Managed Service für die Cyber Security – IT-Security-Anforderungen in drei Schritten umsetzen

Von der Erfüllung gesetzlicher Compliance-Regularien bis hin zum umfassenden Schutz vor Cybergefahren.

Ohne Frage ist die Bedeutung der IT-Security mittlerweile jedem IT-Verantwortlichen bewusst – sei es in Unternehmen oder öffentlichen Organisationen. Dazu tragen alleine schon die vielen Berichte über Cyberangriffe und Schäden durch Malware in den Medien bei. Allerdings ist das Thema Informationssicherheit äußerst komplex. IT-Verantwortliche sind sich daher oftmals gar nicht darüber im Klaren, ob sie ausreichend vorbereitet sind beziehungsweise welche überhaupt die richtige Herangehensweise ist.

Nachfolgend wird in drei Schritten aufgezeigt, wie eine strukturierte Vorgehensweise aussehen kann. 

Schritt 1:
Verschaffen Sie sich einen Überblick und bewerten
Sie Ihre individuellen Infrastrukturgegebenheiten

Anzeige

Zunächst ist es wichtig, die eigenen Beweggründe ehrlich zu hinterfragen: Sind überwiegend externe Compliance-Anforderungen der Treiber, werden die geeigneten Maßnahmen – aber auch die dafür notwendigen Budgets – andere sein, als wenn Cyber Defense als strategisches Risiko für das Unternehmen betrachtet wird. Nach wie vor wird die IT-Security häufig als begleitende Maßnahme zur Erreichung von Zertifizierungen wie ISO 27001 oder TISAX gesehen oder dient der Erfüllung gesetzlicher Verordnungen, beispielsweise dem IT-Sicherheitsgesetz, der KRITIS-Verordnung oder MaRisk im Bankenumfeld. Ist dies der Fall, liegt der Fokus erfahrungsgemäß auf der Erfüllung der jeweiligen Mindestanforderungen. Zwangsläufig wird sich das Budget dann am Notwendigen und nicht am maximal Machbaren orientieren. In diesem Fall finden sich in Schritt 2 geeignete Hinweise
zur weiteren Vorgehensweise. Kommt dem Thema Cyber Defense aus Unternehmenssicht hingegen eine strategische Bedeutung zu und wird kurz- oder mittelfristig ein hohes oder sehr hohes Schutzniveau auf dem aktuellen Stand der Technik angestrebt, werden in der Regel auch die entsprechenden Budgets bereitgestellt. Hinweise auf geeignete Maßnahmen und Technologien sind in Schritt 3 zu finden.

Unabhängig von den Beweggründen geht es in Schritt 1 primär darum, bestehende Sicherheitskonzepte und Sicherheitsmaßnahmen zu dokumentieren und mit der individuellen Gefährdungslage und der Exposition zu vergleichen. Eine Reifegrad-Analyse zeigt momentane Stärken und Schwächen in der Cybersicherheit des Unternehmens auf. Auf dieser Basis kann ein Leitfaden mit Checkliste als eine valide Entscheidungsgrundlage für weiterführende Maßnahmen erstellt werden. Unterstützung bieten in dieser Phase Cyber-Security-Checks, Schwachstellen-Analysen oder sogenannte Compromise Assessments. Diese Leistungen liefern bei meist überschaubaren Kosten valide Informationen und Bewertungen zur Sicherheitslage des Unternehmens und helfen, geeignete Maßnahmen festzulegen und zu priorisieren. 

Schritt 2:
Setzen Sie Mindestanforderungen um

Anzeige

Auf Basis der vorgenommenen Bewertungen können in Schritt  2 erste Maßnahmen zur Verbesserung des Sicherheitsniveaus durchgeführt werden. Sind externe Anforderungen der maßgebliche Treiber, haben sich zwei Maßnahmen als besonders geeignet erwiesen. Denn in praktisch allen Zertifizierungsanforderungen oder -vorgaben wird einerseits eine Sammlung und strukturierte Auswertung von Logdaten mit dem Ziel der Anomalie-Erkennung gefordert. Andererseits ist zudem eine regelmäßige Überprüfung auf vorhandene Schwachstellen unverzichtbar. Die genaue Ausgestaltung und der Detaillierungsgrad mögen unterschiedlich sein, aber diese beiden Vorgehensweisen zur aktiven Erkennung von Schwachstellen und Anomalien werden neben den bereits vorhandenen präventiven Schutzmaßnahmen grundsätzlich gefordert. 

