Managed Security Services

Kampf den Cyberkriminellen

Fachkräftemangel und fehlendes Experten-Know-how zählen zu den Gründen, warum Mittelständler den operativen Betrieb von Sicherheitslösungen an externe Managed Security Service Provider (MSSP) übertragen.

  • Hacker am Werk

    Steigendes Risiko: Bis 2022 sollen laut einer Studie weltweit 1,8 Millionen Sicherheitsexperten fehlen.

  • Hacker am Werk

    Viele Unternehmensverantwortliche geben an, nicht über das entsprechende Personal zu verfügen, um den aktuellen Bedrohungen angemessen zu begegnen.

Um die Informationssicherheit der eigenen Organisation zu stärken, sind neben dem Einsatz passender Detektionslösungen auch fachliches Know-how und entsprechende Reaktionsprozesse notwendig. Hersteller in den Bereichen Künstliche Intelligenz (KI) und Machine Learning versprechen zwar häufig, mit neuen Lösungen und Technologien Personalmangel zu überbrücken, reduzieren die Investitionen in IT-Sicherheit jedoch erfahrungsgemäß auf den Bereich Technologie.

Um die Sicherheitsproblematik zu verstehen, lohnt ein Blick zurück ins Jahr 2009. Damals wurden zahlreiche große Unternehmen Opfer von Cyber-Angriffen, die in ihrer Art Komplexität neu waren. Die Empfänger wurden über Phishing-Angriffe auf Webseiten gelockt, bei deren Besuch eine Browser-Schwachstelle ausgenutzt wurde, um in weiteren Schritten den eigentlichen Schadcode – eine Spionage-Software – nachzuladen. Sensible Daten und Passwörter konnten so ungehindert abgezogen werden. Jedes einzelne nachgeladene Stück Schadcode selbst war mehrfach verschlüsselt, die einzelnen Bestandteile wurden im Speicher des Empfängers zusammengesetzt und ausgeführt. Existierende Sicherheitssysteme konnten diese Infektionsketten nicht erkennen.

Diese Serie gezielter Angriffe stellte zeitgleich den Beginn einer neuen Ära an Cyber-Angriffen dar, die diesem Muster bis heute folgen und für klassische Sicherheitssysteme nach wie vor kaum zu detektieren sind. Mit einem wesentlichen Unterschied: Die damals eingesetzten Techniken und Exploits sind heute einer viel breiteren Masse zugänglich. Dies bedeutet, dass mittlerweile so gut wie jedes Unternehmen der Gefahr solcher Angriffe ausgesetzt ist, unabhängig von der zugrunde liegenden Motivation: Es  kann sich um gezielte Angriffe (z.B. Spionage) oder um völlig ungezielte Angriffe im Bereich der opportunistischen Cyber-Kriminalität (Infektion möglichst vieler Systeme für Bot-Netze, Password-Stealer, Ransomware, Krypto-Mining etc.) handeln.

Nebenschauplatz der IT-Infrastruktur


Um aktuelle Cyber-Angriffe zu entdecken und angemessene Abwehrmaßnahmen abzuleiten, ist ein Zusammenspiel der erwähnten Bereiche Technologie, Experten-Know-how und der entsprechenden Incident-Response-Prozesse notwendig. Genau darin liegt jedoch häufig die Krux. Betrachtet man heutige IT-Organisationen, so werden immer noch die klassischen Kernaufgabenbereiche wie Data Center, Netzwerk und Workplace als Organisationseinheiten abgebildet. Die Informationssicherheit als strategische Kernaufgabe ist organisatorisch nach wie vor oftmals nicht hinreichend berücksichtigt oder lediglich in Planung. Bislang wurden sicherheitsrelevante Aufgaben vom jeweiligen IT-Bereich einfach mit übernommen – die IT-Sicherheit war und ist häufig immer noch ein Nebenschauplatz der IT-Infrastruktur. Das Endpoint-Team betreibt die Antiviruslösung, das Netzwerkteam die Firewall.

Zahlen und Fakten

Welche Auswirkungen haben Cyber-Bedrohungen auf Unternehmen und Organisationen weltweit?

  • Bis 2022:
    Weltweit: 1,8 Millionen fehlende Sicherheitsexperten
  • Europa: 350.000 Cyber-Security-Experten
    weniger als verfügbare Jobs
  • 66 Prozent der Unternehmensverantwortlichen geben an, zu wenige Cyber-Sicherheitsexperten zu haben, um den aktuellen Bedrohungen zu begegnen.

Quelle: Global Information Security Workforce Study/Frost & Sullivan

Managed Security Service Providing

  • 66 Prozent der Befragten arbeiten bereits mit einem Managed Security Service Provider.
  • 24 Prozent planen die Nutzung
    eines solchen Providers.

Quelle: Pierre Audoin Consultants (PAC)

Es ist leider keine Seltenheit, dass es bereits an den Prozessen mangelt, die die Reaktionen der einzelnen Bereiche auf Alarme ihrer jeweiligen Sicherheitslösungen detailliert festlegen. Auch fehlt vielfach eine Beschreibung, wie Bedrohungsinformationen und Indikatoren zwischen den unterschiedlichen Teams ausgetauscht und analysiert werden. Zudem ist eine umfassende zeitliche Abdeckung und ein Schichtbetrieb oder gar der Aufbau eines internen Security Operation Centers (SOC) – einer Art internem Leitstand für alle sicherheitsrelevanten IT-Services – für viele Firmen unwirtschaftlich. Insbesondere außerhalb der Metropolregionen ist es generell schwierig, Personal mit entsprechendem Experten-Know-how zu akquirieren, um die Analyse und Bewertung von Sicherheits-alarmen durchzuführen: Was ist die Funktionalität des Exploits und der nachgeladenen Malware? War das Zielsystem verwundbar? Besteht Bezug zu bekannten Malware-Familien oder Cybercrime-Organisationen? Besitzt die Software zusätzliche Funktionalität wie selbstständige Verbreitung?

Angriffe erfolgen möglicherweise auch dort, wo man sie nicht erwartet, oder sie nutzen unbekannte Schwachstellen. Daher empfehlen sich neben dem Schutz des Netzwerkperimeters auch der Einsatz von Sensorik zur Erkennung von Angriffen und Infektionen im internen Netzwerk sowie ein kontinuierliches Schwachstellen-Management.

Sicherheitsvorfälle nicht aussitzen


Falls bisher keine Schäden verzeichnet wurden, könnte dies auch bedeuten, dass die Angriffe lediglich unbemerkt geblieben sind. Wichtig ist, sich im Klaren zu sein, dass technische Sicherheitslösungen ihr volles Potential nur im Zusammenspiel miteinander entfalten. Sind die einzelnen Elemente (Technologie, fachliches Know-how, Prozesse) nicht ausreichend vorhanden, kann ein Managed Security Service Provider wie Controlware Mittelständlern in Form definierter Dienstleistungen mit entsprechenden Reaktionszeiten und Service Level Agreements unterstützen. Die Leistungen reichen vom Betrieb von Perimeter-Security-Lösungen (Firewall, Proxy, Mail-Gateway etc.) über Lösungen für die Erkennung unbekannter Angriffe (Threat-Detection-Lösungen), Log-Management/SIEM-Lösungen bis hin zum Schwachstellenmanagement. Ebenso unterstützen die Dienstleiter mit Expertenwissen und Erfahrung bei der Planung und der Implementierung der Incident-Response-Prozesse und übernehmen auch den Betrieb eines kompletten „Cyber Defense Center as a Service”.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok