Thought Leadership
Immer komplexere, weiter verfeinerte Cyber-Angriffstechniken setzen die IT-Security vieler Unternehmen unter Druck – und setzen es einem erheblichen Risiko aus. Mit den richtigen Tools lassen sich die relevanten Bedrohungsindikatoren auch aus riesigen Datenmassen extrahieren und die Netzwerke effizienter schützen.
Über die letzten Jahre haben Cyber-Kriminelle ihre Angriffstechniken erheblich verfeinert und besser abgestimmt. Bedrohungen sind heute immer schwerer zu erkennen. Kaum ein Tag vergeht ohne eine Meldung, dass Hacker erneut Organisationen und Unternehmen im öffentlichen wie privaten Sektor attackiert haben. Das Ergebnis: Die Öffentlichkeit verliert das Vertrauen in diese Organisationen, dass sie Daten sicher verwahren können.
Im Jahr 2014 machten einige enorm große Skandale um den Verlust von Daten von sich reden, die die ganze Bandbreite von Unternehmen getroffen haben, angefangen von Händlern wie eBay und Office bis hin zu Banken wie Barclays. Gleichzeitig gewinnt das Thema Cyberkrieg zunehmend an Bedeutung; mit Regierungen, die Spionagetätigkeiten unterstützen und dafür immer häufiger beschuldigt werden.
Kriminelle wissen ganz genau, dass und welche sensiblen Daten die meisten Unternehmen auf ihren Server speichern. In Zeiten, in denen immer mehr Daten an externe Dienste ausgelagert werden, nimmt die Wahrscheinlichkeit für Bedrohungen zudem eher zu als ab. Tatsächlich planen immer mehr Online-Banden, Cyber-Attacken durchzuführen. In 2015 werden diese Gangster noch raffiniertere Verfahren anwenden und noch skrupelloser zu Werke gehen.
Doch auch die Gründe für Cyber-Angriffe ändern sich: Das bloße Stehlen von Kreditkarteninformationen, um damit auf Shopping-Tour zu gehen, sind gezählt. Natürlich spielt Geld bei den Cyber-Raubzügen nach wie vor eine große Rolle, doch ein weiteres Ziel ist mittlerweile das Schwächen der Reputation des Opfers. Das unerlaubte Veröffentlichen von vertraulichen Informationen, Kommunikationsinhalten und Dokumenten macht Einzelpersonen wie auch Unternehmen zu schaffen. Ein Beispiel ist der immense Datenverlust von Sony Ende 2014. In 2015 werden derartige Attacken zunehmen – egal, ob sie durch den Wettbewerb, regierungsgestützte Spionage oder einfach durch unzufriedene Mitarbeiter getrieben werden.
Firmen verlieren Reputation, Kunden Vertrauen
Mehr als je zuvor nehmen Anwender diese Bedrohungen war und verlangen nach Gegenmaßnahmen. Eine neue von LogRhythm in Auftrag gegebene Umfrage zeigt, dass 59 Prozent der englischen Konsumenten härtere Strafen für Unternehmen wünschen, die sensible Daten verlieren. 56 Prozent erklären, dass sie keine Geschäfte mit Firmen machen, die bereits Opfer von Datendiebstahl geworden sind – oder dem Unternehmen zumindest weniger Informationen anvertrauen. Diese Ergebnisse sollten eine Warnung für alle Organisationen sein, die sich zukünftig möglicherweise mit größeren Strafen und weniger Kundschaft konfrontiert sehen, wenn sie den Fokus auf ihre Security-Anstrengungen nicht schärfen.