SIEM-Lösungen.
SIEM-Systeme verwenden üblicherweise sogenannte Use Cases als Grundlage zur Erkennung von Ereignissen. Bei einem Use Case handelt es sich einfach gesagt um eine permanente Suchabfrage, die erkennt, ob und wann ein zuvor definiertes Ereignis eingetreten ist.

Die Mindestanforderung bei der Einführung von SIEM-Lösungen besteht darin, Verstöße gegen Compliance-Richtlinien oder Auffälligkeiten im Benutzerverhalten zu erkennen, die auf Security Incidents hindeuten. Die Use Cases stellen eine Basisüberwachung sicher, eignen sich jedoch nicht zur vollständigen Erkennung möglicher Cybergefahren. Zur Einrichtung der Use Cases sind normalerweise Standard-Logquellen (Active Directory-, Firewall-, VPN-, Proxy-Logs) ausreichend. Professionelle »SIEM as a Service«-Anbieter verfügen erfahrungsgemäß über Use-Case-Kataloge, aus denen der Kunde die für seine Anforderungen geeigneten Use Cases auswählen kann. Hierunter fallen unter anderem fehlgeschlagene Logins, Logins zu unüblichen Zeiten, gleichzeitige Logins desselben Benutzers von unterschiedlichen Standorten, Anlage oder Veränderung privilegierter Konten sowie die Deaktivierung von Protokollierungen. Zusätzlich lassen sich meist auch kundenspezifische Use Cases abbilden. 

Schwachstellen-Management/Vulnerability Management.
Schwachstellen-Management- beziehungsweise Vulnerability-Management-Lösungen überwachen die IT-Infrastruktur regelmäßig präventiv auf bekannte Schwachstellen. So wird eine transparente Sicht auf vorhandene Schwachstellen und damit verbundene Risiken erreicht und gleichzeitig die Grundlage für eine strukturierte Bearbeitung geschaffen. Mit dem Ergebnis eines kontinuierlich steigenden Sicherheitsniveaus. Schwachstellen-Management-Lösungen stellen somit einen wichtigen präventiven Ansatz auf dem Weg zum besseren Schutz vor Cybergefahren dar. Zusätzlich ermöglichen diese Lösungen aber auch eine schnelle Identifizierung von neu aufgetretenen Schwachstellen und damit eine unmittelbare Reaktion darauf. 

Während sich SIEM-Lösungen – insbesondere solche, die den Compliance-getriebenen Ansatz verfolgen – noch mit vertretbarem Aufwand selbst betreiben lassen, scheitern Kunden häufig am Umgang mit Vulnerability-Management-Lösungen. Denn diese Lösungen liefern bereits bei kleineren oder mittleren Unternehmensgrößen eine sehr hohe Anzahl von Schwachstellen, deren Bearbeitung und Beseitigung die Kunden-IT oftmals vor unüberwindbare Hürden stellt. Aus diesem Grund ist ein Schwachstellen-Management als Managed Service zu empfehlen, wobei besonders darauf zu achten ist, dass der Anbieter neben dem Betrieb der Lösung auch die Bewertung und Priorisierung der Schwachstellen übernimmt. Optimalerweise sollte er die Ergebnisse regelmäßig mit dem Kunden abstimmen und diesen beim zielgerichteten Umgang mit den Schwachstellen unterstützen. Bei diesen Leistungen handelt es sich um Threat Advisory oder Schwachstellen-Review.

