Anzeige

Meeting

Cyberangriffe werden immer komplexer und häufiger. Auch bei der besten Prävention wird es daher nie gelingen, sie alle abzuwehren. Um Schaden zu minimieren, müssen Unternehmen in der Lage sein, Vorfälle schnell zu erkennen und angemessen zu handeln. Technik alleine reicht dafür nicht aus. Genauso wichtig sind ein gut eingespieltes IDR-Team und effiziente Prozesse. 

Ohne IT geht heute in den meisten Unternehmen nichts mehr. Kein Wunder also, dass Cybervorfälle eng mit dem Risiko für eine Betriebsunterbrechung verknüpft sind. Im aktuellen Allianz Risk Barometer rangieren beide erstmals gleichauf als größte Geschäftsrisiken weltweit. Die Bedrohung ist real. 

In den vergangenen zwei Jahren verzeichnete fast jedes zweite deutsche Unternehmen Schaden durch Cyber-Angriffe, so eine aktuelle Kaspersky-Studie. Große Organisationen mit mehr als 500 Mitarbeitern waren mit 58 Prozent häufiger betroffen als kleinere und mittelständische Unternehmen (40 Prozent). Fakt ist: Je schneller man einen Sicherheitsvorfall erkennt, desto besser lässt sich der Schaden begrenzen. Bei einer zeitnahen Entdeckung sind die Kosten laut Kaspersky noch tragbar, nach einer Woche hat sich der Schaden jedoch bereits mehr als verdoppelt.

Um Cyber-Angriffe zu erkennen, wertet die Mehrheit der deutschen Unternehmen Log-Daten und Protokolle aus – 65 Prozent tun dies anlassbezogen, wenn ein Verdacht besteht, 33 Prozent grundsätzlich und systematisch. Das ergab eine aktuelle Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit3. Notfallmanagement einschließlich regelmäßiger Übungen betreiben jedoch nur 43 Prozent. Dabei wäre genau das wichtig. Denn um Schaden zu minimieren, benötigen Unternehmen ein gut eingespieltes Incident Response Team, das im Ernstfall schnell handlungsfähig ist. Dabei stehen die Sicherheitsexperten vor wachsenden Herausforderungen. Zum einen werden Cyberangriffe immer komplexer. So zeigt die Kaspersky-Studie, dass Hacker in fast einem Fünftel der Fälle keine Spuren hinterlassen, die auf ihre Identität deuten. Das macht die Aufklärung der Angriffe schwieriger. Gleichzeitig nimmt die Zahl der Cyberattacken kontinuierlich zu, das heißt mit der fortschreitenden Digitalisierung wächst zudem die Angriffsfläche.

CYOSS führt seit 2017 regelmäßig spezialisierte Schulungen und Trainings für IDR-Teams durch. Dabei konnten wir feststellen, dass viele Unternehmen gerade bei komplexen Angriffsszenarien noch Optimierungsbedarf haben und ihr Potenzial nicht ausschöpfen. Hier kommen die zehn häufigsten Fehler, die IDR-Teams machen – und Empfehlungen, wie man sie vermeiden kann.

Top 10: Verifikation

Häufig arbeiten IDR-Teams mit SIEM-Systemen, die Log-Dateien auswerten und Alarm schlagen, wenn sie Hinweise auf Sicherheitsvorfälle entdecken. Um False Positives herauszufiltern und Alarme zu bewerten, kann es nötig sein, das Zielsystem zu untersuchen. Auf diese Weise gewinnt man zusätzliche Informationen, die die Sensoren nicht erfasst haben. Da das IDR-Team nicht selbst auf das Zielsystem zugreifen kann, muss es in solchen Fällen eng mit dem IT Operations-Team zusammenarbeiten. Der Analyst muss mit dem zuständigen Admin kommunizieren und ihn anleiten, was er überprüfen soll. Oft fehlt jedoch eine klare Schnittstelle zwischen den beiden Teams. Dadurch hängt es vom persönlichen Netzwerk und der Durchsetzungsfähigkeit des einzelnen Analysten ab, ob er eine erfolgreiche Überprüfung veranlassen kann. Zudem besteht die Gefahr, dass der der jeweilige Admin Ergebnisse nicht korrekt zurückmeldet.

Tipp: Etablieren Sie eine formelle Schnittstelle zwischen dem IT Operations- und dem IDR-Team. So können Sie Alarme schnell und zuverlässig verifizieren. Das erhöht die Fehlerentdeckungsrate und verbessert das Sicherheitsbewusstsein über die Grenzen des IDR-Teams hinweg.

Lesen Sie hier die weiteren Fehler von 9 bis 1

Top 10 Blue Team

Incident Detection & Response: Die 10 häufigsten Fehler

Top 10 Blue Teams Fails - 2019

 

Download  

Deutsch, 10 Seiten, PDF 0,4 MB, kostenlos

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

E-Mail security

Sichere E-Mail-Kommunikation - gerade jetzt

Verschlüsselung ist wichtiger denn je, denn aufgrund der Einschränkungen, die das Coronavirus mit sich bringt, kommunizieren Unternehmen und Privatpersonen mehr denn je via Collaboration-Tools und Video-Konferenzen, aber auch via E-Mail. Nachfolgend daher ein…
Web Security

Neuer JavaScript-Scanner

Einfaches Scannen moderner Webanwendungenverspricht Crashtest Security mit einem neuen JavaScript-Scanner. Zusätzlich veröffentlicht das Unternehmen ein Update, das agilen Sicherheitsbedürfnissen mit vollständigen SaaS-Funktionen.
Hijacking

Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

Die Cloud bietet Cyberkriminellen eine große Angriffsfläche, da enorme Datenmengen an einem Ort gespeichert sind. Cloud Account Hijacking auf Unternehmensebene ist besonders verheerend, wenn dadurch vertrauliche oder geschäftskritische Daten durchsickern oder…
Cyber Resilience

5 Tipps für eine widerstandsfähige Unternehmens-IT

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie gelingen, es ganz auszumerzen. Um auch im Ernstfall betriebsfähig zu bleiben, sollten Unternehmen einen Zustand der nachhaltigen Widerstandsfähigkeit anstreben. Aber wie…
Homeoffice

Unsichere Home-IT wird plötzlich zur Arbeitsumgebung

Das Home-Office, vor kurzem noch eine Option für wenige Mitarbeiter in wenigen Unternehmen, wird vor dem Hintergrund der Corona-Krise vielerorts zum Rückgrat des Geschäftsbetriebes. Die Verlagerung von Büroarbeitsplätzen vom Unternehmen in die eigenen vier…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!