Security-as-a-Service: Hybride Lösungen sind notwendig, um Gefahren begegnen zu können

Vergangene Woche trafen sich CIOs deutscher Unternehmen im Rahmen des IBM Club of Excellence im Kasseler X-Force Command Centre, um sich zum Thema Security auszutauschen. Ein interessanter Abend mit lebendigen Gesprächen zu einem Thema, das immer relevanter wird und nicht mehr nur auf den Radarschirm der IT gehört. Das Drehbuch hätte fatalerweise nicht besser geschrieben werden können: Der Adressklau bei Uber ging am Vortag der Veranstaltung durch die Presse und allen Anwesenden sind die WannaCry- und Petya-Attacken – wir haben auch hier berichtet – noch sehr gut in Erinnerung.

Trotz Schaden noch nicht genug Investition in Security

Pikant: Trotzdem die Relevanz von Datenschutz und Datensicherheit unterdessen nicht nur bei jedem CIO bekannt sein sollte, sind gerade auch in Deutschland die Investitionen in Sicherheitslösungen oder gar ein eigenes Security Operations Center (SOC) im Vergleich unterdurchschnittlich. Man redet drüber, aber man handelt offensichtlich selten. Und das obwohl WannaCry und Petya beispielsweise gerade auch bei deutschen Mittelständlern erheblichen Schaden angerichtet hat. Man redet nicht öffentlich drüber, aber in persönlichen Gesprächen erfährt man dann doch, dass in Unternehmen Netzwerk und Computer durchaus geraume Zeit still standen. Nicht umsonst fordern die unten zitierten Autoren von auf MIT Sloan, dass Cybersecurity auch ein Thema im Vorstand und der Geschäftsführung werden müsse.

Cybersecurity management can no longer be a concern delegated to the information technology (IT) department. It needs to be everyone’s business — including the board’s.

via The Board’s Role in Managing Cybersecurity Risks

Sehr deutlich wurde (nicht erst) in Kassel, dass die Zahl der Vorfälle immer weiter zunimmt. Die Zeit, in der Unternehmen reagieren müssen, ist dramatisch kurz. Je nach Vorfallsstufe muss in 15 Minuten entschieden werden, was man bei einem Vorfall unternimmt. Welches Unternehmen nicht nur im Mittelstand kann wirklich fundiert in dieser Zeit aktiv werden und einen Angriff oder eine Bedrohung abwehren oder eindämmen?

Von der Burg zum Security Öko-System

Die Zeiten, wo man mit Firewall und Antivirensoftware seine Burg mauern und Sicherheit gewährleisten konnte, sind offensichtlich lange vorbei. Die Welt von Bedrohung, Datenschutz und Datensicherheit ist vielfältig und mit immer mehr vernetzten Geräten werden die Herausforderungen noch größer. Diese Grafik gibt einen Überblick, welche Sicherheitsbereiche und -zonen heute zu einem Immunsystem gehören, welchen Themen Unternehmen sich alles stellen müssen:

Aus dem Video The IBM Security Immune System > https://youtu.be/9xbRfXLXEp0

Die Welt der potentiell zu schützenden Einfallstore von E-Mail über mobile Geräte und Apps bis Datenspeicherung und Verschlüsselung ist offensichtlich vielfältig. Damit einher geht aber auch, dass es unzählige Produkte und Lösungen gibt, die punktuell Bedrohungen zuvor zu kommen und diese zu bekämpfen. Genau dies ist aber auch eine Herausforderung. Es fehlt oft das konsolidierte Bild über alle Bedrohungen. Deshalb spricht IBM beispielsweise von einem Security Immune System, in dem Daten und Analysen aus über 500 Lösungen von mehr als 100 Partnern in einem zentralen Dashboard zusammen laufen. Mit Security Information and Event Management (SIEM)-Lösungen, die eine ganzheitliche Sicht auf die IT-Sicherheit eines Unternehmens geben, versucht man dieser Problematik zu begegnen.

Die Thematik ist herausfordernd: IT-Abteilungen müssen schnell, intelligent und akkurat auf Bedrohungen reagieren. Und das angesichts eines Fachkräftemangels – Carsten Dietrich vom X-Force Command Center in Kassel nannte 50.000 offene Stellen – bei immer mehr Sicherheitsbedrohungen und bisher noch geringem Investitionswillen vieler Unternehmen.

Security und der Mittelstand: Was darf und wird Security kosten?

