:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Managed Service für Cyber Defense Hela Gewürzwerk geht auf Hackerjagd
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Über 2.500 Tonnen Kräuter und Gewürze verarbeitet das Hela Gewürzwerk jährlich. Für eine effiziente und reibungslose Produktion sind alle Prozesse des weltweit tätigen Unternehmens hochgradig digitalisiert. Doch mit der Digitalisierung steigt auch das Risiko, Cyberkriminellen zum Opfer zu fallen.
Angriffe aus dem Netz werden immer komplexer und bedrohen nicht nur das eigene Unternehmen, sondern wirken sich gleichzeitig auf die gesamte Supply Chain aus. Um sich vor hohen Folgekosten und Ausfallzeiten durch einen möglichen Cyberangriff zu schützen, entschied sich Hela für den Abschluss einer Cyberversicherung. Doch damit war es nicht getan: Für den Abschluss der Police setzte die Versicherung nach Überprüfung der bereits vorhandenen IT-Sicherheitsmaßnahmen bei Hela eine ergänzende Lösung für die Früherkennung von Angriffen voraus. Um diese Voraussetzung zu erfüllen, musste das Unternehmen einen geeigneten Managed Service im Bereich Cyber Defense finden.
Möchte ein Unternehmen eine Cyberversicherung abschließen, überprüft die Versicherung zunächst den Ist-Stand der IT-Security des Unternehmens. Von diesem Ist-Stand ist abhängig, unter welchen Voraussetzungen das Unternehmen versichert wird und, wenn ja, auf welche Kosten sich der Versicherungsbeitrag beläuft. Da sich die IT-Sicherheitsverantwortlichen des Gewürzproduzenten Hela der Bedeutung angemessener Cybersecurity-Maßnahmen bereits seit langem bewusst waren, konnte das Unternehmen bei der initialen Überprüfung bereits diverse technische und organisatorische Maßnahmen (TOM) nachweisen. Was jedoch fehlte, war ein 24/7-Service in Form eines Security Information and Event Management (SIEM) oder eines Security Operation Center (SOC), um jederzeit Kompromittierungen zu erkennen und schnell reagieren zu können.
Klassische Protection-Tools reichen nicht mehr aus
Viele der etablierten Security-Maßnahmen wie Antivirus, Firewalls und Endpoint Protection stellen für aktuelle Cyber-Bedrohungen kein Hindernis mehr dar. Hacker schleusen sich zunehmend unbemerkt in Unternehmensnetzwerke ein. Die häufigsten Angriffsformen sind Advanced Persistent Threats (APT). Das Ziel der Cyberkriminellen bei dieser Form von Angriffen: so lange wie möglich unentdeckt im Netzwerk zu agieren und sich auszubreiten, um unternehmenskritische Daten abzugreifen oder zu manipulieren.
Ist der Angreifer erst einmal im Unternehmensnetz, vergehen – meist aufgrund mangelnder Expertise und Ressourcen – aktuell noch immer durchschnittlich sechs Monate, bis eine Kompromittierung des Netzwerks identifiziert wird. Um die Zeit zwischen Kompromittierung und Angriffserkennung drastisch zu reduzieren, verlangen Cyberversicherungen die Implementierung entsprechender zusätzlicher Security Layer, beispielsweise die Integration eines SIEM oder SOC.
„Dieser Baustein fehlte noch in unserem IT-Security-Konzept, weil uns bislang die hohen Kosten und die Komplexität eines SIEM oder SOC abgeschreckt haben. Da es nun eine Voraussetzung für den Abschluss einer Cyberversicherung war, haben wir nach einer ergänzenden Security-Lösung gesucht, die wir in unsere Infrastruktur integrieren können“, sagt Jürgen Lunow, Teamleiter IT-Systembetreuung der Hela Gewürzwerk Hermann Laue GmbH.
Active Cyber Defense als zusätzlicher Security Layer
SIEM, SOC oder auch Log-Management haben das Ziel, Sicherheitsbedrohungen zu erkennen und jene unter Kontrolle zu halten, die ein maßgebliches Risiko für das Unternehmen darstellen. Um diese Risiken zu identifizieren, müssen – je nach Unternehmensgröße – täglich Millionen Ereignisse ausgewertet werden – mit permanent aktualisierten Regelwerken.
