Best Practices für Detection and Response So lassen sich Angriffe schneller erkennen und Meldepflichten einhalten

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Viele Cyberattacken werden zu spät erkannt. Maßnahmen zur Minderung der Folgeschäden haben dann nur noch wenig Erfolg. Meldepflichten nach Datenschutz-Grundverordnung (DSGVO) und KRITIS-Vorgaben können nicht fristgerecht eingehalten werden. Höchste Zeit, die eigene Cybersicherheit im Bereich Detection and Response auszubauen oder XDR-Services (Extended Detection and Response) zu nutzen.

Firmen zum Thema

Verbesserte Detection and Response und XDR-Services helfen beim rechtzeitigen Erkennen von Cyberangriffen.
Verbesserte Detection and Response und XDR-Services helfen beim rechtzeitigen Erkennen von Cyberangriffen.
(Bild: Pete Linforth / Pixabay )

Das Risiko, selbst einmal Opfer eines Cyberangriffs zu werden, verdrängen viele Unternehmen im deutschen Mittelstand. Doch die Berichte des BSI (Bundesamt für Sicherheit in der Informationstechnik) zur Sicherheitslage in Deutschland zeigen regelmäßig, dass Cyberattacken Unternehmen jeder Größe und jeder Branche treffen können.

So wurden im vergangenen Jahr Automobilhersteller und ihre Zulieferer angegriffen, ebenso wie Flughäfen und Fluggesellschaften, wie das BSI berichtet. Auch kleine und mittelständische Unternehmen, die sich durch Alleinstellungsmerkmale wie zum Beispiel die Produktion spezieller Komponenten im Maschinenbau auszeichnen, wurden Opfer von Cyber-Angriffen. Ebenso waren kommunale Verwaltungen, Krankenhäuser und Hochschulen von Ransomware-Angriffen betroffen.

Kommt es zu einer erfolgreichen Cyberattacke, braucht die Hälfte der Betroffenen bis zu drei Tage, bis alle Systeme wieder laufen, bei 22 Prozent dauerte es sogar noch länger, wie eine Forsa-Umfrage zur Cybersicherheit des deutschen Mittelstandes ergab. Diese Systemausfälle bleiben nicht ohne Folgen. Sechs von zehn der kleinen und mittelständischen Unternehmen mussten ihre Arbeit in dieser Zeit einstellen oder zumindest stark einschränken.

Viele Cyberattacken werden erst spät erkannt

Kommt es aber zu keinem Systemausfall, bedeutet dies nicht, dass kein Cyberangriff stattgefunden hat. Viele Angriffe von Online-Kriminellen werden erst spät sichtbar, wenn sich zum Beispiel Kunden über den Missbrauch ihrer Daten beschweren oder Wettbewerber offenbar Kenntnis von vertraulichen Produktplänen erlangt haben.

Laut der Ponemon-Studie „Cost of a Data Breach 2020“ vergehen im Durchschnitt 280 Tage, bis ein Cyberangriff erkannt und eingedämmt ist. Werden Cyberattacken aber erst spät erkannt, kommt es oftmals zu noch größeren Folgeschäden, denn die Angreifer hatten dann viel Zeit, sich weiter in den Systemen ihrer Opfer umzusehen und die ausgespähten Daten zu missbrauchen.

Meldepflichten werden verletzt, Folgeschäden steigen an

Durch Sabotage, Datendiebstahl oder Spionage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von über 100 Milliarden Euro, berichtet der Digitalverband Bitkom. Doch die Folgeschäden sind nicht alles. Die von Cyberattacken betroffenen Unternehmen kommen häufig ihren gesetzlichen Meldepflichten zu spät nach.

Durch zu spät entdeckte Cyberattacken lassen sich die strengen Pflichten zur Meldung von Datenschutzverletzungen nach Datenschutz-Grundverordnung (DSGVO), die alle Unternehmen betreffen, nicht einhalten. Je nach Branche kommen weitere Meldepflichten hinzu: Lebensmittelhandel, Kliniken und andere kritische Einrichtungen, die der KRITIS-Verordnung unterliegen, müssen Sicherheitsvorfälle auch an das BSI melden. Wenn die Sicherheitsfunktionen zur Erkennung von Angriffen, also für die Detection, lückenhaft sind, ist somit auch die Compliance in Gefahr.

Um besser vor möglichen Attacken gewarnt zu sein, sollten Unternehmen zudem die entsprechenden Sicherheitsmeldungen, die das BSI und viele weitere Stellen verteilen, auswerten und in der eigenen Strategie zur Erkennung und Abwehr von Angriffen berücksichtigen. Dies stellt viele Unternehmen jedoch vor große Herausforderungen.

Maßnahmen für Erkennung und Abwehr müssen optimiert werden

Viel Security-Abteilung werden überhäuft von Sicherheitswarnungen, die es auszuwerten, zu priorisieren und entsprechend umzusetzen gilt. Gleichzeitig müssen sich die knappen, internen Security-Ressourcen um den Betrieb und die Steuerung zahlreicher Security-Tools kümmern. Dabei arbeiten viele Security-Tools ohne richtige Integration und Abstimmung, wodurch die Komplexität der zu analysierenden Sicherheitslage noch ansteigt.

Trotzdem gilt es, in der ganzen, genutzten IT-Infrastruktur auf mögliche Anzeichen für Cyberattacken zu achten. Viele Attacken setzen sich aus verschiedenen Angriffsarten und -wegen zusammen, sie erfolgen in Stufen und parallel in verschiedenen Gestalten eines Angriffs. Das Gesamtbild einer Cyberattacke kann man deshalb meist nur noch erkennen, wenn man nicht nur zum Beispiel das Verhalten der Endpoints überwacht und dort Anomalien aufspüren will. Stattdessen muss man auch die Netzwerke, Cloud-Dienste und Anwendungen betrachten.

Die Lösung: Extended Detection and Response

Um den komplexen und intelligenten Cyberangriffen besser begegnen zu können, reicht es deshalb nicht aus, für einzelne IT-Infrastrukturen Funktionen für die Erkennung und Eindämmung zu etablieren. Vielmehr gilt es, eine übergreifende Lösung zu schaffen für Detection und für Response.

Man spricht hier von XDR, Extended Detection and Response. XDR erfasst und korreliert relevante Daten auf verschiedenen Sicherheitsebenen wie E-Mail, Endpunkt, Server, Cloud-Workloads und Netzwerk. Bedrohungen werden dadurch früher erkannt, zum Beispiel in der Angriffsmail und nicht erst später in der Ransomware, die auf einem Endpoint ausgeführt wird. Sicherheitsanalysten können Attacken dadurch in kürzerer Zeit untersuchen und auf sie schneller reagieren. Folgeschäden lassen sich so vermindern.

Um das eigene Security-Personal zu entlasten, bietet es sich an, XDR als Managed Services zu beziehen, als Managed XDR. Dadurch stehen Tools, Know-how und Fachkräfte zur Verfügung, um die Angriffe früher zu erkennen, Meldepflichten besser einhalten zu können und die Folgeschäden von Attacken zu mindern.

(ID:47140873)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research