:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Pfadfinder für unbekanntes Terrain Die richtige Auswahl von Security-Dienstleistern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
Managed-Service-Provider für Security sollen operationelle Risiken der Unternehmen reduzieren und die internen Teams durch umsetzbare Handlungsempfehlungen stärken. Um herauszufinden, ob sie dies wirklich können, sollte man nach Pfadfinder-Qualitäten und entsprechendem Equipment Ausschau halten. Der Weg in die Security-Zukunft führt meist durch unbekanntes Terrain, und dort braucht man eine Mischung aus Spurenleser und MacGyver.
Es gibt komplizierte Herausforderungen, für die man eine Lösung finden muss. Ist das dann der Fall, ist das Problem Geschichte. Der Flug zum Mars etwa gehört in diese Kategorie. Wie beim Mondflug wird die Menschheit irgendwann über die nötige Technik und die passenden Vorgehensmodelle verfügen, um den Schritt zum Roten Planeten zu gehen.
Hinter dem Wunsch, IT sicher zu betreiben und Informationen zu schützen, verbergen sich ganz andere Anforderungen. Es gibt keine festen Zielkoordinaten, keinen bekannten Weg und keine berechenbare Distanz. Ständiges Weitergehen ist gefragt, weil die IT ununterbrochen neue Aufgaben übernimmt, Chancen eröffnet, aber auch neue Lasten und Mitreisende an Bord holt. Außerdem weiß niemand, wie sich die Bedrohungslage weiterentwickelt. Um auch hier im Bild zu bleiben: Es ist völlig unklar, wer sich einem mit welcher Intention zu welchem Zeitpunkt in den Weg stellen wird.
Für die Herausforderungen der ersten Kategorie braucht man einen Lösungsentwickler mit klarem Profil und exakt umrissene Qualitätsmaßstäbe für die Lösung selbst. Für den Weg ins Unbekannte dagegen sollte man einen Partner suchen, der es als seine ureigene Aufgabe betrachtet, sich selbst und sein Equipment immer wieder auf neue Anforderungen hin abzustimmen und weiterzuentwickeln. Je universaler das Werkzeugpaket und je größer die Bereitschaft, daraus immer wieder das Beste zu machen, desto geeigneter ist er der Wegbegleiter.
Verquere Anbieterwahl
Sieht man sich vor diesem Hintergrund an, wie in vielen Situationen Dienstleister ausgewählt werden, wird schnell deutlich: Die Auswahlprozesse müssten sich an Modell 2 orientieren, sind aber fast überall auf Modell 1 abgestimmt. Man stürzt sich auf einen Anbieter, der stolz sein Treibstoffrezept für den Flug zum Mars präsentiert, müsste aber nach einem kreativen Generalisten mit Schweizer Taschenmesser suchen.
Typisch ist beispielsweise folgende Vorgehensweise: Ein Handelsunternehmen stellt fest, dass sein Security Operations Center nicht effektiv arbeitet: Zu wenige Analysten, zu viele False Positives und tatsächliche Angriffe werden nicht erkannt. Um das Security-Team zu entlasten, entschließt man sich zum Outsourcing. Der Anbieter wird danach ausgewählt, ob er ähnliche Unternehmen betreut, welches Tool er nutzt und ob er die im höchsten Maße kritischen Systeme der Organisation überwachen kann. Ansonsten zählt der Preis – und beim Einstieg ins Dienstleistungsmodell schwebt dann die unausgesprochene Hoffnung im Raum, das SOC-Problem habe sich damit erledigt.
Kein halbes Jahr später kauft das Unternehmen ein anderes auf und holt sich damit nicht nur eine eigene Produktion ins Haus, sondern auch gänzlich neue Angriffsflächen, Compliance-Anforderungen und zunächst unklare Risiken. Und als Hauptgewinn für die Security sichert sich das Unternehmen zusätzlich die Aufmerksamkeit ganz neuer Gruppen von potenziellen Angreifern.