Nicht umsonst wurde bei Treffen des Club of Excellence auch die Frage nach Kosten und Dauer bis zur professionellen Einsatzfähigkeit eines SIEM und eines Security Operation Center (SOC) gerade auch für mittelständische Unternehmen aufgeworfen. Natürlich war und ist diese Frage nicht generell zu beantworten, denn die notwendigen Investitionen sind je nach Branche und möglicher Bedrohungslage unterschiedlich. Ein Finanzdienstleister wird andere Prioritäten setzen müssen wie eine öffentliche Verwaltung oder ein Maschinenbauer. Von den IBM Experten wurde aber auch klar betont, dass es innerhalb von 4 Wochen möglich sein sollte, ein Security Information and Event Management-System (SIEM) für eine spezifische Organisation in Betrieb zu nehmen.

Mir wurde in der Diskussion besonders deutlich, dass gerade auch, aber nicht nur mittelständische Unternehmen im Bereich Security ein hybrides Modell fahren müssen, um den drei Disziplinen von Security, der Vorbeugung, der Entdeckung und der Bekämpfung von Sicherheitsbedrohungen gerecht zu werden. Unternehmen werden weder das Personal noch das notwendige Wissen vorhalten können, um wie beschrieben wirklich schnell und akkurat zu reagieren.

Zugriff auf Tiefenwissen zu Sicherheitsbedrohungen notwendig

Security-as-a-Service wird sicher in vielerlei Beziehung an Bedeutung gewinnen, ja unverzichtbar werden. Themen wie genaue und schnelle Erkennung von Bedrohungen werden durch entsprechende Angebote deutlich verbessert werden. Den CIOs in Kassel wurde von IBM der QRadar Advisor with Watson vorgestellt, mit dem Bedrohungen analysiert und in schneller Geschwindigkeit entsprechende Handlungsempfehlungen gegeben werden können. Genau solche Systeme As-a-Service, in denen Daten und Wissen über Sicherheitsbedrohungen laufend gesammelt, ausgewertet, bewertet und ständig ergänzt und veredelt werden, werden oder sind schon jetzt unverzichtbar.

Security-Feuerwehr braucht standardisierte Ablaufpläne

IT-Abteilungen und Security Operations Center können diese Services nutzen, um dann selbst gezielt im eigenen Unternehmen reagieren zu können. Und auch hier wird man schnell und akkurat mit standardisierten Best-Practise-Ablaufprozessen operieren müssen, die man vordefiniert quasi aus der Schublade holen kann. Die Security-Feuerwehr braucht sozusagen die Ablaufpläne, um verschiedenen Brandarten schnell und effizient Herr werden zu können.

Angesichts von Social Engineering: Mitarbeiter ausbilden

Es wird notwendig sein, Teile der Security Operation als Service einzukaufen oder zu mieten – z.B. schnelle und genaue Analyse und Bewertung von Vorfällen – und das eigene Personal auf die eigentliche Bekämpfung der Vorfälle zu konzentrieren und dabei optimal zu unterstützen. Ob und wie weit und schnell neue Chatbot-basierte Lösungen im Thema Security vor allem As-a-Service zum Einsatz kommen werden, ist ein interessanter Aspekt, den man sicher auch intensiv verfolgen muss. Eines wurde aber auch jenseits von Technologie ganz klar in Kassel: Das Thema Sensibilisierung und Ausbildung der Mitarbeiter in Unternehmen ist extrem wichtig und unverzichtbar, da immer mehr Angriffe gezielt über Social Engineering gestartet werden.

Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking.
via Social Engineering (Sicherheit) – Wikipedia

Videointerviews zu Aspekten von Security geplant

Meine 2 Cents: Das Thema Security wird uns sicher nicht nur die kommenden Tage und Wochen beschäftigen. Man braucht kein Prophet zu sein, um vorherzusagen, dass dieses Thema bleibt und sich gar verschärfen wird. Deshalb werden wir hier auch auf dem CIOKurator – auch wenn die Zugriffszahlen auf Security-Themen im Vergleich zu eher weichen Themen noch nicht so hoch sind – die verschiedenen Aspekte weiter und stetig beleuchten. In den kommenden Wochen werden wir CIOKurator-Live-Expertengespräche u.a. mit Christian Nern, dem Leiter der IBM Security-Lösungen für DACH, und Matthias Ems, Associate Partner im Thema Security bei der IBM, zu verschiedenen Themen führen. Die Termine werden rechtzeitig bekannt gegeben Aber Sie/Ihr könnt Ihre/Eure Fragen auch schon vorher unter diesem Blogpost als Kommentar hinterlegen oder uns über unser Kontaktformular schicken. Wir freuen uns auf eine rege Diskussion und den notwendigen Informationsaustausch zum Thema.

(Stefan Pfeiffer)

Leave a Reply