Tote Winkel gibt es in jedem Unternehmen. Wenn es allerdings darum geht in Sachen IT-Sicherheit und Cyberbedrohungen Transparenz zu schaffen, werden Geschehnisse im toten Winkel schnell zu einem teuren Spaß. Akute Probleme in den Griff zu bekommen ist naheliegend. Mittel- und langfristig effektivere Methoden und Prozesse zu implementieren, entpuppt sich allerdings als die weit größere Herausforderung. Nicht selten mangelt es nämlich am reibungslosen Zusammenspiel zwischen IT Security und IT Operations will man Sicherheitsrisiken effektiv minimieren.
Ein weiteres Problem mit dem Behörden, Institutionen und Unternehmen der freien Wirtschaft gleichermaßen zu kämpfen haben ist der Mangel an qualifiziertem Personal. Die Folgen dieses Mangels betreffen gleich zwei sensible Bereiche. Die IT-Sicherheit als solche, also Sicherheitsrisiken effektiv zu minimieren sowie angemessene Methoden und Technologien zu implementieren. Und daneben mit denselben begrenzten Ressourcen unternehmenskritische IT-Projekte voranzutreiben.
Es ist keine große Überraschung, dass sich die Situation durch das Internet der Dinge und das Industrielle Internet der Dinge mit einer Unzahl von vernetzten Geräten, Sensoren und Anlagen inzwischen weiter verschärft hat.
Betriebsunterbrechungen und Cybervorfälle am meisten gefürchtet
Vor kurzem veröffentlichte der Allianz-Konzern nun zum siebten Mal sein sogenanntes »Risk-Barometer« mit annähernd 2.000 Teilnehmern aus 80 Ländern. Großkonzerne, mittlere und kleine Unternehmen waren gehalten bis zu drei Risiken anzugeben, die ihrer Einschätzung nach derzeit die für sie wichtigsten sind. Bereits zum sechsten Mal in Folge schaffte es die Betriebsunterbrechung auf Platz 1 der weltweit am meisten gefürchteten Risiken. 42 % der Befragten sehen das so. Was die Verknüpfung der beiden Risiken Betriebsunterbrechung und Cybervorfälle anbelangt, spielt das wachsende Ausmaß der Digitalisierung eine entscheidende Rolle. Cybervorfälle sind erstmalig die am meisten gefürchtete Ursache für Betriebsunterbrechungen und diese wiederrum die Hauptursache für wirtschaftliche Schäden nach einem Cybersicherheitsvorfall. So bewerten folgerichtig 40 % der weltweit Befragten das Risiko von Cybervorfällen als das zweitgrößte, dem Unternehmen überhaupt ausgesetzt sind.
Trotz dieser offensichtlichen Verzahnung der beiden größten Risiken verlässt sich die Mehrheit der Unternehmen weiterhin auf traditionelle Sicherheitslösungen nach dem Detect-and-Response-Modell. Dazu zählen nicht zuletzt Signatur-basierte Antivirenlösungen, die eine ganze Reihe von Nachteilen haben und großen manuellen Aufwand erfordern. Was nicht unbedingt zur Entlastung von IT- und IT-Sicherheitsabteilungen beiträgt.
Analysten wie zuletzt KPMG appellieren vehement an die Manager in den Vorstandsetagen bei ihren IT- und IT-Sicherheitsinvestitionen etwas mehr Vorstellungsvermögen zu entwickeln. Sprich in Tools zu investieren, die ihnen das verschaffen, was sie dringend brauchen, nämlich Transparenz in ihrem Netzwerk, um Angriffe zuverlässig zu erkennen, aber auch Schwachstellen und Sicherheitslöcher innerhalb der bestehenden Infrastruktur. Immer noch kommt es vor, dass Firmen erst Jahre nach einem erfolgreichen Angriff bemerken, dass er stattgefunden hat. Mehr Sicherheitslayer bedeuten eben nicht automatisch mehr Sicherheit. Prädiktiv arbeitende Lösungen funktionieren anders. Sie verwenden eine Technologie, die auf künstlicher Intelligenz basiert und anhand mathematischer Modelle Client und Server effektiver schützt. Etliche Anbieter reklamieren maschinelles Lernen und künstliche Intelligenz für ihre Lösungen, aber praktisch kommt kaum eine Analyse ohne einen »Patient Zero« aus.
Inzwischen gibt es aber Technologien, die genuin auf maschinellem Lernen und künstlicher Intelligenz basieren, um Angriffe und Malware-Attacken möglichst vorausschauend zu verhindern. Dazu dient die statistische Analyse von identischen Blöcken oder Dateien im Code einer Schadsoftware. Die Software wertet Beobachtungen aus, erkennt wiederkehrende beziehungsweise übereinstimmende Muster und erlaubt auf dieser Basis eine vorausschauende Analyse.
Warum SecOps sich auszahlen
Wenn Unternehmen mittels geeigneter Technologien verhindern, dass eine Malware überhaupt ausgeführt wird, wirkt sich das direkt auf die Produktivität der betreffen Teams aus.
- Depriorisierung von falschen Positivmeldungen – Detect-and-Response-basierte Lösungen gehen von der Annahme aus, dass Datenschutzverletzungen letzten Endes unvermeidbar sind. Vorausschauend arbeitende Modelle, die den Fokus auf die Prävention legen, erlauben es einem SecOp-Team entsprechende Vorhersage-Paradigmen zu entwickeln statt weiterhin rein reaktiv vorzugehen. Und somit mehr Ressourcen zu binden als nötig.
- Konzentration auf strategische Threat Assessments – mit dem Paradigmenwechsel von einem reaktiven zu einem präventiven Cybersicherheits-Modell, haben SecOp-Teams die Möglichkeit Angriffsvektoren und Szenarien vorausschauend zu identifizieren. Das minimiert nicht nur die Angriffsfläche, sondern erlaubt es begrenzte IT-Ressourcen möglichst effizient zu nutzen.
