Pfadfinder für unbekanntes Terrain Die richtige Auswahl von Security-Dienstleistern
Anbieter zum Thema
Managed-Service-Provider für Security sollen operationelle Risiken der Unternehmen reduzieren und die internen Teams durch umsetzbare Handlungsempfehlungen stärken. Um herauszufinden, ob sie dies wirklich können, sollte man nach Pfadfinder-Qualitäten und entsprechendem Equipment Ausschau halten. Der Weg in die Security-Zukunft führt meist durch unbekanntes Terrain, und dort braucht man eine Mischung aus Spurenleser und MacGyver.

Es gibt komplizierte Herausforderungen, für die man eine Lösung finden muss. Ist das dann der Fall, ist das Problem Geschichte. Der Flug zum Mars etwa gehört in diese Kategorie. Wie beim Mondflug wird die Menschheit irgendwann über die nötige Technik und die passenden Vorgehensmodelle verfügen, um den Schritt zum Roten Planeten zu gehen.
Hinter dem Wunsch, IT sicher zu betreiben und Informationen zu schützen, verbergen sich ganz andere Anforderungen. Es gibt keine festen Zielkoordinaten, keinen bekannten Weg und keine berechenbare Distanz. Ständiges Weitergehen ist gefragt, weil die IT ununterbrochen neue Aufgaben übernimmt, Chancen eröffnet, aber auch neue Lasten und Mitreisende an Bord holt. Außerdem weiß niemand, wie sich die Bedrohungslage weiterentwickelt. Um auch hier im Bild zu bleiben: Es ist völlig unklar, wer sich einem mit welcher Intention zu welchem Zeitpunkt in den Weg stellen wird.
Für die Herausforderungen der ersten Kategorie braucht man einen Lösungsentwickler mit klarem Profil und exakt umrissene Qualitätsmaßstäbe für die Lösung selbst. Für den Weg ins Unbekannte dagegen sollte man einen Partner suchen, der es als seine ureigene Aufgabe betrachtet, sich selbst und sein Equipment immer wieder auf neue Anforderungen hin abzustimmen und weiterzuentwickeln. Je universaler das Werkzeugpaket und je größer die Bereitschaft, daraus immer wieder das Beste zu machen, desto geeigneter ist er der Wegbegleiter.
Verquere Anbieterwahl
Sieht man sich vor diesem Hintergrund an, wie in vielen Situationen Dienstleister ausgewählt werden, wird schnell deutlich: Die Auswahlprozesse müssten sich an Modell 2 orientieren, sind aber fast überall auf Modell 1 abgestimmt. Man stürzt sich auf einen Anbieter, der stolz sein Treibstoffrezept für den Flug zum Mars präsentiert, müsste aber nach einem kreativen Generalisten mit Schweizer Taschenmesser suchen.
Typisch ist beispielsweise folgende Vorgehensweise: Ein Handelsunternehmen stellt fest, dass sein Security Operations Center nicht effektiv arbeitet: Zu wenige Analysten, zu viele False Positives und tatsächliche Angriffe werden nicht erkannt. Um das Security-Team zu entlasten, entschließt man sich zum Outsourcing. Der Anbieter wird danach ausgewählt, ob er ähnliche Unternehmen betreut, welches Tool er nutzt und ob er die im höchsten Maße kritischen Systeme der Organisation überwachen kann. Ansonsten zählt der Preis – und beim Einstieg ins Dienstleistungsmodell schwebt dann die unausgesprochene Hoffnung im Raum, das SOC-Problem habe sich damit erledigt.
Kein halbes Jahr später kauft das Unternehmen ein anderes auf und holt sich damit nicht nur eine eigene Produktion ins Haus, sondern auch gänzlich neue Angriffsflächen, Compliance-Anforderungen und zunächst unklare Risiken. Und als Hauptgewinn für die Security sichert sich das Unternehmen zusätzlich die Aufmerksamkeit ganz neuer Gruppen von potenziellen Angreifern.
