Anzeige

Meeting

Cyberangriffe werden immer komplexer und häufiger. Auch bei der besten Prävention wird es daher nie gelingen, sie alle abzuwehren. Um Schaden zu minimieren, müssen Unternehmen in der Lage sein, Vorfälle schnell zu erkennen und angemessen zu handeln. Technik alleine reicht dafür nicht aus. Genauso wichtig sind ein gut eingespieltes IDR-Team und effiziente Prozesse. 

Ohne IT geht heute in den meisten Unternehmen nichts mehr. Kein Wunder also, dass Cybervorfälle eng mit dem Risiko für eine Betriebsunterbrechung verknüpft sind. Im aktuellen Allianz Risk Barometer rangieren beide erstmals gleichauf als größte Geschäftsrisiken weltweit. Die Bedrohung ist real. 

In den vergangenen zwei Jahren verzeichnete fast jedes zweite deutsche Unternehmen Schaden durch Cyber-Angriffe, so eine aktuelle Kaspersky-Studie. Große Organisationen mit mehr als 500 Mitarbeitern waren mit 58 Prozent häufiger betroffen als kleinere und mittelständische Unternehmen (40 Prozent). Fakt ist: Je schneller man einen Sicherheitsvorfall erkennt, desto besser lässt sich der Schaden begrenzen. Bei einer zeitnahen Entdeckung sind die Kosten laut Kaspersky noch tragbar, nach einer Woche hat sich der Schaden jedoch bereits mehr als verdoppelt.

Um Cyber-Angriffe zu erkennen, wertet die Mehrheit der deutschen Unternehmen Log-Daten und Protokolle aus – 65 Prozent tun dies anlassbezogen, wenn ein Verdacht besteht, 33 Prozent grundsätzlich und systematisch. Das ergab eine aktuelle Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit3. Notfallmanagement einschließlich regelmäßiger Übungen betreiben jedoch nur 43 Prozent. Dabei wäre genau das wichtig. Denn um Schaden zu minimieren, benötigen Unternehmen ein gut eingespieltes Incident Response Team, das im Ernstfall schnell handlungsfähig ist. Dabei stehen die Sicherheitsexperten vor wachsenden Herausforderungen. Zum einen werden Cyberangriffe immer komplexer. So zeigt die Kaspersky-Studie, dass Hacker in fast einem Fünftel der Fälle keine Spuren hinterlassen, die auf ihre Identität deuten. Das macht die Aufklärung der Angriffe schwieriger. Gleichzeitig nimmt die Zahl der Cyberattacken kontinuierlich zu, das heißt mit der fortschreitenden Digitalisierung wächst zudem die Angriffsfläche.

CYOSS führt seit 2017 regelmäßig spezialisierte Schulungen und Trainings für IDR-Teams durch. Dabei konnten wir feststellen, dass viele Unternehmen gerade bei komplexen Angriffsszenarien noch Optimierungsbedarf haben und ihr Potenzial nicht ausschöpfen. Hier kommen die zehn häufigsten Fehler, die IDR-Teams machen – und Empfehlungen, wie man sie vermeiden kann.

Top 10: Verifikation

Häufig arbeiten IDR-Teams mit SIEM-Systemen, die Log-Dateien auswerten und Alarm schlagen, wenn sie Hinweise auf Sicherheitsvorfälle entdecken. Um False Positives herauszufiltern und Alarme zu bewerten, kann es nötig sein, das Zielsystem zu untersuchen. Auf diese Weise gewinnt man zusätzliche Informationen, die die Sensoren nicht erfasst haben. Da das IDR-Team nicht selbst auf das Zielsystem zugreifen kann, muss es in solchen Fällen eng mit dem IT Operations-Team zusammenarbeiten. Der Analyst muss mit dem zuständigen Admin kommunizieren und ihn anleiten, was er überprüfen soll. Oft fehlt jedoch eine klare Schnittstelle zwischen den beiden Teams. Dadurch hängt es vom persönlichen Netzwerk und der Durchsetzungsfähigkeit des einzelnen Analysten ab, ob er eine erfolgreiche Überprüfung veranlassen kann. Zudem besteht die Gefahr, dass der der jeweilige Admin Ergebnisse nicht korrekt zurückmeldet.

Tipp: Etablieren Sie eine formelle Schnittstelle zwischen dem IT Operations- und dem IDR-Team. So können Sie Alarme schnell und zuverlässig verifizieren. Das erhöht die Fehlerentdeckungsrate und verbessert das Sicherheitsbewusstsein über die Grenzen des IDR-Teams hinweg.

Lesen Sie hier die weiteren Fehler von 9 bis 1

Top 10 Blue Team

Incident Detection & Response: Die 10 häufigsten Fehler

Top 10 Blue Teams Fails - 2019

 


Jetzt für den Newsletter anmelden und gleich das PDF herunterladen!

Wir möchten Sie im Newsletter persönlich anreden und bitten Sie, die richtige Anrede auszuwählen und Ihren Namen einzutragen




Ja, ich möchte künftig wöchentlich per Newsletter Shortnews, Fachbeiträge und Whitepaper für die Enterprise IT erhalten. Meine Einwilligung zur Registrierung kann ich jederzeit widerrufen.
Ich habe die Datenschutzbestimmungen gelesen und akzeptiere diese.
 

Deutsch, 10 Seiten, PDF 0,4 MB, kostenlos

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

RemoteWork Sicherheit

In drei Schritten zu mehr Netzwerksicherheit im Remote-Umfeld

Die Corona-Pandemie zwang im Frühjahr viele Unternehmen quasi über Nacht zur Digitalisierung. Dies gelang mal besser, mal schlechter, doch so langsam ist der Großteil von ihnen in der neuen Realität von Fernarbeit und Onlinekonferenzen angekommen.
Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!