Schritt 3:
Schützen Sie sich umfassend

Der nächste große Schritt hin zu einem umfassenden Schutz vor Cybergefahren stellt zum einen die Erweiterung der Anomalie-Erkennungstechnologien in Richtung Cyber Defense dar, zum anderen die professionelle, kontinuierliche Bewertung und Priorisierung durch Security-Analysten im Security Operations Center (SOC). 

Wurde in Schritt 2 eine SIEM-Plattform implementiert, lässt sich diese verhältnismäßig einfach um spezielle Use Cases erweitern, die die typischen Angreifertechniken in den unterschiedlichen Phasen der Cyberangriffe erkennen. Dies erfolgt über die Auswertung der entsprechenden Logdaten. Auch für diesen Typ von Use Case verfügen Managed-SIEM-Anbieter üblicherweise über einen Use-Case-Katalog, der sich in der Regl am MITRE-ATT&CK-Modell orientiert. Für die Erkennung sind jedoch erweiterte Logquellen wie Sysmon- oder Powershell-Logs erforderlich, die auch zu einem erhöhten Logvolumen führen. 

Alternativ oder in Ergänzung ist es ratsam, auch KI-basierte Ansätze zur Anomalieerkennung zu berücksichtigen. Diese Lösungen basieren auf Untersuchungen des Netzwerkdatenverkehrs oder des Benutzerverhaltens, nicht auf der Auswertung von Logdaten. Durch die Zunahme der verschlüsselten Datenübertragung gestaltet sich diese Analyse aber immer schwieriger. Deutlich an Bedeutung gewinnen deshalb Endpoint-basierte Detection & Response-Lösungen. Diese Lösungen konzentrieren sich wie der Name schon sagt auf den Endpoint, da dort zum einen unverschlüsselter Datenverkehr analysiert werden kann. Zum anderen vereinfachen die am Endpoint vorliegenden Informationen zu aktiven Prozessen, Usern und ausgeführten Kommandos die Erkennung von Angreifern und Malware deutlich.

Unabhängig von den verwendeten Plattformen zur Risikoerkennung ist nun der Punkt erreicht, an dem eine qualifizierte Analyse, Bewertung und Priorisierung der generierten Events erforderlich wird. In der Regel ist der Betrieb eines SOC für Unternehmen sehr anspruchsvoll und in den meisten Fällen auch unwirtschaftlich. Daher ist es sinnvoll, qualifizierte Security-Analysten im Rahmen eines Managed Service einzusetzen. Diese verfügen über profundes Verständnis der Angreifertechniken und -vorgehensweisen und gleichzeitig über notwendige Erfahrungen in Bezug auf Angriffsreaktionen. SOC-Services werden überwiegend in Form von Managed Services angeboten. Ein weiterer Vorteil von Managed Services besteht darin, dass Service Provider – im Gegensatz zum Eigenbetrieb – zusätzlich auf Erkenntnisse aus anderen Kundenumgebungen zurückgreifen und die weltweite Bedrohungslage bei der Bewertung von Incidents berücksichtigen können. Somit sind sie in der Lage, erstens schneller auf Incidents zu reagieren und zweitens Maßnahmen vorzuschlagen, die sich in anderen Security-Vorfällen als sinnvoll erwiesen haben, um den Schadenseintritt bereits präventiv zu verhindern.

Entscheidet man sich für einen externen SOC-Anbieter, ist es sinnvoll, dies bereits bei der Auswahl der SIEM- oder Vulnerability-Management-Lösungen zu berücksichtigen. Ansonsten besteht die Gefahr, dass die vorhandene Plattform gegebenenfalls ausgetauscht werden muss, wenn diese vom Wunschanbieter nicht unterstützt wird.

Als Systemintegrator und Managed Services Provider verfügt Controlware im Bereich Cyber Defense über ein umfassendes und modulares Service-Portfolio. Die IT-Experten unterstützen von der Analyse der konkreten IT-Security-Anforderungen über die Auswahl und Realisierung der individuellen Lösung bis hin zum umfassenden SOC-Betrieb als Managed Service. Controlware ist daher der ideale Partner rund um Cyber Defense Services – gleichgültig von Unternehmensgröße und Branche.