Es stellt sich heraus: Mit den neuen Anforderungen kommt der gerade erst so sorgfältig ausgewählte SOC-Anbieter nicht klar, er hat weder technische Sensoren noch die Auswertelogik noch die nötige Erfahrung für die hinzugekommenen Arbeitsfelder. Er weiß nicht einmal, welche Kontextinformationen er braucht, um im gewandelten Sicherheitsumfeld sicherheitsrelevante Vorfälle zu erkennen. Möglicherweise steht somit schon wieder ein Dienstleisterwechsel an.
Zukunftssicher bei Unwägbarkeiten
Es soll Firmen geben, da unterrichtet die Geschäftsführung die Security frühzeitig über geplante Expansionen sowie neue Geschäftsfelder und bindet sie in kurzfristige wie langfristige Change-Prozesse ein, damit die Sicherheitsspezialisten diese organisatorisch und technisch begleiten. Der Normalfall ist das nicht. Häufig kommen selbst tiefgreifende Änderungen der Geschäftstätigkeit fast aus dem Nichts über einen CISO und seine Teams. Aber auch, wenn die Einbindung der Security gut ist, ändert sich manches Business rasant.
Man bräuchte einen Dienstleister, der bei Umbrüchen oder tiefgreifenden Change-Prozessen nicht hilflos die Achseln zuckt, sondern der die Security auch unter solchen Umständen mitgestaltet. Dazu muss er Beratungs-, Analyse- und Ausführungskapazitäten bereitstellen – und den erwähnten universellen Werkzeugkasten, aus dem sich die Tools für eine möglichst hohe Bandbreite von sicherheitsbezogenen Aufgaben schnell und pragmatisch zusammenstellen lassen. Außerdem muss er in der Lage sein, auf alle sicherheitsrelevanten Informationen beim Kunden ohne langes Neu-Entwickeln von Schnittstellen und Anlegen von Repositories zuzugreifen.
Der Data Lake als Veränderungs-freundliche Basis
Eine gute Grundlage für derartige Flexibilität ist es, die Erhebung und Vorhaltung Security-relevanter Daten zumindest teilweise vom aktuellen Analyseziel zu entkoppeln. Bei klassischen SIEM-Systemen etwa legt das Security-Team frühzeitig fest, welche Informationen aus welchen Quellen permanent erhoben werden sollen. Diese werden dann fortwährend zueinander in Beziehung gesetzt, um beispielsweise mehrstufige Angriffe sichtbar zu machen. Damit die korrelierende „Engine“ des Systems nicht überlastet wird und die Analysten nicht in irrelevanten Datenmengen untergehen, beschränkt sich der Daten-Input von vornherein meist auf Systeme und Datenbestände, die bereits als kritisch eingestuft wurden.
Ändert sich die Risikoeinstufung, müssen in diesem Fall Datenquellen und Auswertung angepasst werden. Die doppelte Beschränkung, die in diesem Konzept steckt – sie betrifft das Ausgangs-Datenmaterial und die Auswertungslogik zugleich – macht das System unflexibel, beschränkt die Reichweite forensischer Untersuchungen und erschwert es, Risiken mittels kreativer neuer Anfragen an die erhobenen Informationen aufzudecken. Es gibt keinen umfassend nutzbaren Pool an sicherheitsrelevanten Informationen, sondern es bleibt bei mühsam und schwach verknüpften Informations-Silos.
Anbieter wie Obrela gehen stattdessen den Weg, potenziell Sicherheits- und Compliance-relevante Daten auch unabhängig vom konkreten Security-Use-Case normalisiert in ihrer Security Data Lake-Plattform zu aggregieren. Damit ist es möglich, kontinuierlich anhand der geänderten Bedingungen im Bereich der Bedrohungslage und der Risiken, Regelwerke und Szenarien anzupassen, zu erweitern und zu optimieren. Und das, ohne dabei ständig neue Projekte anstoßen zu müssen.
