Anzeige

Meeting

Cyberangriffe werden immer komplexer und häufiger. Auch bei der besten Prävention wird es daher nie gelingen, sie alle abzuwehren. Um Schaden zu minimieren, müssen Unternehmen in der Lage sein, Vorfälle schnell zu erkennen und angemessen zu handeln. Technik alleine reicht dafür nicht aus. Genauso wichtig sind ein gut eingespieltes IDR-Team und effiziente Prozesse. 

Ohne IT geht heute in den meisten Unternehmen nichts mehr. Kein Wunder also, dass Cybervorfälle eng mit dem Risiko für eine Betriebsunterbrechung verknüpft sind. Im aktuellen Allianz Risk Barometer rangieren beide erstmals gleichauf als größte Geschäftsrisiken weltweit. Die Bedrohung ist real. 

In den vergangenen zwei Jahren verzeichnete fast jedes zweite deutsche Unternehmen Schaden durch Cyber-Angriffe, so eine aktuelle Kaspersky-Studie. Große Organisationen mit mehr als 500 Mitarbeitern waren mit 58 Prozent häufiger betroffen als kleinere und mittelständische Unternehmen (40 Prozent). Fakt ist: Je schneller man einen Sicherheitsvorfall erkennt, desto besser lässt sich der Schaden begrenzen. Bei einer zeitnahen Entdeckung sind die Kosten laut Kaspersky noch tragbar, nach einer Woche hat sich der Schaden jedoch bereits mehr als verdoppelt.

Um Cyber-Angriffe zu erkennen, wertet die Mehrheit der deutschen Unternehmen Log-Daten und Protokolle aus – 65 Prozent tun dies anlassbezogen, wenn ein Verdacht besteht, 33 Prozent grundsätzlich und systematisch. Das ergab eine aktuelle Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit3. Notfallmanagement einschließlich regelmäßiger Übungen betreiben jedoch nur 43 Prozent. Dabei wäre genau das wichtig. Denn um Schaden zu minimieren, benötigen Unternehmen ein gut eingespieltes Incident Response Team, das im Ernstfall schnell handlungsfähig ist. Dabei stehen die Sicherheitsexperten vor wachsenden Herausforderungen. Zum einen werden Cyberangriffe immer komplexer. So zeigt die Kaspersky-Studie, dass Hacker in fast einem Fünftel der Fälle keine Spuren hinterlassen, die auf ihre Identität deuten. Das macht die Aufklärung der Angriffe schwieriger. Gleichzeitig nimmt die Zahl der Cyberattacken kontinuierlich zu, das heißt mit der fortschreitenden Digitalisierung wächst zudem die Angriffsfläche.

CYOSS führt seit 2017 regelmäßig spezialisierte Schulungen und Trainings für IDR-Teams durch. Dabei konnten wir feststellen, dass viele Unternehmen gerade bei komplexen Angriffsszenarien noch Optimierungsbedarf haben und ihr Potenzial nicht ausschöpfen. Hier kommen die zehn häufigsten Fehler, die IDR-Teams machen – und Empfehlungen, wie man sie vermeiden kann.

Top 10: Verifikation

Häufig arbeiten IDR-Teams mit SIEM-Systemen, die Log-Dateien auswerten und Alarm schlagen, wenn sie Hinweise auf Sicherheitsvorfälle entdecken. Um False Positives herauszufiltern und Alarme zu bewerten, kann es nötig sein, das Zielsystem zu untersuchen. Auf diese Weise gewinnt man zusätzliche Informationen, die die Sensoren nicht erfasst haben. Da das IDR-Team nicht selbst auf das Zielsystem zugreifen kann, muss es in solchen Fällen eng mit dem IT Operations-Team zusammenarbeiten. Der Analyst muss mit dem zuständigen Admin kommunizieren und ihn anleiten, was er überprüfen soll. Oft fehlt jedoch eine klare Schnittstelle zwischen den beiden Teams. Dadurch hängt es vom persönlichen Netzwerk und der Durchsetzungsfähigkeit des einzelnen Analysten ab, ob er eine erfolgreiche Überprüfung veranlassen kann. Zudem besteht die Gefahr, dass der der jeweilige Admin Ergebnisse nicht korrekt zurückmeldet.

Tipp: Etablieren Sie eine formelle Schnittstelle zwischen dem IT Operations- und dem IDR-Team. So können Sie Alarme schnell und zuverlässig verifizieren. Das erhöht die Fehlerentdeckungsrate und verbessert das Sicherheitsbewusstsein über die Grenzen des IDR-Teams hinweg.

Lesen Sie hier die weiteren Fehler von 9 bis 1

Top 10 Blue Team

Incident Detection & Response: Die 10 häufigsten Fehler

Top 10 Blue Teams Fails - 2019

 


Jetzt für den Newsletter anmelden und gleich das PDF herunterladen!

Wir möchten Sie im Newsletter persönlich anreden und bitten Sie, die richtige Anrede auszuwählen und Ihren Namen einzutragen




Ja, ich möchte künftig wöchentlich per Newsletter Shortnews, Fachbeiträge und Whitepaper für die Enterprise IT erhalten. Meine Einwilligung zur Registrierung kann ich jederzeit widerrufen.
Ich habe die Datenschutzbestimmungen gelesen und akzeptiere diese.
 

Deutsch, 10 Seiten, PDF 0,4 MB, kostenlos

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Zero-Day-Lücke

Zero-Day-Lücken in MS Exchange ermöglichen Industriespionage

Microsoft hat Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in Microsoft Exchange veröffentlicht. Die Lücken werden derzeit von staatlichen Akteuren aktiv ausgenutzt.
Phishing

So schützen Sie sich vor Corona-Phishing

Phishing hat während der Corona-Krise stärker als zuvor zugenommen. Kriminelle nutzen die Verunsicherung und die Homeoffice-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten können.
IoT

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden auf digitalen Flohmärkten und sogar in manchen Online-Shops zu außergewöhnlich günstigen Preisen angeboten. Bei genauerem Hinsehen erweisen sich die vermeintlichen…
Trojaner

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für unsere Gesellschaft, das hat uns die Corona-Pandemie deutlich gezeigt. Mit fortschreitender Digitalisierung werden Unternehmen, Behörden sowie Bürger:Innen jedoch auch zur…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!