 

Zusammenfassung

  • Die richtige Herangehensweise an Cyber Defense ist vom individuellen Motiv abhängig.
  • Cyber-Security-Checks, Schwachstellen-Analysen oder sogenannte Compromise Assessments helfen, den eigenen Reifegrad zu ermitteln und die weiteren Schritte zu planen.
  • Modulare Lösungen lassen sich sinnvoll erweitern und schützen bereits getätigte Investitionen.
  • Managed Services tragen dazu bei, den betrieblichen Aufwand zu minimieren und die Bewertung und Priorisierung von Security Incidents zu verbessern.

 

 


Christian Bohr,
Head of Managed Services,
Controlware GmbH
www.controlware.de
blog.controlware.de

 

Illustration: © patrimonio designs ltd/shutterstock.com

 

1081 Artikel zu „Cyber Security 2021“

Die drängendsten Cybersecurity-Probleme 2021 – Darauf müssen CIOs achten

Während die analoge Welt im Jahr 2020 durch eine Pandemie in Schach gehalten wurde, sorgten im digitalen Raum cyberkriminelle Aktivitäten und Angriffe für zusätzliche Belastungen. Ganz gleich, ob es sich um die Zunahme von einfachen Phishing-Attacken oder eine der bislang größten aufgezeichneten DDoS-Attacken handelt: 2020 war auch das Jahr, in dem die Bedrohungslage durch Cyberkriminelle…

5 Prognosen für das Cybersecurity-Jahr 2021

  Die Corona-Pandemie wird das Cybersecurity-Jahr 2021 weitgehend bestimmen, so die Vorhersage der Sicherheitsexperten von Imperva. Cyberkriminelle profitieren von der unsicheren und herausfordernden Lage für Unternehmen und versuchen vehement, die Pandemie für sich zu nutzen – der Schutz ihrer Daten muss für Unternehmen in 2021 daher an erster Stelle stehen. Des Weiteren öffnet der fortschreitende Ausbau…

Cybersecurity Predictions: Cyberangriffe werden 2021 noch zielgerichteter

Steigende Zahlen bei Thread Hijacking, Whaling und von Menschen initiierter Ransomware. HP stellt seine Cybersecurity-Prognosen für das Jahr 2021 vor und prognostiziert, dass Sicherheitsbedrohungen in den kommenden zwölf Monaten weiter stark ansteigen werden. Besonderes Augenmerk gilt dabei von Menschen initiierter Ransomware, Thread Hijacking, unbeabsichtigten Insider-Bedrohungen, Kompromittierung von geschäftlichen E-Mails und Whaling-Angriffen.   Die Prognosen der…

Cybersicherheit: Was XDR können muss und worauf es bei der Auswahl einer XDR-Lösung ankommt – Cyberunkraut im Netzwerk eliminieren

EDR, SIEM, DLP – Der Urwald der Cybersecurity-Abkürzungen wird immer dichter. Mit jeder neuen Angriffsart sprießt gefühlt ein weiteres »Lösungspflänzchen« aus dem digitalen Boden, das besonders gut gegen neue Malware-Varianten helfen soll. Aber die vielen neuen Lösungen und Ansätze erfordern nicht nur immer mehr Expertenwissen bei Security-Verantwortlichen, sie müssen sich auch optimal in bestehende Systeme integrieren. Fortschrittliche XDR-Lösungen lichten den Security-Dschungel und erleichtern Unternehmen die Absicherung ihrer gesamten IT-Infrastruktur durch einen hohen Automatisierungsgrad bei der Bedrohungsbekämpfung.

