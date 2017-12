Künftig wird es zu viele Cyber-Angriffe geben, als dass ein Sicherheitsexperte alles kritisch prüfen und der Ursache auf den Grund gehen könnte. Als „Alert Fatigue“ – auf Deutsch: Alarmmüdigkeit – wird das Phänomen bezeichnet, dass Warnungen sich zu häufig als Fehlalarme herausstellen, sodass sie von Verantwortlichen irgendwann ignoriert werden. Ganz nach dem Motto: „Wer einmal lügt, dem glaubt man nicht“. Vergleichbar ist dies mit einem immer wiederkehrenden Feueralarm, der irgendwann fälschlicherweise als Fehlalarm eingestuft und ignoriert wird – die Folgen wären fatal. Zwar geht es in der IT-Sicherheit meist nicht um Leben und Tod, dafür jedoch um hochsensible Daten, die besser nicht in falsche Hände geraten.

IT-Experten in Unternehmen sehen den Umgang mit der großen Zahl an Warnmeldungen von Sicherheitssystemen als größte Herausforderung an – so steht es im aktuellen Insights Report „Security Operations Challenges, Priorities, and Strategies“ von ESG Research. Eine andere Studie von Bay Dynamics zeigt, dass 79 Prozent der IT-Experten sich von einer Informationsflut überwältigt fühlen.



Die Gefahr, dass ein „echter Alarm“ überhört wird und dadurch ein Angriff auf sensible Daten eines Unternehmens stattfinden kann, steigt – und das, nachdem viel Geld in unterschiedliche Sicherheitssystemen investiert wurde. Wenn man dann noch bedenkt, dass sich laut einer Studie des Marktforschungsinstitutes „International Data Corporation“ mehr als die Hälfte (52 Prozent) der Alarme als Fehlalarme herausstellen, kostet es gleich doppelt so viel Zeit, um diese zu validieren und zu lösen.

Die EU-Datenschutz-Grundverordnung

Doch nicht nur der Kostenfaktor spielt eine große Rolle. Auch erhöht die ab Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (EU-DSGVO) den Druck auf Unternehmen. Denn die sind nun verpflichtet, ihre IT-Sicherheitskonzepte auf Vordermann zu bringen. Verstöße gegen das Gesetz können teuer werden und Unternehmen bis zu 20 Millionen Euro oder bis zu vier Prozent des jährlichen Umsatzes kosten. Die Einhaltung der neuen Vorschriften kostet wiederum Zeit – Zeit, die bei den IT Experten ohnehin schon knapp bemessen ist. Kräfte mehren geht auch nicht, denn es besteht ein Mangel an Sicherheitsexperten. Die Nachfrage wächst, ohne dass der Bedarf gedeckt werden kann. Doch um die Sicherheit des Unternehmens zu gewährleisten, müssen die bereits bestehenden und überlasteten Fachkräfte dringend entlastet werden.



Was tun also, wenn Sicherheitsexperten in einem Meer aus Fehlalarmen zu ertrinken drohen? Hier kommt die Automatisierung von Sicherheitsprozessen ins Spiel. Denn manchmal ist weniger mehr. Virenscanner, Firewall und andere Präventionsmaßnahmen – die Herausforderung besteht darin, dass Prävention richtig und wichtig ist, aber nicht alles absichert, wie Ransomware-Vorfälle beeindruckend gezeigt haben. Sie vervielfachen die Anzahl an Alarmen und echte, gezielte Cyber-Angriffe könnten unentdeckt bleiben.



Um Sicherheitsexperten zu helfen, wieder den vollen Überblick zu bekommen, müssen im vermeintlich sauberen Netzverkehr Angriffsdaten erkannt, abgeglichen und mit weiteren Informationen automatisiert angereichert werden, damit Gegenmaßnahmen umgehend eingeleitet werden können. Solche automatisierten Sicherheitssysteme werden unter „Security Automation“ zusammengefasst und für diese Anforderungen spezifisch als Automated Detection and Response (ADR) bezeichnet.

Systeme arbeiten selbstständig

Ein ADR-System geht über die traditionellen Präventionstechnologien hinaus und erweitert sie um die Erkennung von Angriffen und die Reaktion auf diese. Automatisierte Sicherheitssysteme wie dieses erstrecken sich auf wichtige Komponenten der IT-Infrastruktur und decken ganzheitlich alle Bereiche ab – Netzwerk, Clients und Server, jeweils am Perimeter, im internen Netz und auf dem Endpunkt selber. Die Daten werden auf einer zentralen Plattform gesammelt und auch Angriffe, die bereits in der Vergangenheit stattgefunden haben und Angreifer, die schon im System drin sind, werden so gesucht, gefunden und bekämpft.



Die Prozesse werden automatisiert und vereinheitlicht, die Systeme arbeiten selbstständig und entlasten den Verantwortlichen – anstatt, wie bei traditionellen Sicherheitssystemen, noch mehr Zeit der Arbeitskräfte zu beanspruchen. Fachkräfte werden nun nicht mehr von allen Seiten mit Warnungen ohne Hintergrundinformationen, die aus dem Kontext gerissen wurden, bombardiert. Ein Konzept zur Sicherheitsautomation wie etwa der Einsatz eines ADR-Systems verringert die Anzahl an Fehlalarmen und hilft vor allem dabei, den „echten“ Alarm zu verstehen. Das ist wichtig, denn die Größe und Reichweite von Cyber-Angriffen nimmt zu und beansprucht die volle Konzentration der IT-Experten.