Es stellt sich heraus: Mit den neuen Anforderungen kommt der gerade erst so sorgfältig ausgewählte SOC-Anbieter nicht klar, er hat weder technische Sensoren noch die Auswertelogik noch die nötige Erfahrung für die hinzugekommenen Arbeitsfelder. Er weiß nicht einmal, welche Kontextinformationen er braucht, um im gewandelten Sicherheitsumfeld sicherheitsrelevante Vorfälle zu erkennen. Möglicherweise steht somit schon wieder ein Dienstleisterwechsel an.
Zukunftssicher bei Unwägbarkeiten
Es soll Firmen geben, da unterrichtet die Geschäftsführung die Security frühzeitig über geplante Expansionen sowie neue Geschäftsfelder und bindet sie in kurzfristige wie langfristige Change-Prozesse ein, damit die Sicherheitsspezialisten diese organisatorisch und technisch begleiten. Der Normalfall ist das nicht. Häufig kommen selbst tiefgreifende Änderungen der Geschäftstätigkeit fast aus dem Nichts über einen CISO und seine Teams. Aber auch, wenn die Einbindung der Security gut ist, ändert sich manches Business rasant.
Man bräuchte einen Dienstleister, der bei Umbrüchen oder tiefgreifenden Change-Prozessen nicht hilflos die Achseln zuckt, sondern der die Security auch unter solchen Umständen mitgestaltet. Dazu muss er Beratungs-, Analyse- und Ausführungskapazitäten bereitstellen – und den erwähnten universellen Werkzeugkasten, aus dem sich die Tools für eine möglichst hohe Bandbreite von sicherheitsbezogenen Aufgaben schnell und pragmatisch zusammenstellen lassen. Außerdem muss er in der Lage sein, auf alle sicherheitsrelevanten Informationen beim Kunden ohne langes Neu-Entwickeln von Schnittstellen und Anlegen von Repositories zuzugreifen.
Der Data Lake als Veränderungs-freundliche Basis
Eine gute Grundlage für derartige Flexibilität ist es, die Erhebung und Vorhaltung Security-relevanter Daten zumindest teilweise vom aktuellen Analyseziel zu entkoppeln. Bei klassischen SIEM-Systemen etwa legt das Security-Team frühzeitig fest, welche Informationen aus welchen Quellen permanent erhoben werden sollen. Diese werden dann fortwährend zueinander in Beziehung gesetzt, um beispielsweise mehrstufige Angriffe sichtbar zu machen. Damit die korrelierende „Engine“ des Systems nicht überlastet wird und die Analysten nicht in irrelevanten Datenmengen untergehen, beschränkt sich der Daten-Input von vornherein meist auf Systeme und Datenbestände, die bereits als kritisch eingestuft wurden.
Ändert sich die Risikoeinstufung, müssen in diesem Fall Datenquellen und Auswertung angepasst werden. Die doppelte Beschränkung, die in diesem Konzept steckt – sie betrifft das Ausgangs-Datenmaterial und die Auswertungslogik zugleich – macht das System unflexibel, beschränkt die Reichweite forensischer Untersuchungen und erschwert es, Risiken mittels kreativer neuer Anfragen an die erhobenen Informationen aufzudecken. Es gibt keinen umfassend nutzbaren Pool an sicherheitsrelevanten Informationen, sondern es bleibt bei mühsam und schwach verknüpften Informations-Silos.
Anbieter wie Obrela gehen stattdessen den Weg, potenziell Sicherheits- und Compliance-relevante Daten auch unabhängig vom konkreten Security-Use-Case normalisiert in ihrer Security Data Lake-Plattform zu aggregieren. Damit ist es möglich, kontinuierlich anhand der geänderten Bedingungen im Bereich der Bedrohungslage und der Risiken, Regelwerke und Szenarien anzupassen, zu erweitern und zu optimieren. Und das, ohne dabei ständig neue Projekte anstoßen zu müssen.
Die zentrale Frage: „Was will ich erkennen?“, muss somit nicht zu einem bestimmten Zeitpunkt abschließend oder vorausschauend geklärt werden, um Kosten zu sparen. Außerdem ist es einfach, die Ergebnisse einer Analyse mit weiteren Informationen aus dem Data Lake oder weiteren Unternehmensinformationen anzureichern.