Dazu ist in der Regel ein SOC-Team erforderlich, das diese Aspekte jederzeit im Blick behält. Aus diesem Grund schauten sich Jürgen Lunow und seine IT-Mitarbeiter initial nach externen Dienstleistern für SIEM-/SOC-Services um. Als langjähriger Kunde des Security-Unternehmens Secion fragte Jürgen Lunow dort zunächst nach entsprechenden Services. Im Gegensatz zu einem Managed SIEM oder SOC bietet das Hamburger Unternehmen einen Active Cyber Defense (ACD)-Service. Der 24/7-Threat Hunting- und Incident Response-Service wird um die Tätigkeiten eines SOC-Teams ergänzt, das durch das Secion-eigene ACD-Team gestellt wird. ACD analysiert das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien und identifiziert so die Kommunikation der Angreifer zu den Command & Control-Servern (C&Cs). Wird auf diese Weise ein aktiv laufender Angriff identifiziert und ist Handlungsbedarf erforderlich, steht das ACD-Team unmittelbar zur Verfügung.
„Für uns war es ein wichtiger Pluspunkt, dass es sich bei Secion um ein deutsches Unternehmen handelt und somit alle gesammelten Daten in Deutschland bleiben. Auch das Preis-Leistungs-Verhältnis hat uns überzeugt – der Service ist wesentlich günstiger, als ein eigenes SIEM aufzubauen oder ein internes SOC-Team einzustellen. Die Lösung lässt sich schnell integrieren und greift nicht in die vorhandene IT-Landschaft und deren Prozesse ein.“
Nach Whitelisting-Phase folgte die 24/7-Überwachung
In einem Kick-off-Meeting wurden zunächst der Projektablauf besprochen und weitere Termine zur Einführung des ACD-Service festgelegt. Nachdem die Details abgestimmt wurden, legten die Cybersecurity-Experten zusammen mit den Verantwortlichen bei Hela die Art und Anzahl der Clients fest. Bei der Überwachung bezieht der ACD-Service alle Systeme des Netzwerks mit ein, wie beispielsweise Desktops, Laptops, Mobiltelefone, Tablets, Server, Netzwerkgeräte, Drucker, ICS, IoT- und BYOD-Geräte. Bei Hela werden auf diese Weise nun insgesamt 500 Clients überwacht.
Das Projekt begann mit der Installation der sogenannten Sensor- und Managed-Appliance – dem Tool, über das der ACD-Service läuft. Nach der Integration folgte die vierwöchige Whitelisting-Phase. In dieser geht es darum, relevante Findings von irrelevanten zu unterscheiden beziehungsweise diese irrelevanten Auffälligkeiten herauszufiltern. Dazu stellte Hela initial eine Liste mit Systemen und Verbindungen zusammen, die bei der ACD-Überwachung ausgenommen werden. Im Anschluss überprüfte das ACD-Team Kommunikationsauffälligkeiten im Netzwerkverkehr – z.B. mehr als fünf Stunden andauernde VPN-Verbindungen, auffällige DNS-Einträge oder auffälliger Verkehr zu IP-Adressen – und glich sie mit der Liste von Hela ab. Auf Basis dieser Ergebnisse wurde schließlich eine Whitelist erstellt – dann ging der ACD-Service bereits in den Regelbetrieb über. Direkt nach der Einführung des ACD-Service wurden glücklicherweise zunächst keine Kompromittierungen der Hela-Netzwerke festgestellt.
:quality(80)/p7i.vogel.de/wcms/e0/f9/e0f9d49d89755c889093df89ebba8105/0101682842.jpeg "Das BSI hat per Post Briefe an die Geschäftsführer von über 9.000 KMU verschickt. (Bild: © www.pelzinger.de)")
Microsoft liefert Updates und Skripte, BSI verschickt Briefe
Exchange-Bedrohungslage bleibt angespannt
ACD-Service registriert versuchte Ausnutzung von Exchange-Schwachstelle
Registriert das ACD-Team während seiner 24/7-Überwachung eine Auffälligkeit im Netzwerk, wird diese umgehend geprüft. Je nach Schweregrad, der vorab mit dem Hela-Team festgelegt wurde, entscheiden die Experten, ob gehandelt und die Verantwortlichen bei Hela kontaktiert werden müssen. Wird auf diese Weise ein aktiv laufender Angriff identifiziert, stehen Hela bei Bedarf die ACD-Experten von Secion zur Seite. Diese stellen den IT-Verantwortlichen bei Hela ein umfassendes Lagebild zur Verfügung und begleiten sie bei der Implementierung effektiver Gegenmaßnahmen.
