Incident Response

Informationssicherheit muss sich verändern

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Viele Datenquellen und die Korrelation von Informationen helfen dabei, mögliche Gefahren auch im Kreise der eigenen Mitarbeiter aufzudecken.
Viele Datenquellen und die Korrelation von Informationen helfen dabei, mögliche Gefahren auch im Kreise der eigenen Mitarbeiter aufzudecken. (Bild: Archiv)

Die Informationssicherheit ist im Wandel. Bei der heutigen Bedrohungslage durch immer professionellere Angreifer und dem wachsenden Druck durch regulatorische Vorschriften reicht es nicht mehr aus, sich auf die Verhinderung und Erkennung zu fokussieren. Eine definierte Reaktion auf Angriffe wird immer wichtiger.

Martin Kuppinger: „Nur durch die schnelle Erkennung und zielgerichtete Reaktion lassen sich die Schäden durch Angriffe reduzieren.“
Martin Kuppinger: „Nur durch die schnelle Erkennung und zielgerichtete Reaktion lassen sich die Schäden durch Angriffe reduzieren.“ (Bild: KuppingerCole)

Das Paradigma bei der Planung für Investitionen in die Informationssicherheit heißt heute „Prevention – Detection – Response“. Bei der Erkennung ändert sich der Fokus darüber hinaus von einer nachträglichen Analyse bis hin zur IT-Forensik, zu einer Echtzeit-Analyse mit unmittelbarer Reaktion – eben der vordefinierten Gegenmaßnahme (Response).

Dabei geht es nicht nur um technische Einrichtungen im Bereich der Sicherheit, sondern auch um organisatorische Maßnahmen. Gerade im Bereich der Reaktion, oft als „Incident and Breach Response“ definiert, besteht die Aufgabe darin, in jeder Hinsicht optimal auf Sicherheitsereignisse reagieren zu können.

Hierzu gehört es beispielsweise auch, die Kommunikation zu Aufsichtsbehörden, Presse und Öffentlichkeit vorab zu regeln. Die negativen Auswirkungen – gerade für die Reputation eines Unternehmens – können oft durch eine vorab geplante Reaktion deutlich reduziert werden. Nicht umsonst gibt es im Bereich der Öffentlichkeitsarbeit die Disziplin der Krisen-PR.

Auf der technischen Ebene geht es vor allem darum, die Analysewerkzeuge für die Erkennung von Angriffen zu verbessern und dann schnell reagieren zu können. Ein wichtiges Element dabei ist die Korrelation von Ereignissen aus unterschiedlichen Quellen – Netzwerk, Endgeräte, aktuelle Zugriffe u.s.w. – um Abweichungen vom regulären Verhalten besser erkennen zu können.

Echtzeit-Informationen erleichtern Krisenreaktion

Diese Entwicklung spiegelt sich in verschiedenen Bereichen wider. Mit neuen Lösungen im Bereich der Real Time Security Intelligence (RTSI) werden traditionelle SIEM-Lösungen aber auch lokale Log- und Reporting-Funktionen auf eine neue Stufe gehoben. RTSI-Lösungen kombinieren Echtzeit-Informationen über neue Bedrohungen, Big-Data-Analysen und mehrstufige Ansätze für die Auswertung von Ereignissen.

Ergänzendes zum Thema
 
Über die European Identity & Cloud Conference 2015

Typischerweise werden einige Informationen in Kombination mit Managed Security Services (MSS) erhoben. Anschließend werden insbesondere veränderte Verhaltensmuster analysiert, statt (wie beim traditionellen SIEM) nur eine Reihe von Regeln zu prüfen. Die Ergebnisse wiederum sollten in einen definierten Prozess für die Reaktion auf erkannte Bedrohungen einfließen.

Zugriffsverwaltung mit Verhaltensanalyse in Echtzeit

Ähnliche Entwicklungen gibt es auch im Bereich des Identity & Access Management (IAM). Früher war IAM mit Meta-Directory-Diensten und später dem Identity Provisioning auf das Verhindern von unberechtigten Zugriffen ausgelegt. Die Erkennung fand vor allem auf technischer Ebene über die so genannte „reconciliation“ statt, bei der Änderungen in untergeordneten Systemen erkannt und zurückgemeldet werden.

In der Realität aber hatten und haben viele Benutzer oft zu weitreichende Berechtigungen. Der nächste Schritt war die Umsetzung der Rezertifizierung, bei der verantwortliche Personen in regelmäßigen Abständen die Zugriffsberechtigungen überprüfen müssen. Damit werden mehr Abweichungen erkannt, aber je nach Intervall für die Rezertifizierung oft viele Monate später.

Mit der Access Intelligence, auf Business-Intelligence-Funktionen beruhenden Lösungen, gibt es inzwischen auch erweiterte Analysemöglichkeiten, mit denen sich beispielsweise Benutzer mit ungewöhnlichen Kombinationen von Berechtigungen erkennen lassen. Auf Basis solcher Analysen lassen sich Benutzer mit hohem Risiko besser identifizieren, um anschließend zu überprüfen, ob Berechtigungen verändert oder andere Gegenmaßnahmen ergriffen werden müssen.

In der letzten Zeit kommen nun immer mehr Lösungen für die Erkennung von Abweichungen im Verhalten von Benutzern auf. Mit ihnen lässt sich feststellen, ob Benutzer zur Laufzeit auf andere Systeme zugreifen, wesentlich mehr Dokumente abrufen oder andere veränderte Verhaltensmuster zeigen. Diese Lösungen, die oft als User Activity Monitoring oder User Behaviour Analytics bezeichnet werden, verbessern die Erkennung weiter.

Der nächste logische Schritt ist dann die möglichst automatisierte, in jedem Fall aber vordefinierte Reaktion auf Ereignisse. Denn nur durch die schnelle Erkennung und zielgerichtete Reaktion lassen sich die Schäden durch Angriffe reduzieren, die von der Bitkom erst unlängst auf immerhin 51 Milliarden Euro pro Jahr alleine in Deutschland beziffert wurden. Es ist Zeit, über die Verhinderung und Erkennung hinauszugehen und den Fokus auf definierte Reaktionen zu richten.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43352144 / Sicherheitsvorfälle)