Wählen Hacker den nächsten US-Präsidenten?| Fehler im IT-Security Monitoring

Security ConceptCyberangriffe auf US-Wahlkomitees beweisen die Anfälligkeit auch fortschrittlicher Institutionen. RadarServices hat die häufigsten Fehler im IT-Security Monitoring analysiert und gibt Tipps, was Unternehmen beim Betrieb ihres SOCs unbedingt im Blick haben sollten.

IT-Sicherheit wird durch den Einsatz von spezialisierter Software erreicht – so das in der Allgemeinheit vorherrschende Bild. Doch in Großunternehmen und öffentlichen Institutionen wird viel mehr getan, um Kundendaten, Betriebsgeheimnisse und interne Kommunikation tagtäglich vor Cyberangriffen zu schützen. Im Mittelpunkt steht dabei das Security Operations Center (SOC), vergleichbar mit einem Tower am Flughafen. Basierend auf modernster Technologie beobachten und beurteilen Experten permanent die aktuelle IT-Sicherheitslage in der gesamten IT-Landschaft einer Organisation und ergreifen bei Auffälligkeiten sofort die richtigen Gegenmaßnahmen. Dass Cyberangreifer trotzdem immer wieder bei Unternehmen und Institutionen wie zuletzt beim Democratic National Committee (DNC) und beim Democratic Congressional Campaign Committee (DCCC) im US-Wahlkampf erfolgreich sind, zeigt, dass eine detaillierte Sicherheitsüberwachung offenbar nicht immer einwandfrei funktioniert.

Anzeige

Wo liegen die häufigsten Probleme? RadarServices, Betreiber von Managed SOCs weltweit, hat sie analysiert und gibt Tipps, was Unternehmen beim Betrieb ihres SOCs unbedingt im Blick haben sollten.

Problem Nr. 1: Es gibt kein dezidiertes SOC

Beispiel: Großkrankenhäuser. 2016 wurden mehrere Fälle von Ransomware-Angriffen vor allem in Deutschland, den USA und Kanada bekannt. Die Erpressungssoftware legte die IT und damit die Prozesse der Organisationen über Tage lahm. Trotz fortschrittlichster Medizintechnik scheinen im Bereich IT-Sicherheit wichtige Maßnahmen zu fehlen, die derartige Angriffe von vorneherein unschädlich gemacht hätten.

Geschätzte 85% aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern verfügen aktuell über kein dezidiertes SOC. „Die Einrichtung eines SOCs ist für große Organisationen ein Muss“, mahnt Harald Reisinger, Geschäftsführer von RadarServices. „Die Millionenschäden und die negativen Reputationsfolgen kommen bei Cyberangriffen immer dann zustande, wenn eine Organisation über keine geeigneten technischen Werkzeuge und Experten verfügt und so über Wochen oder Monate hinweg nicht erkennt, dass es angegriffen wird. In diesem Fall haben Angreifer genügend Zeit, das schwächste Glied im gesamten Unternehmensnetzwerk ausfindig zu machen. Sie können zum Beispiel über Mitarbeiter-Accounts Schadsoftware einspielen oder massenweise Daten entwenden“, so Reisinger weiter.

Problem 2: Installation von Security Software alleine reicht nicht

Für die IT-Risikoerkennung sind eine Reihe von komplexen und kostenintensiven Systemen, Software und Informationsquellen notwendig. Dazu gehören zum Beispiel Schwachstellenscanner, Intrusion Detection Systeme, ein Security Information & Event Management System, Sandboxing-Technologien, Threat Intelligence und Reputationsdaten sowie Correlation Engines. Mit dem Kauf dieser Produkte ist es aber nicht getan. Experten müssen sie laufend konfigurieren und an die aktuellen Gegebenheiten im und um das Unternehmen anpassen, damit sie einen Angriff auch richtig und rechtzeitig erkennen. Auch sind die Erkenntnisse der Software lediglich Risikohinweise. Experten müssen die Informationen also analysieren, hinsichtlich ihrer Gefahr bewerten, ihre Auswirkungen auf die IT und die Geschäftsabläufe hinterfragen, für die Behebung priorisieren, für die operativen IT-Teams mit Behebungshinweisen versehen und schlussendlich als „behoben“ klassifizierte Vorkommnisse einer Endkontrolle unterziehen.

„Die Experten im SOC sind nicht nur die entscheidenden Alarmgeber bei Cyberangriffen. Sie koordinieren vor allem auch die Aufgaben der operativen IT-Teams wenn rasche Reaktionen auf Angriffe notwendig sind, um damit eine größtmögliche Schadensbegrenzung zu erreichen. Sie machen das SOC zur Schaltzentrale für ein effektives IT-Risikomanagement“, erklärt Reisinger.

Problem 3: Funktionierende Prozesse fehlen

Der Cyberangriff auf die US-Handelskette Target in 2013 demonstriert die Folgen von nicht-funktionierenden Prozessen besonders plakativ: Mehr als 100 Millionen Datensätze von Kunden wurden entwendet. Berichten zufolge war das Unternehmen durch seinen IT-Sicherheitsdienstleister über Auffälligkeiten im Netzwerk rechtzeitig informiert, die zeitnahe Reaktion darauf blieb jedoch aus.

Die teuerste Software und ein geschultes Expertenteam helfen also nicht, wenn Prozesse nicht etabliert sind und gelebt werden. „Im akuten Angriffsfall sind gut funktionierende Workflows innerhalb des SOC-Teams sowie zwischen diesem und den operativen IT-Teams das A und O. Die zuständigen Mitarbeiter müssen in einem regelmäßigen, persönlichen Austausch stehen, damit sie im Notfall sofort Hand in Hand miteinander arbeiten können“, so Reisinger abschließend.

Fazit

Cyberangriffe stellen auch für die größten Organisationen der Welt eine Herausforderung dar. Die Erfolgsformel besteht aus drei Komponenten: modernsten Werkzeugen, geschulten Experten und etablierten Prozessen. Wenn dies erfüllt wird, sind auch große und besonders im Fadenkreuz von Angriffen stehende Institutionen sicher – und nur die US-Bürger wählen ihren Präsidenten.

www.radarservices.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.