Illustration: Absmeier, Gaimard

Cyberangriffe, die immer ausgefeilter, komplexer und gezielter ausfallen und von langer Hand vorbereitet sind, bringen nicht nur den Mittelstand in eine schwierige Lage. Diese kann er meistens nicht allein bewältigen und ist deshalb auf Hilfe durch externe Dienstleister angewiesen, um die sicherheitsrelevanten Aufgaben zu meistern.

Angriffspunkte und Gefahren in der IT

In der IT und gerade bei er Security gibt es keine hundertprozentige Sicherheit. Es wird immer Angriffspunkte wie schwache Passwörter, unkontrollierte Berechtigungen, ungepatchte Software, und Schatten-IT, für findige Hacker geben, um sich in Unternehmensnetzwerke einzuschleusen. Zwar sind die Angreifer in den meisten Fällen Menschen, allerdings wird über Machine Learning und künstliche Intelligenz in der Zukunft die Gewichtung verschoben werden. Daher brauchen die Unternehmen nicht nur kompetente Verteidiger, sondern auch Notfallpläne, wenn es dann zu einem Sicherheitsvorfall kommt. Leider haben viele Unternehmen immer noch nicht erkannt, dass ein geeigneter Notfallplan großen Schaden abwenden kann.

Eine weitere Gefahr lauert durch Advanced Persistent Threats (APT). Und hier gilt es,  Sicherheitslücken zu schließen und  Angreifern ausfindig zu machen, die sich unbemerkt im Netzwerk befinden. Kleinere und mittlere Betriebe, die weder die technologischen Mittel als auch die personelle Struktur haben, können diese Bedrohungen nur selten erkennen, oder geeignete Abwehrmaßnahmen  treffen. Als Ursache kann es bei vielen Unternehmen an der Bereitstellung des nötigen Budgets liegen. Und selbst wenn die finanziellen Mittel für ein eigenes SOC (Security Operation Center) und das entsprechende Personal vorhanden sind, ist es schwer die passenden Spezialisten zu finden. Auch hier zeigt der Fachkräftemangel wieder auf, dass selbst große Unternehmen nur sehr schwer ein kompetentes Team aufstellen und auch langfristig an sich binden können.

Tipps: Da sowohl große als auch kleine Unternehmen beliebte Ziele für Hacker sind, sollten vor allem kleinere Unternehmen von Beginn an auf die passende Internet Sicherheit Software setzen, um Bedrohungen, die sich gegen Ihr Unternehmen richten, von Beginn an entgegenzuwirken. So etwa mit der Antivirus-Software für Unternehmen von Bitdefender, die herkömmlichen Sicherheitslösungen wie AV-Software, Malware-Schutz und Firewalls in allen Punkten überlegen ist.

Security Operation Center – Datenbasierte IT-Sicherheit

Die Mitarbeiter in einem Security Operation Center stützen sich bei ihrer Arbeit auf Informationen aus vielfältigen Quellen. Hierzu zählen Daten, die eine Endpoint-Detection-and-Response-Lösung (EDR) im Unternehmen sammelt, zweitens die in einem Security Information und Event Management (SIEM) aggregierten Daten, sowie drittens Informationen aus weiteren Quellen. Hierdurch wird auffälliges Verhalten einer Fileless-Attacke erkannt und  größere Schäden verhindert, sobald ein Angriff erfolgreich durchgeführt werden konnte.

Je länger und besser Expertenteams die Kunden kennen, umso besser können sie deren IT schützen. Ausgangspunkt ist dabei die ausführliche Bestandsaufnahme der Kunden-IT und seiner digitalen Prozesse zu Beginn der Zusammenarbeit mit einem SOC. Hier geht es nicht nur um die jeweilige Risikolage, sondern auch darum, ein Bild des IT-Normalbetriebs des Kunden so detailliert wie möglich zu zeichnen, um normales Verhalten von abweichendem Verhalten zu unterscheiden.

IT-Sicherheitsdienst: die vier Säulen für maximale IT-Sicherheit
Ein kontinuierlich wirkender IT-Sicherheitsdienst beruht auf vier Säulen:

• Prevention: Bereits im Vorfeld filtern grundlegende Abwehrtechnologien bekannte Schad-Software und verdächtige Aktivitäten heraus. Das gibt den Sicherheitsanalysten Zeit, sich auf unbekannte Gefahren und individuell entworfene, von den Tools nicht erkannte APT-Kampagnen zu konzentrieren. Die Experten behalten auch im Auge, ob sich die Mitarbeiter an die Sicherheitsrichtlinien ihres Unternehmens halten.
• Detection: Technologien zum Schutz von Endpunkten (wie beispielsweise XEDR) helfen bei der Abwehr, während die Expertenteams aktiv nach neuen Angriffen suchen, die es besonders auf den Kunden, seine Technologie und Branche abgesehen haben. Sie überprüfen vor allem Vorgänge, die vom bekannten Verhalten abweichen.
• Response: Entscheidend im Ernstfall ist die schnelle Reaktionszeit. SOC-Experten führen Maßnahmen bereits durch, bevor sie eine Gefahr melden. Diese Maßnahmen wurden vorab gemeinsam von Kunde und Dienstleister abgestimmt: Sie blockieren beispielsweise IP-Adressen, setzen Passwörter zurück, isolieren oder entfernen Systeme zu Beginn einer Ransomware-Attacke aus dem Netz. Selbstverständlich betrifft das, was ein externer Dienstleister im Ernstfall ohne Rücksprache tun darf, niemals die Grundlagen der zu schützenden Infrastruktur.
• Reporting: Vor allem mit Blick auf die Dokumentationsvorgaben durch die Europäische Datenschutz-Grundverordnung ist es wichtig, Bericht zu erstatten. Da ist es gut zu wissen, dass Kunden nicht von den Informationen abgeschnitten sind und sich auch selbst einschalten können: Sie können sich in die Systeme des MDR-Dienstes einloggen und sehen so die gleichen Informationen wie die externen Experten. Außerdem lassen sich zurückliegende Aktivitäten nachvollziehen, um daraus forensische Rückschlüsse zu ziehen.

Fazit: Kompetente Sicherheitsteams als Unterstützung
Gerade die gefährlichen zielgerichteten Cyberangriffe werden von Menschen geplant und durchgeführt und bei der Abwehr ist dies genauso. Menschen handeln anders als Maschinen. Künstliche Intelligenz und maschinelles Lernen helfen zwar, Attacken schneller zu erkennen, doch um alle zugänglichen Informationen zu nutzen und die oftmals gut verschleierten Absichten der Angreifer zu erkennen, benötigt man erfahrene Spezialteams.

Organisationen, die nicht das nötige Budget haben, ein eigenes Security Operation Center aufzubauen – oder ihr bestehendes SOC mit erfahrenen Sicherheitsexperten unterstützen möchten –können auf MDR-Dienste setzen. So erhöhen sie nicht nur ihre IT-Sicherheit maßgeblich, sondern fügen auch noch einen entscheidenden Faktor hinzu: die Unterstützung durch kompetente Sicherheitsanalysten.