:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Pfadfinder für unbekanntes Terrain Die richtige Auswahl von Security-Dienstleistern
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Managed-Service-Provider für Security sollen operationelle Risiken der Unternehmen reduzieren und die internen Teams durch umsetzbare Handlungsempfehlungen stärken. Um herauszufinden, ob sie dies wirklich können, sollte man nach Pfadfinder-Qualitäten und entsprechendem Equipment Ausschau halten. Der Weg in die Security-Zukunft führt meist durch unbekanntes Terrain, und dort braucht man eine Mischung aus Spurenleser und MacGyver.
Es gibt komplizierte Herausforderungen, für die man eine Lösung finden muss. Ist das dann der Fall, ist das Problem Geschichte. Der Flug zum Mars etwa gehört in diese Kategorie. Wie beim Mondflug wird die Menschheit irgendwann über die nötige Technik und die passenden Vorgehensmodelle verfügen, um den Schritt zum Roten Planeten zu gehen.
Hinter dem Wunsch, IT sicher zu betreiben und Informationen zu schützen, verbergen sich ganz andere Anforderungen. Es gibt keine festen Zielkoordinaten, keinen bekannten Weg und keine berechenbare Distanz. Ständiges Weitergehen ist gefragt, weil die IT ununterbrochen neue Aufgaben übernimmt, Chancen eröffnet, aber auch neue Lasten und Mitreisende an Bord holt. Außerdem weiß niemand, wie sich die Bedrohungslage weiterentwickelt. Um auch hier im Bild zu bleiben: Es ist völlig unklar, wer sich einem mit welcher Intention zu welchem Zeitpunkt in den Weg stellen wird.
Für die Herausforderungen der ersten Kategorie braucht man einen Lösungsentwickler mit klarem Profil und exakt umrissene Qualitätsmaßstäbe für die Lösung selbst. Für den Weg ins Unbekannte dagegen sollte man einen Partner suchen, der es als seine ureigene Aufgabe betrachtet, sich selbst und sein Equipment immer wieder auf neue Anforderungen hin abzustimmen und weiterzuentwickeln. Je universaler das Werkzeugpaket und je größer die Bereitschaft, daraus immer wieder das Beste zu machen, desto geeigneter ist er der Wegbegleiter.
Verquere Anbieterwahl
Sieht man sich vor diesem Hintergrund an, wie in vielen Situationen Dienstleister ausgewählt werden, wird schnell deutlich: Die Auswahlprozesse müssten sich an Modell 2 orientieren, sind aber fast überall auf Modell 1 abgestimmt. Man stürzt sich auf einen Anbieter, der stolz sein Treibstoffrezept für den Flug zum Mars präsentiert, müsste aber nach einem kreativen Generalisten mit Schweizer Taschenmesser suchen.
Typisch ist beispielsweise folgende Vorgehensweise: Ein Handelsunternehmen stellt fest, dass sein Security Operations Center nicht effektiv arbeitet: Zu wenige Analysten, zu viele False Positives und tatsächliche Angriffe werden nicht erkannt. Um das Security-Team zu entlasten, entschließt man sich zum Outsourcing. Der Anbieter wird danach ausgewählt, ob er ähnliche Unternehmen betreut, welches Tool er nutzt und ob er die im höchsten Maße kritischen Systeme der Organisation überwachen kann. Ansonsten zählt der Preis – und beim Einstieg ins Dienstleistungsmodell schwebt dann die unausgesprochene Hoffnung im Raum, das SOC-Problem habe sich damit erledigt.
Kein halbes Jahr später kauft das Unternehmen ein anderes auf und holt sich damit nicht nur eine eigene Produktion ins Haus, sondern auch gänzlich neue Angriffsflächen, Compliance-Anforderungen und zunächst unklare Risiken. Und als Hauptgewinn für die Security sichert sich das Unternehmen zusätzlich die Aufmerksamkeit ganz neuer Gruppen von potenziellen Angreifern.
