerfahrung bietet.

Sicherheitsteams sollten nicht gänzlich auf automatisierte Lösungen verzichten; ganz im Gegenteil: Angreifer setzen selbst häufig auf automatisierte Lösungen, wie beispielsweise maschinelles Lernen, um Informationen über potenzielle Ziele zu sammeln, Passwörter über Brute Force zu knacken, Schwachstellen durch Fuzzing zu finden, DDoS-Angriffe durchzuführen oder gar zur Entwicklung von Malware. Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren.

Über den Autor: Peter Aicher ist Senior Presales Engineer bei Kaspersky.

(ID:48197061)