:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Hohe Relevanz des Faktor Mensch Cybersicherheit lässt sich nicht vollständig automatisieren
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/19/601907f06caef/kaspersky-logotype-green-cmyk.jpg "Kaspersky_logotype_green_CMYK.jpg (IT-BUSINESS)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Cybersicherheit hat ihren Preis. Im Jahr 2021 war das durchschnittliche IT-Sicherheitsbudget für Großunternehmen ca. 10 Millionen Euro und für KMU ca. 236.000 Euro. Dass diese Budgets gerechtfertigt sind, zeigen die durchschnittlichen Kosten einer Datenschutzverletzung von ca. 820.000 Euro bei einem großem Unternehmen. Außerdem können durch einen Sicherheitsvorfall Kunden abwandern und die Reputation Schaden nehmen.
Daraus ergibt sich ein Dilemma: Einerseits würden Unternehmen gerne eine Lösung finden, um ihr Budget für Cyberabwehr zu senken, andererseits sind die Kosten für einen Fehler bei der Einführung neuer und billigerer Tools in diesem Bereich viel zu hoch. Eine automatisierte Vorfalls-Prävention kann hierfür theoretisch eine gute Lösung sein, die Kosten senkt und menschliches Fehlverhalten hinsichtlich Cyberbedrohungen eliminieren kann. In der Praxis ist ein wirksamer Cyberschutz jedoch nur durch eine Kombination aus automatisierten Lösungen und menschlicher Expertise möglich. Weshalb? Angreifer finden ständig neue Wege, um Sicherheitssysteme zu umgehen, entwickeln und implementieren neue ausgeklügelte Angriffstaktiken und nutzen aktiv menschliche Schwächen aus, um sich Zugang zur Infrastruktur eines Unternehmens zu verschaffen. Selbst die ausgefeilteste Künstliche Intelligenz (KI) kann die Vielfalt aller existierenden schädlicher Aktivitäten nicht bekämpfen, da sie auf der Grundlage zuvor erworbener und erlernter Erfahrungen arbeitet. Im Folgenden werden einige Cybersicherheitspraktiken vorgestellt, die eine Beteiligung von Menschen erfordern.
Erkennung komplexer Bedrohungen
Selbst die sorgfältigst tarierten Sensoren können bisher unbekannte schädliche Aktivitäten nicht erkennen, da solche Angriffe in der Regel aus einer Reihe separater und legitimer Aktionen bestehen, die leicht mit denen von Systemadministratoren oder normalen Nutzern verwechselt werden können. Dateilose Angriffe, die intensive Nutzung von LOLBAS-Tools (Living Off the Land Binaries and Scripts), Laufzeitverschlüsselung, Downloader und Packer – all dies setzen Angreifer häufig ein, um Sicherheitslösungen und -kontrollen zu umgehen.
Auch KI, die Telemetriedaten von Sensoren analysiert, kann nicht alle Daten oder Aktionen, die zu unterschiedlichen Zeiten stattfinden, erfassen und verarbeiten. Selbst wenn dies möglich wäre, gibt es eine weitere Herausforderung: das Situationsbewusstsein. Damit ist die Verfügbarkeit von Informationen über alle Vorgänge, die derzeit in der Infrastruktur stattfinden, gemeint. Ein einfaches Beispiel: eine KI beobachtet einen Vorgang, von dem sie glaubt, dass es sich um einen von Menschen gesteuerten Advanced Persistent Threat (APT) handelt, der sich aber als legitime Handlung eines Mitarbeiters herausstellt, der Recherchen durchführt. Dies kann nur durch eine direkte Kontaktaufnahme mit dem Kunden geklärt werden. Situationsbewusstsein ist deshalb entscheidend, um echte Vorfälle von False-Positives zu unterscheiden – unabhängig davon, ob die Warnlogik auf einer bestimmten Angriffstechnik oder einer Anomalie-Analyse basiert.
Das bedeutet nicht, dass KI bei der Erkennung von Bedrohungen unwirksam ist. Tatsächlich kann sie 100 Prozent der bekannten Gefährdungen erfolgreich bekämpfen und, wenn sie richtig konfiguriert ist, den Aufwand für Analysten erheblich verringern. Kaspersky hat dies beispielsweise als eigenen Machine-Learning (ML)-Analysten für seinen Managed Detection and Response (MDR) -Service entwickelt. Es handelt sich um einen überwachten ML-Algorithmus, der markierte historische Daten für die primäre Klassifizierung von Alarmen als False-Positive oder True-Positive verwendet. Alle Warnmeldungen geschützter Assets werden zunächst so verarbeitet. Etwas mehr als ein Drittel der Aktivitäten, die der Algorithmus klassifiziert, werden als False-Positive eingestuft, und alles, was den Schwellenwert oder die angegebene Filterregel überschreitet, wird zur Prüfung an das Sicherheitsanalystenteam geschickt. Dieses bewertet dann jeden Alarm, wobei zusätzliche Methoden und Daten verwendet werden, die für den jeweiligen Fall geeignet sind und von der KI möglicherweise nicht verwendet wurden. Nach der Problemlösung durch die menschlichen Analysten werden diese Informationen an den ML-Analysten weitergeben, so dass der nächste ähnliche Fall für die KI keine Herausforderung mehr darstellt.