Cybersicherheit: Entscheidungsträger wissen nicht, wie sie proaktiver vorgehen können

Mehr als die Hälfte in Deutschland hat Schwierigkeiten, Cybersicherheitsverbesserungen in ihrem Unternehmen zu finanzieren.   Ob Angriffe auf die Lieferkette oder APTs (Advanced Persistent Threats) – die Bedrohungslandschaft für Unternehmen entwickelt sich ständig weiter und wird immer komplexer [1]. Warum also sind Unternehmen bei ihren Cybersicherheitsinitiativen so passiv? Eine aktuelle Kaspersky-Studie [2] zeigt, dass 53,2…

Checkmarx präsentiert neue, integrierte Cloud Platform für Application Security

Checkmarx Application Security Platform vereint ein breites Set integrierter Application-Security-Funktionalitäten mit vielen flexiblen Integrationsoptionen – und stellt so die Weichen für eine schnellere und sichere Software-Entwicklung.   Checkmarx, Anbieter entwicklerzentrierter Application-Security-Testing-Lösungen, gibt den Launch der Checkmarx Application Security Platform bekannt – einer neuen Lösung, die CISOs, AppSec-Teams und Entwicklern dabei hilft, den steigenden und zunehmend…

Steigende Ausgaben für Cybersicherheit – Investitionen in Technologie und Personal nehmen weiter zu

Eine kürzlich von Tenable in Auftrag gegebene und von Forrester Consulting durchgeführte Studie zeigt auf, welche Investitionen Unternehmen in den nächsten 12 bis 24 Monaten in die Cybersicherheit tätigen wollen. An der Studie mit dem Titel »Beyond Boundaries: The Future of Cybersecurity in the New World of Work« nahmen mehr als 1.300 Sicherheitsverantwortliche, Führungskräfte und…

Proaktive Sicherheit durch Cyber Threat Intelligence

Beim Schutz von Unternehmen vor Infiltration, Datendiebstahl und der Störung der Geschäftsabläufe durch Cyberkriminelle bedeutet »Wissen« ist Macht. Mit dem Aufbau von Threat-Intelligence-Teams und der Umsetzung von CTI-Programmen (Cyber Threat Intelligence) wollen Unternehmen von einer reaktiven in eine proaktive Verteidigungsposition wechseln.   Es deutet sich eine gewisse Form von wachsender Zustimmung in den Unternehmen an,…

Cyber Security Solutions – Restart für Mensch und Technologie auf dem CSF

Es fühlt sich wie ein Neuanfang an. Denn vieles hat sich in der Arbeitswelt durch Homeoffice, mobiles Arbeiten und Videocalls verändert. Die lang ersehnte Digitalisierung ist mit großen Schritten in die Unternehmen eingetreten und hat zugleich ihre Spuren hinterlassen.   Ungeschützt und zum Teil unkontrolliert. Nicht alle Unternehmen waren auf die schnelle Umstellung ihrer IT…

Cyberangriffe – Hacker werden immer schneller und präziser

Die Gefahr Opfer einer Cyberattacke zu werden nimmt stetig zu – das untermauert der neueste OverWatch-Report von CrowdStrike. Allein im vergangenen Jahr beobachteten die Threat Hunter 60 Prozent mehr Angriffsversuche als im Vorjahreszeitraum. Aber nicht nur die Zahl der Angriffsversuche ist gestiegen – der Report zeigt außerdem auf, dass sich E-Crime-Angreifer dreimal schneller als noch…

Komplexität in deutschen Unternehmen untergräbt Cybersicherheit

Vier von fünf IT-Führungskräften in Deutschland sehen die Komplexität in ihren Unternehmen auf einem zu hohen Level. Das führt zu besorgniserregenden Risiken für die Bereiche Cybersicherheit und Datenschutz. Mehr als die Hälfte der Befragten erwartet eine Zunahme der Cyberkriminalität – doch nur 21 Prozent setzen relevante Technologien wie Real-Time-Threat-Intelligence als integralen Bestandteil ihres Betriebsmodells ein.…

Zero-Day-Schwachstelle: Cyberkriminelle nutzen Cloud-Anbieter, um Malware zu hosten

  HP Inc. analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden [1].   Das HP Forschungsteam stellte unter anderem fest, dass Cyberkriminelle Zero-Day-Schwachstellen ausnutzen. So wurde die Zero-Day-Schwachstelle CVE-2021-40444, die die MSHTML-Browser-Engine mit Microsoft Office-Dokumenten bei der Ausführung von Remote-Code gefährdet…