Im März 2021 profitierte Hela bereits von dem 24/7-Service. Nachdem von Microsoft mehrere Exchange-Schwachstellen gepatcht wurden, startete eine große Angriffswelle auf die betroffenen Instanzen. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte die Schwachstellen als geschäftskritisch ein. Durch den ACD-Service wurden Jürgen Lunow und sein IT-Security-Team direkt im März darauf hingewiesen, dass es einen Zugriffsversuch auf die zu diesem Zeitpunkt noch ungesicherte Exchange-Schwachstelle gab.
„Der Einsatz des ACD-Service hat sich für uns schon nach kurzer Einsatzphase als eine sehr sinnvolle Entscheidung herausgestellt. So erhalten wir bei Unregelmäßigkeiten in den Internet-Datenströmen durch einen erfahrenen Partner ein sofortiges Feedback und eine versierte Einschätzung des vorliegenden Sicherheitsrisikos. Auch bei dem Exchange-Vorfall konnten wir aufgrund der schnellen Reaktion umgehend alle notwendigen Maßnahmen durchführen und somit Folgeschäden oder Datenverluste vermeiden“, sagt Jürgen Lunow.
Fazit
Cyberangriffe stellen für Unternehmen eine zunehmend existenzielle Bedrohung dar. So ist es auch für den Gewürzproduzenten Hela von großer Bedeutung, sofort über eine potentielle Cyberattacke informiert zu werden, um rechtzeitig effektive Gegenmaßnahmen einleiten zu können. Beim Abschluss einer Cyberversicherung wurde deutlich, dass Hela bislang noch nicht die entsprechenden Tools im Einsatz hatte, um komplexe Bedrohungen wie Advanced Persistant Threats frühzeitig zu erkennen. Daher mussten sich die IT-Verantwortlichen von Hela mit der Frage auseinandersetzen, wie sie Angreifer im Netz schnell genug erkennen und entfernen können, bevor Schaden entsteht – im Idealfall ohne hierfür enorme IT-Ressourcen und sechsstellige Beträge für eine komplexe SIEM- oder SOC-Lösung aufbringen zu müssen.
„Nach den Auflagen unserer Cyberversicherung planten wir zunächst ein SIEM zu implementieren. Nach einer ausführlichen Evaluierung entschieden wir uns initial für den 24/7 Active Cyber Defense (ACD)-Service des Hamburger Security-Unternehmens Secion. Wir wissen bereits durch die jahrelange vertrauensvolle Zusammenarbeit, dass wir damit auf einen sehr kompetenten und erfahrenen Partner setzen, der im Thema IT-Sicherheit zu Hause ist“, sagt Jürgen Lunow. „Wir konnten uns schon nach kurzer Zeit selbst davon überzeugen, dass der ACD-Service im Vergleich zu einem umfassenden SIEM eine schlankere, kostengünstigere und sicherere Lösung ist, um umgehend Auffälligkeiten in unserem Netzwerk zu erkennen. Das SOC-Team von Secion hat uns seit Beginn der Zusammenarbeit bereits über kritische Kompromittierungen informiert und uns so vor maßgeblichen Folgeschäden bewahrt.“
(ID:47622245)
:quality(80)/images.vogel.de/vogelonline/bdb/1945500/1945539/original.jpg "Der Fachkräftemangel, das immer komplexere Security-Management und die Masse an Security Alerts führen dazu, dass Incidents nicht schnell genug ausgewertet werden und Bedrohungen zu lange unbemerkt bleiben. (leowolfert - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930807/original.jpg "Network Detection and Response (NDR) ermöglicht durch kontinuierliche Analyse des Netzwerkverkehrs verdächtigen Datenverkehr zu erkennen und darauf zu reagieren. (gemeinfrei)")