Unternehmen müssen aus dem, was in den letzten Jahren passiert ist, ihre Lehren ziehen. Wir können dabei nicht nur von bisherigen Angriffen lernen, sondern auch erkennen, wie Cyber-Kriminelle Werkzeuge und Taktiken adaptiert haben. Das erlaubt es uns besser einzuschätzen, wie sie voraussichtlich weiterhin agieren werden. Von diesem Punkt aus können Unternehmen ihre Regeln für die IT-Sicherheit neu adressieren und sich in eine bessere Position für die Abwehr von Cyber-Angriffen navigieren. Letztlich ist es schließlich nur die Frage wann, nicht ob eine Organisation von Cyber-Gangstern angegriffen wird. In dieser Situation muss sie möglichen Schaden so schnell wie möglich begrenzen.
Riesige Datenmassen überfordern IT-Security-Team
Heute konzentrieren sich die meisten Unternehmen mit ihren Cyber-Security-Policies darauf, Cyber-Kriminelle im Nachhinein dingfest zu machen und zu bestrafen – anstatt zu versuchen, von vorne herein Attacken zu verhindern. In den meisten Firmen basiert das Erkennen von Bedrohungen auf verschiedenen Sicherheitssensoren, die anormales Verhalten oder bekannte Signaturen schädlicher Aktivitäten erkennen. Dies ist ein relativ erfolgreicher Ansatz und dem alleinigen Einsatz von punktuellen Sicherheitslösungen vorzuziehen.
Das Problem dabei: Derartige Systeme generieren dermaßen viele Daten, dass relevante Ereignisse schnell im massiven Grundrauschen untergehen. Das IT-Security-Team hat so viel mit der Analyse der Datenmassen zu tun, dass es mit dem zusätzlichen Identifizieren auffälliger Vorkommnisse häufig überfordert ist. Ganz zu schweigen davon, schnell angemessen darauf zu reagieren.
Risiko-Zeitfenster verkürzen
Unternehmen können das Risiko verringern, Opfer von Cyber-Angriffen zu werden. Dazu müssen sie ihre Netzwerke 24 Stunden an sieben Tagen in der Woche überwachen und die Zeit bis zum Entdecken eines Ereignisses (Mean-Time-To-Detect, MTTD) sowie die Antwortzeit (Mean-Time-To-Respond, MTTR) so weit wie möglich verkürzen. Aktuell agieren die meisten Unternehmen in einem Modus, in dem MTTD und MTTR in Wochen oder gar Monaten gemessen werden. In dieser Zeit sind Organisationen, deren Netzwerk erfolgreich kompromittiert wurden, einem sehr hohen Risiko ausgesetzt. Um Sicherheit zu erlangen, müssen sie diese Werte mindestens auf Tage oder Stunden, idealerweise auf Stunden oder Minuten reduzieren.
Das gelingt, wenn sie in der Lage sind, die wichtigsten Bedrohungen sicher zu erkennen und gleichzeitig ihre Security Intelligence-Werkzeuge mit weniger bedeutungslosem Grundrauschen überfrachten. Genau so, wie Business Intelligence Organisationen geholfen hat, zahlreiche irrelevante Geschäftsdaten auszusortieren, um darunter versteckte Geschäftspotenziale zu erkennen, kann Security Intelligence die wirklich wichtigen Informationen zu rechten Zeit und in einem sinnvollen, aussagekräftigen Kontext liefern. Dadurch können Unternehmen gefährliche Cyber-Attacken schneller erkennen und ihr Sicherheitsniveau deutlich verbessern.
Security Intelligence ermöglicht koordinierten Ansatz
Die zunehmende Komplexität und genauere Ausrichtung heutiger Cyber-Bedrohungen ist gekoppelt an rasant wachsende Datenmengen, in denen die Indikatoren für Bedrohungen versteckt sind. Daher ist ein besser koordinierter und effizienterer Ansatz für das Erkennen von Bedrohungen und das Ausführen geeigneter Abwehrmaßnahmen nötig. Security Intelligence stattet Unternehmen mit den nötigen Werkzeugen aus, mit denen sie Bedrohungen identifizieren und darauf reagieren können – bevor sie ungewollt zum Titelthema der Medien werden.
Roland Messmer, Direktor für Zentral- und Osteuropa bei LogRhythm