Buchhaltung 2021: mit geringem Aufwand die Kontrolle gewinnen

Wer ein eigenes Unternehmen führt, oder sich auf eine Gründung vorbereitet, sollte den Aufwand der Buchhaltung nicht unterschätzen. Es gibt Firmen, die zur Buchführung durch das Finanzamt verpflichtet sind. Dies ist in der Regel davon abhängig, wie hoch Umsätze und Gewinne ausfallen. Bei kleineren Firmen ist es meist notwendig, dass lediglich eine Gewinnermittlung vollzogen wird.…

Cyberbedrohungen und wie sie aufzuspüren sind: Entdecken, nachverfolgen, bekämpfen

Microsoft Exchange, Colonial Pipeline und jüngst Kaseya: Die Liste von Unternehmen, die allein in diesem Jahr Cyberangriffen zum Opfer fielen, wird jeden Tag länger. Die Entwicklung zeigt: Präventive Security reicht längst nicht mehr aus – für optimalen Schutz sind neue Ansätze nötig. Ein smartes, KI-gestütztes Netzwerkmonitoring als ergänzender Baustein des IT-Sicherheitskonzepts spürt solche Bedrohungen auf, bevor Unternehmen oder Behörden geschädigt werden.

Smart Mobility: Sicherheit vernetzter und autonomer Fahrzeuge – Cybersecurity ist der neue Airbag

Neben der weiteren Elektrifizierung wird die Mobilität im Jahr 2030 autonom, digital, intelligent, nachhaltig und sicher sein. Der Begriff Mobilität bezieht sich dabei nicht nur auf Fahrzeuge an sich, sondern auf das gesamte Ökosystem von Geräten und Diensten, die mit einem Fahrzeug verbunden sind. Die zunehmende Konnektivität und die integrierten Kommunikations- und Servicefunktionen von Fahrzeugen stellen jedoch hohe Anforderungen an die Security.

Attack Surface Management für präventive Security-Konzepte – Cyberkriminellen die Basis nehmen

Ein geeignetes ASM verschafft Unternehmen einen vollständigen Überblick der erreichbaren Webseiten, Technologien, IT-Systeme, Internetdienste und Portale mit allen erforderlichen technischen Details. Es läuft vollautomatisch und fortlaufend ab, so dass sehr schnell Maßnahmen ergriffen werden können. Dadurch verlieren Cyberkriminelle die Lust, ihre Spurensuche fortzusetzen, da sie keine Angriffsflächen finden.

Checkliste: Wie cyber-smart bist du?

Cybersicherheit ist ein überwältigendes Thema in der heutigen Zeit. Gerade jetzt, wenn wir einen Großteil unseres Lebens online verbringen. Es gibt aber Tipps und Tricks, wie wir uns »cyber-smart« – also umsichtig und sicher – im Netz bewegen können. Zum Cyber-Security-Awareness-Monat gibt LastPass fünf Schritte an die Hand, die jeder umsetzen kann.   Sichere Passwörter…

Wie Endanwender zum Opfer von Cyberattacken werden

Hacker richten ihre Angriffe zunehmend auf neue Zielgruppen in Unternehmen. Sicherheitsexperte CyberArk zeigt anhand von drei Beispielen, welche Gefahren Entwicklern, dem mittleren Management und Forschern drohen. Eine Sache, die sich nicht geändert hat, ist die Art und Weise, wie Angreifer vielfach vorgehen: Der Diebstahl von Zugangsdaten mittels Spear-Phishing ist so beliebt wie eh und je.…

Warum Cybersicherheit im Verantwortungs­bereich der Geschäftsführung verankert werden muss

Das Kostenrisiko für die direkten und indirekten Folgen eines Cybersicherheitsvorfalls ist für die meisten Unternehmen enorm und kann existenzbedrohend sein. Dabei geht es jedoch um mehr, wie z. B. die Geschäftsführerhaftung oder die Software Lieferkette als Bedrohung und die Frage, ob diese rechtlich abgesichert werden können. Hier muss vieles beachtet werden und darum sollte das…