Umfassende Expertise entscheidend für den „Jagderfolg“
Dieser Joint-Force-Ansatz erfordert besondere Fähigkeiten, hochgradige Analystenerfahrung und eine ständige Anpassung der Algorithmen. Sicherheitsteams sind dadurch in der Lage, selbst die gefährlichsten Situationen, wie etwa die bekannte Ausnutzung der Schwachstelle PrintNightmare oder den APT-Angriff MuddyWater, zu bewältigen und diese wertvollen Erkennungsszenarien mit anderen zu teilen.
Bei der Identifizierung neuer Bedrohungen ist zudem ein aktives manuelles Threat Hunting erforderlich. Auf diese Weise kann ein Sicherheitsteam solche Bedrohungen aufspüren, die zwar bisher unentdeckt blieben, aber in der Infrastruktur des Unternehmens noch aktiv sind. Diese aktive Bedrohungssuche ermöglicht es einem Unternehmen, aktuelle Aktionen von Cyberkriminellen und Cyberspionage im Netzwerk zu identifizieren, die Gründe für diese Vorfälle und die möglichen Quellen zu verstehen und wirksame Maßnahmen für deren Eindämmung zu planen, um ähnliche Angriffe zu vermeiden. Analysten müssen also den KI-basierten Algorithmus ständig anpassen und trainieren, damit dieser neue Bedrohungen erkennen und die Effizienz der Optimierungen testen kann.
Erweiterte Sicherheitsbewertungen
Evaluierungen sind von entscheidender Bedeutung, um einen detaillierten Überblick über den Stand der Cybersicherheit in einem Unternehmen zu erhalten. Auch dafür gibt es automatisierte Lösungen. So kann beispielsweise eine Schwachstellenbewertung dabei helfen, öffentlich bekannte Schwachstellen in einer genau definierten Gruppe von Systemen zu entdecken. Dieser Dienst nutzt zwar eine Datenbank mit bereits bekannten Sicherheitsproblemen, kann aber nicht die Widerstandsfähigkeit des Sicherheitssystems gegenüber ausgeklügelten Angriffen und unkonventionellem Verhalten der Angreifer testen.
Um sicherzustellen, dass das Unternehmen sich selbst schützen kann, sollten fortschrittlichere Bewertungsverfahren eingesetzt werden. Zum Beispiel Dienste, die tatsächlich einen Cyberangriff simulieren können. Dazu zählen unter anderem Penetrationstests und Red Teaming, die zumeist manuell durchgeführt werden und auf dem Wissen und der Erfahrung eines Spezialisten beruhen. Diese Ansätze verwenden eine Mischung aus Techniken, Taktiken und Verfahren und passen sich den spezifischen Cyberabwehrfähigkeiten des Unternehmens an, indem sie das reale Verhalten von Angreifern imitieren.
Sicherheitsbewusstsein regelmäßig und intensiv schulen
Studien zeigen, dass ein Unternehmen jedes Jahr durchschnittlich mit über 700 Social-Engineering-Angriffen konfrontiert ist. Darüber hinaus gehören schwache Passwörter und Phishing-E-Mails nach wie vor zu den Haupteinfallstoren in Unternehmensnetzwerke. Cyberkriminelle folgen Trends und nutzen diese für ihre Zwecke: von der Pandemie bis zum neuen Album von Kanye West –Angreifer setzen auf Aktualität, um die Aufmerksamkeit eines potenziellen Opfers durch Phishing-E-Mails und schädliche Websites auf sich zu lenken und ihre Ziele zu erreichen.
Daher ist es von entscheidender Bedeutung, dass Mitarbeiter ein klares Verständnis für die Bedeutung von Cybersicherheitsrichtlinien sowie die Konsequenzen ihres Handelns haben. Es reicht nicht aus, einfach ein Handbuch oder einen Test zur Sensibilisierung zu entwickeln, der nur für die Einarbeitung neuer Teammitglieder verwendet wird. Das IT-Sicherheitsteam sollte sich der Relevanz von Sicherheitsschulungen bewusst sein und neue, nicht standardisierte Ansätze entwickeln, um allen Beschäftigten wichtige Informationen zu vermitteln. Ist dies intern nicht möglich, kann das Training an ein professionelles Sicherheitstrainingsteam ausgelagert werden, das die Informationen regelmäßig aktualisiert und eine ansprechende und motivierende Lernerfahrung bietet.
Sicherheitsteams sollten nicht gänzlich auf automatisierte Lösungen verzichten; ganz im Gegenteil: Angreifer setzen selbst häufig auf automatisierte Lösungen, wie beispielsweise maschinelles Lernen, um Informationen über potenzielle Ziele zu sammeln, Passwörter über Brute Force zu knacken, Schwachstellen durch Fuzzing zu finden, DDoS-Angriffe durchzuführen oder gar zur Entwicklung von Malware. Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren.
Über den Autor: Peter Aicher ist Senior Presales Engineer bei Kaspersky.
(ID:48197061)
:quality(80)/p7i.vogel.de/wcms/42/25/4225bb9a60e43d6baf20bcda1f32b8f9/0114780613.jpeg "Cyberangriffe treffen irgendwann jedes Unternehmen - Mit diesen Threat Hunting Tools lässt sich der Schutz verbessern. (Bild: ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/e6/75e64745bef44cb1d631eb83809ef416/0115094085.jpeg "Wenn ein System einen Alarm auslöst, muss dieser vom Sicherheitsteam untersucht werden. Handelt es sich dabei aber um einen falschen Alarm, müssen die Experten ihre Zeit an eine Bedrohung verschwenden, die nicht existiert. (Bild: Jesse Bettencourt/peopleimages.com - stock.adobe.com)")