Es stellt sich heraus: Mit den neuen Anforderungen kommt der gerade erst so sorgfältig ausgewählte SOC-Anbieter nicht klar, er hat weder technische Sensoren noch die Auswertelogik noch die nötige Erfahrung für die hinzugekommenen Arbeitsfelder. Er weiß nicht einmal, welche Kontextinformationen er braucht, um im gewandelten Sicherheitsumfeld sicherheitsrelevante Vorfälle zu erkennen. Möglicherweise steht somit schon wieder ein Dienstleisterwechsel an.
Zukunftssicher bei Unwägbarkeiten
Es soll Firmen geben, da unterrichtet die Geschäftsführung die Security frühzeitig über geplante Expansionen sowie neue Geschäftsfelder und bindet sie in kurzfristige wie langfristige Change-Prozesse ein, damit die Sicherheitsspezialisten diese organisatorisch und technisch begleiten. Der Normalfall ist das nicht. Häufig kommen selbst tiefgreifende Änderungen der Geschäftstätigkeit fast aus dem Nichts über einen CISO und seine Teams. Aber auch, wenn die Einbindung der Security gut ist, ändert sich manches Business rasant.
Man bräuchte einen Dienstleister, der bei Umbrüchen oder tiefgreifenden Change-Prozessen nicht hilflos die Achseln zuckt, sondern der die Security auch unter solchen Umständen mitgestaltet. Dazu muss er Beratungs-, Analyse- und Ausführungskapazitäten bereitstellen – und den erwähnten universellen Werkzeugkasten, aus dem sich die Tools für eine möglichst hohe Bandbreite von sicherheitsbezogenen Aufgaben schnell und pragmatisch zusammenstellen lassen. Außerdem muss er in der Lage sein, auf alle sicherheitsrelevanten Informationen beim Kunden ohne langes Neu-Entwickeln von Schnittstellen und Anlegen von Repositories zuzugreifen.
Der Data Lake als Veränderungs-freundliche Basis
Eine gute Grundlage für derartige Flexibilität ist es, die Erhebung und Vorhaltung Security-relevanter Daten zumindest teilweise vom aktuellen Analyseziel zu entkoppeln. Bei klassischen SIEM-Systemen etwa legt das Security-Team frühzeitig fest, welche Informationen aus welchen Quellen permanent erhoben werden sollen. Diese werden dann fortwährend zueinander in Beziehung gesetzt, um beispielsweise mehrstufige Angriffe sichtbar zu machen. Damit die korrelierende „Engine“ des Systems nicht überlastet wird und die Analysten nicht in irrelevanten Datenmengen untergehen, beschränkt sich der Daten-Input von vornherein meist auf Systeme und Datenbestände, die bereits als kritisch eingestuft wurden.
Ändert sich die Risikoeinstufung, müssen in diesem Fall Datenquellen und Auswertung angepasst werden. Die doppelte Beschränkung, die in diesem Konzept steckt – sie betrifft das Ausgangs-Datenmaterial und die Auswertungslogik zugleich – macht das System unflexibel, beschränkt die Reichweite forensischer Untersuchungen und erschwert es, Risiken mittels kreativer neuer Anfragen an die erhobenen Informationen aufzudecken. Es gibt keinen umfassend nutzbaren Pool an sicherheitsrelevanten Informationen, sondern es bleibt bei mühsam und schwach verknüpften Informations-Silos.
Anbieter wie Obrela gehen stattdessen den Weg, potenziell Sicherheits- und Compliance-relevante Daten auch unabhängig vom konkreten Security-Use-Case normalisiert in ihrer Security Data Lake-Plattform zu aggregieren. Damit ist es möglich, kontinuierlich anhand der geänderten Bedingungen im Bereich der Bedrohungslage und der Risiken, Regelwerke und Szenarien anzupassen, zu erweitern und zu optimieren. Und das, ohne dabei ständig neue Projekte anstoßen zu müssen.
Die zentrale Frage: „Was will ich erkennen?“, muss somit nicht zu einem bestimmten Zeitpunkt abschließend oder vorausschauend geklärt werden, um Kosten zu sparen. Außerdem ist es einfach, die Ergebnisse einer Analyse mit weiteren Informationen aus dem Data Lake oder weiteren Unternehmensinformationen anzureichern.