Dieses Konzept erlaubt es, Anforderungen aus den sicherheitsrelevanten angrenzenden Bereichen flexibel einzubinden und damit eine unternehmensweite Risikoposition nahezu in Echtzeit abzubilden:
- Vulnerability Management: Wo ist ein Unternehmen besonders verwundbar? Die Antwort auf diese Frage hängt nicht nur davon ab, ob vorhandene Produktiv- und Sicherheitssysteme überhaupt Lücken aufweisen. Welche Ressourcen ein Security-Team auf die Behebung von Schwachstellen ansetzen muss, berechnet sich auch nach der Risikolage und dem Kontext, in dem betroffene Systeme stehen. Der oben beschriebene umfassende Datenbestand erleichtert es ungemein, hier zügig die richtigen Entscheidungen zu treffen.
- Audit Management: Mit neuen Business-Anforderungen ändern sich immer auch die Sicherheitsanforderungen. Dies erfordert neue Assessments und zieht entsprechende Audits nach sich. Kommen der Dienstleister, seine Tools und der Informationsbestand dieser Dynamik entgegen, verlieren plötzlich auftauchende neue „Requirements“ ihren Schrecken.
- Identity und Access Management: Jede Weiterentwicklung von Business-Prozessen verursacht Rollenwechsel oder erweiterte/veränderte Zugriffsberechtigungen bei den Mitarbeitern. Ein zuverlässiger Zugriff auf Identitäten, Rechte und den jeweiligen Kontext ermöglicht es, Berechtigungen kontinuierlich den tatsächlichen Verhältnissen anzupassen und damit zugleich maximale Sicherheit und Arbeitsfähigkeit herzustellen.
- Compliance und Privacy Management: Fast alle Compliance-Anforderungen laufen auf den Nachweis hinaus, eigene Risiken und Risiken für weitere Betroffene in einem Arbeitsfeld angemessen einzuschätzen und geeignete Maßnahmen für ihre Eingrenzung zu treffen. Wenn sich eine Organisation weiterentwickelt, können sich diese Anforderungen ändern. Auch hier sind der Zugriff auf Security-relevante Informationen und die Flexibilität der internen Teams und Dienstleister entscheidend dafür, wie schnell sich ein Unternehmen in einem veränderten Compliance-Rahmen zurechtfindet. Dies betrifft auch Aktivitäten, bei denen der Schutz personenbezogener Daten in den Fokus gerät: Eine Synchronisation der Anstrengungen der Security-Teams mit denen der Datenschützer im Unternehmen, bringt beide Bereiche voran und spart gleichzeitig Ressourcen.
- Policy Management: Alle oben beschriebenen Prozesse ziehen zwangsläufig Anpassungen bei den Sicherheitsrichtlinien nach sich. Auch hier sollte ein Dienstleister unterstützen, indem er Regelungsbedarf aufzeigt, mit Daten unterfüttert und Empfehlungen gibt.
Fazit
Zu den wichtigsten Auswahlkriterien für einen Security-Dienstleister gehört dessen Fähigkeit, den ständigen Wandel beim Kunden als Normalität zu betrachten. Er muss dies nicht nur zusichern können – genau so wichtig ist es, dass die Plattform mit dem Werkzeugarsenal dies ermöglicht und dauerhaft absichert.
Über den Autror: Andreas Walbrodt ist CCO bei Obrela Security Industries.
(ID:47685466)
:quality(80)/images.vogel.de/vogelonline/bdb/1953500/1953596/original.jpg "Viele Unternehmen konzentrieren sich zu sehr auf die Erfüllung von Compliance-Anforderungen und nicht genug darauf, wirklich Sicherheit herzustellen. (BillionPhotos.com - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1901100/1901192/original.jpg "Mithilfe von künstlichen neuronalen Netzen, die funktionieren wie die im menschlichen Gehirn, ist die Technologie Deep Learning in der Lage, Cyberbedrohungen zu erkennen. (Yingyaipumi - stock.adobe.com)")