Das Zusammenspiel von Mensch und Maschine ist in einer Security-Strategie unabdingbar, denn in der IT gibt es keine hundertprozentige Sicherheit. Es wird immer wunde Punkte wie ungepatchte Software, geleakte Passwörter oder Schatten-IT geben, über die findige Hacker in Unternehmensnetzwerke eindringen können. Und solange die Angreifer Menschen sind, müssen sich ihnen kompetente Verteidiger aus Fleisch und Blut entgegenstellen. Diese Experten sind über externe MDR-Dienste (Managed Detection and Response) sowie Security Operation Center (SOC) nun auch für mittelständische Unternehmen in Reichweite. Sie bieten nicht nur Sicherheitstechnologien, sondern auch Wissen, Erfahrung und Intuition.
Cyber-Angriffe werden zunehmend komplexer. Längst geraten auch immer mehr mittelständische Unternehmen ins Visier der Kriminellen: Stichwort Advanced Persistent Threats (APT). Um sich gegen die immer komplexer werdenden Attacken adäquat abzusichern, reicht es nicht mehr aus, die digitalen Abwehrmauern höher zu bauen. Es gilt beispielsweise, aktiv Sicherheitslücken zu schließen und nach Angreifern zu suchen, die sich bereits unbemerkt im Netzwerk befinden. Gerade kleinere Betriebe mit begrenzten technologischen Mitteln und mangelnder personeller Ausstattung können ein solches Eindringen nur schwer vorbeugend erkennen, geschweige denn bekämpfen.
Um ein dieser Gefahrenlage entsprechend qualifiziertes Team an IT-Sicherheitsexperten zu beschäftigen, fehlt vielen Unternehmen das nötige Budget. Und selbst wenn die finanziellen Mittel für ein eigenes SOC (Security Operation Center) und das entsprechende Personal vorhanden sind, sind die nötigen Spezialisten schwer zu finden. Der Fachkräftemangel in diesem Bereich führt sogar schon dazu, dass selbst große Unternehmen nur sehr schwer ein kompetentes Team aufstellen und langfristig halten können. Immer mehr Organisationen nutzen daher externe Dienste im Rahmen von Managed-Detection-and-Response-Diensten (MDR). Je nach vereinbarten Service-Umfang ist ein SOC dabei Teil eines solchen MDR. Diese Möglichkeit, sich fremde Kompetenz ins Haus zu holen, ist auch für mittlere Unternehmen keine Utopie mehr.
Externe Hilfe auch für den Mittelstand in Reichweite
Welchen Mehrwert erhalten Unternehmen, die ein externes SOC im Rahmen eines MDR in Anspruch nehmen? Die Spezialisten in einem Security Operation Center stützen sich in ihrer Arbeit für diese Kunden auf Informationen aus den unterschiedlichsten Quellen: Dazu zählen erstens Daten, die eine Endpoint-Detection-and-Response-Lösung (EDR) im Unternehmen sammelt, zweitens die in einem Security Information and Event Management (SIEM) aggregierten Daten oder Bedrohungsinformationen aus der Telemetrie anderer Endpunkte, die mit Maschinellem Lernen interpretiert werden, sowie drittens Informationen aus weiteren Quellen. Damit gefüttert erkennen sie gezielt auffälliges Verhalten etwa einer Fileless-Attacke und verhindern größere Schäden, sobald ein Angriff Erfolg hatte. Mit ihrer Hilfe können Unternehmen auch das eigene Netz schneller wieder bereinigen. Zudem beraten sie ihre Kunden, um die Abwehr kontinuierlich zu verbessern.
Über ein externes SOC stehen dem Kunden verschiedene Expertenteams zur Verfügung. Erster Ansprechpartner ist dabei der Security Account Manager, eine Schnittstelle zwischen Kunden und dem gesamten Expertenteam. Er steuert die Gesamtabwehr, bewertet alle Informationen basierend auf der Kenntnis der Unternehmensnetze und startet gegebenenfalls zusätzliche Recherchen. Seine Beratung der Kunden basiert auf der Arbeit anderer Spezialisten, die individuelle Risikoprofile erstellen und aktuelle Sicherheits-Alerts erstellen. Die Experten berücksichtigen dabei auch die branchenspezifische IT-Gefahrenlage.
Nachhaltige Sicherheit
Je länger und besser die Expertenteams den Kunden kennen, umso besser können sie dessen IT schützen. Ausgangspunkt ist dabei die ausführliche Bestandsaufnahme der Kunden-IT und seiner digitalen Prozesse zu Beginn der Zusammenarbeit mit einem SOC. Hier geht es nicht nur um die jeweilige Risikolage, sondern auch darum, ein Bild des IT-Normalbetriebs des Kunden so detailliert wie möglich zu zeichnen, um normales Verhalten von abweichendem Verhalten zu unterscheiden.
Ein kontinuierlich wirkender IT-Sicherheitsdienst beruht auf vier Säulen:
Fazit: Mehrwehrt durch menschliche Experten
Gerade die gefährlichen zielgerichteten Cyber-Angriffe werden von Menschen geplant und durchgeführt. Und solange die Angreifer aus Fleisch und Blut sind, spielen Menschen eine entscheidende Rolle bei der Abwehr. Denn: Sie handeln anders als Maschinen. Zwar helfen künstliche Intelligenz und maschinelles Lernen dabei, Attacken schneller zu erkennen – beispielsweise über die Erkennung von Anomalien im Nutzerverhalten. Doch um alle zugänglichen Informationen zu nutzen und daraus die oftmals gut verschleierten Absichten der Angreifer zu erkennen, benötigt man gut ausgebildete und erfahrene Analysten.
Organisationen, die nicht das nötige Budget haben, ein eigenes Security Operation Center aufzubauen – oder ihr bestehendes SOC mit erfahrenen Sicherheitsexperten unterstützen möchten –, können auf MDR-Dienste setzen, die ein solches Expertenteam und den menschlichen Mehrwert anbieten. So erhöhen sie nicht nur ihre IT-Sicherheit maßgeblich, sondern fügen ihrem Arsenal technologischer Abwehrlösungen auch noch einen entscheidenden Faktor hinzu: die Unterstützung durch kompetente Sicherheitsanalysten.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.