Dieses Konzept erlaubt es, Anforderungen aus den sicherheitsrelevanten angrenzenden Bereichen flexibel einzubinden und damit eine unternehmensweite Risikoposition nahezu in Echtzeit abzubilden:
- Vulnerability Management: Wo ist ein Unternehmen besonders verwundbar? Die Antwort auf diese Frage hängt nicht nur davon ab, ob vorhandene Produktiv- und Sicherheitssysteme überhaupt Lücken aufweisen. Welche Ressourcen ein Security-Team auf die Behebung von Schwachstellen ansetzen muss, berechnet sich auch nach der Risikolage und dem Kontext, in dem betroffene Systeme stehen. Der oben beschriebene umfassende Datenbestand erleichtert es ungemein, hier zügig die richtigen Entscheidungen zu treffen.
- Audit Management: Mit neuen Business-Anforderungen ändern sich immer auch die Sicherheitsanforderungen. Dies erfordert neue Assessments und zieht entsprechende Audits nach sich. Kommen der Dienstleister, seine Tools und der Informationsbestand dieser Dynamik entgegen, verlieren plötzlich auftauchende neue „Requirements“ ihren Schrecken.
- Identity und Access Management: Jede Weiterentwicklung von Business-Prozessen verursacht Rollenwechsel oder erweiterte/veränderte Zugriffsberechtigungen bei den Mitarbeitern. Ein zuverlässiger Zugriff auf Identitäten, Rechte und den jeweiligen Kontext ermöglicht es, Berechtigungen kontinuierlich den tatsächlichen Verhältnissen anzupassen und damit zugleich maximale Sicherheit und Arbeitsfähigkeit herzustellen.
- Compliance und Privacy Management: Fast alle Compliance-Anforderungen laufen auf den Nachweis hinaus, eigene Risiken und Risiken für weitere Betroffene in einem Arbeitsfeld angemessen einzuschätzen und geeignete Maßnahmen für ihre Eingrenzung zu treffen. Wenn sich eine Organisation weiterentwickelt, können sich diese Anforderungen ändern. Auch hier sind der Zugriff auf Security-relevante Informationen und die Flexibilität der internen Teams und Dienstleister entscheidend dafür, wie schnell sich ein Unternehmen in einem veränderten Compliance-Rahmen zurechtfindet. Dies betrifft auch Aktivitäten, bei denen der Schutz personenbezogener Daten in den Fokus gerät: Eine Synchronisation der Anstrengungen der Security-Teams mit denen der Datenschützer im Unternehmen, bringt beide Bereiche voran und spart gleichzeitig Ressourcen.
- Policy Management: Alle oben beschriebenen Prozesse ziehen zwangsläufig Anpassungen bei den Sicherheitsrichtlinien nach sich. Auch hier sollte ein Dienstleister unterstützen, indem er Regelungsbedarf aufzeigt, mit Daten unterfüttert und Empfehlungen gibt.
Fazit
Zu den wichtigsten Auswahlkriterien für einen Security-Dienstleister gehört dessen Fähigkeit, den ständigen Wandel beim Kunden als Normalität zu betrachten. Er muss dies nicht nur zusichern können – genau so wichtig ist es, dass die Plattform mit dem Werkzeugarsenal dies ermöglicht und dauerhaft absichert.
Über den Autror: Andreas Walbrodt ist CCO bei Obrela Security Industries.
(ID:47685466)
:quality(80)/p7i.vogel.de/wcms/8a/39/8a397aaacf33ad5adc09377436ad0962/0111359135.jpeg "Einer Bitkom-Studie zufolge standen Kundendaten bei 45 Prozent der Angriffe im Jahr 2022 im Visier der Hacker – Tendenz steigend. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c9/d1c9b1a7c440e684ffc97ef941e5c88a/0109645617.jpeg "Data Lakes erlauben Sicherheitsteams den standardisierten Zugriff auf echte Bedrohungsdaten aus Cloud- und On-Premises-Quellen. (Bild: Andrea Danti - stock.adobe.com)")