Die zentrale Frage: „Was will ich erkennen?“, muss somit nicht zu einem bestimmten Zeitpunkt abschließend oder vorausschauend geklärt werden, um Kosten zu sparen. Außerdem ist es einfach, die Ergebnisse einer Analyse mit weiteren Informationen aus dem Data Lake oder weiteren Unternehmensinformationen anzureichern.
Dieses Konzept erlaubt es, Anforderungen aus den sicherheitsrelevanten angrenzenden Bereichen flexibel einzubinden und damit eine unternehmensweite Risikoposition nahezu in Echtzeit abzubilden:
- Vulnerability Management: Wo ist ein Unternehmen besonders verwundbar? Die Antwort auf diese Frage hängt nicht nur davon ab, ob vorhandene Produktiv- und Sicherheitssysteme überhaupt Lücken aufweisen. Welche Ressourcen ein Security-Team auf die Behebung von Schwachstellen ansetzen muss, berechnet sich auch nach der Risikolage und dem Kontext, in dem betroffene Systeme stehen. Der oben beschriebene umfassende Datenbestand erleichtert es ungemein, hier zügig die richtigen Entscheidungen zu treffen.
- Audit Management: Mit neuen Business-Anforderungen ändern sich immer auch die Sicherheitsanforderungen. Dies erfordert neue Assessments und zieht entsprechende Audits nach sich. Kommen der Dienstleister, seine Tools und der Informationsbestand dieser Dynamik entgegen, verlieren plötzlich auftauchende neue „Requirements“ ihren Schrecken.
- Identity und Access Management: Jede Weiterentwicklung von Business-Prozessen verursacht Rollenwechsel oder erweiterte/veränderte Zugriffsberechtigungen bei den Mitarbeitern. Ein zuverlässiger Zugriff auf Identitäten, Rechte und den jeweiligen Kontext ermöglicht es, Berechtigungen kontinuierlich den tatsächlichen Verhältnissen anzupassen und damit zugleich maximale Sicherheit und Arbeitsfähigkeit herzustellen.
- Compliance und Privacy Management: Fast alle Compliance-Anforderungen laufen auf den Nachweis hinaus, eigene Risiken und Risiken für weitere Betroffene in einem Arbeitsfeld angemessen einzuschätzen und geeignete Maßnahmen für ihre Eingrenzung zu treffen. Wenn sich eine Organisation weiterentwickelt, können sich diese Anforderungen ändern. Auch hier sind der Zugriff auf Security-relevante Informationen und die Flexibilität der internen Teams und Dienstleister entscheidend dafür, wie schnell sich ein Unternehmen in einem veränderten Compliance-Rahmen zurechtfindet. Dies betrifft auch Aktivitäten, bei denen der Schutz personenbezogener Daten in den Fokus gerät: Eine Synchronisation der Anstrengungen der Security-Teams mit denen der Datenschützer im Unternehmen, bringt beide Bereiche voran und spart gleichzeitig Ressourcen.
- Policy Management: Alle oben beschriebenen Prozesse ziehen zwangsläufig Anpassungen bei den Sicherheitsrichtlinien nach sich. Auch hier sollte ein Dienstleister unterstützen, indem er Regelungsbedarf aufzeigt, mit Daten unterfüttert und Empfehlungen gibt.
Fazit
Zu den wichtigsten Auswahlkriterien für einen Security-Dienstleister gehört dessen Fähigkeit, den ständigen Wandel beim Kunden als Normalität zu betrachten. Er muss dies nicht nur zusichern können – genau so wichtig ist es, dass die Plattform mit dem Werkzeugarsenal dies ermöglicht und dauerhaft absichert.
Über den Autror: Andreas Walbrodt ist CCO bei Obrela Security Industries.
(ID:47685466)