- Mehr Effizienz in der Personalbeschaffung – Geeignetes, sprich hochqualifiziertes, Personal zu finden ist im Bereich IT-Sicherheit für viele Firmen schwierig geworden. Nicht nur kleine und mittelständische Unternehmen sind kaum in der Lage solche Stellen zu besetzen. Angesichts dessen sollten Unternehmen verstärkt nach genau solchen Lösungen Ausschau halten, die weniger und nicht mehr Ressourcen binden, etwa weil ein Rund-um-die-Uhr-Monitoring unumgänglich ist.
- Kosten sparen, profitabler wirtschaften – Effiziente Personalbeschaffung und das reibungslose Zusammenspiel von IT-Sicherheit und IT Operations beim Minimieren von Sicherheitsrisiken verschlankt eine Organisation insgesamt. Gleichzeitig sind die Mitarbeiter und Mitarbeiterinnen insgesamt produktiver während strategische Initiativen das unternehmerische Wachstum unterstützen. Dazu trägt bei, dass Mitarbeiter weder durch dauernde Alarme gestört werden noch durch die für traditionelle Antivirenlösungen notwendigen regelmäßigen Scans. Gerade im Umfeld von Behörden und Verwaltungen mit einer Vielzahl von Dateien, die im schnellen Wechsel geöffnet und geschlossen werden, ein mühsames Unterfangen.
- Kennzahlen auf die es ankommt – Inzwischen spielt es weniger eine Rolle, wie hoch die Zahl bestimmter Transaktionen ist. Etwa wie viele Viren in einem bestimmten Zeitraum in die Quarantäne verschoben werden konnten. Jetzt geht es vielmehr darum, den Einfluss eines präventiven Modells in der Cybersicherheit auf das gesamte Sicherheitsniveau sowie die Effizienz und Profitabilität eines Unternehmens zu quantifizieren.
Fazit
Unternehmen fürchten weltweit laut »Allianz Risk Barometer« nichts mehr als die mit Betriebsunterbrechungen und Cybervorfällen verbundenen Risiken. Die umso schwerer wiegen, als dass gerade diese beiden untrennbar miteinander verknüpft sind. Parallel wächst der Druck auf IT-Abteilungen und das Personalwesen.
Traditionelle Antivirenlösungen wirken sich in vielen Bereichen wenig förderlich aus:
Spezialisten Hände ringend gesucht
- Die Jobanforderungen variieren von Unternehmen zu Unternehmen
- Ausbildungsanforderungen und Standards sind uneinheitlich
- Hohe Honorare dünnen die ohnehin knappen finanziellen Ressourcen aus
- Unter Umständen sind die betreffenden Spezialisten so stark spezialisiert, dass eine Firma sie kaum in andere IT-Projekte einbinden kann
Personalwesen
- Cybersicherheitsspezialisten zu finden und dauerhaft an ein Unternehmen zu binden ist für viele Personalabteilungen zu einer großen Belastung geworden
- Personaler sind nicht unbedingt ausreichend qualifiziert um hoch spezialisierte Fachleute für die verschiedenen Bereiche der Cybersicherheit auszuwählen
- Viele Unternehmen konkurrieren um die Besten
- Vorgaben bei den Einstellungskriterien wie bestimmte Abschlüsse und Qualifikationen katapultieren geeignete Bewerber und Bewerberinnen unter Umständen vorzeitig aus dem Rennen
Mitarbeiterbindung
- Unter dem wachsenden Druck wird es für viele Unternehmen schwierig hoch qualifizierte Sicherheitsspezialisten dauerhaft zu binden; die vakanten Positionen nicht schnell genug besetzen zu können wird in Kombination mit inadäquaten Sicherheitslösungen nicht selten zu einem zusätzlichen Risiko
- Personaler haben mehr und mehr damit zu tun selbst in der Cybersecurity Community zu recherchieren und direkt mit IT-Sicherheitsteams zu kommunizieren um sicherzustellen, dass die betreffenden Mitarbeiter nicht vielleicht schon auf dem Absprung in ein anderes Unternehmen sind
Ressourcen
- In einem 24/7 Detect-and-Response-Modell kommen IT-Sicherheits-/SecOp-Teams nicht um ein kontinuierliches Monitoring herum; das bindet enorme Ressourcen
- Wenn hoch qualifizierte SecOps-Mitarbeiter den größten Teil ihrer Arbeitszeit mit dem Nachvollziehen und Bearbeiten von Alerts und Vorkommnissen verbringen, bleibt für strategische Initiativen keine oder zu wenig Zeit
- Firmen reagieren nicht selten mit »mehr hilft mehr«; das gilt aber nicht unbedingt für Sicherheitslayer oder mehr Personal, dass an der falschen Stelle gebunden ist
- Ressourcen, die eigentlich strategischen Initiativen vorbehalten waren, wandern bei schwerwiegenden Vorfällen beispielsweise wieder in die taktische Malware-Abwehr
In Summe werden bisherige Modelle aber zunehmend in Frage gestellt. Der Wandel hat sich in Teilen schon vollzogen, vom Schutz vor Risiken hin zu einem vorausschauenden Ansatz. Dass dabei maschinelles Lernen und auf künstlicher Intelligenz basierende Ansätze eine wichtige Rolle spielen, scheint inzwischen niemand mehr ernsthaft bestreiten zu wollen.
Sascha Dubbel, Senior Sales Engineer, Cylance
DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein
DevSecOps: Wie sich Microservices auf die Anwendungssicherheit auswirken
Entwicklern fehlen die notwendigen Skills für mehr Sicherheit in der Software