IT Se­cu­ri­ty Au­to­ma­ti­on – Fir­men ste­hen am An­fang

Vi­ren­scan­ner und Fi­re­walls rei­chen schon lan­ge nicht mehr aus, um An­grif­fe auf IT-Sys­te­me ab­zu­weh­ren. Ei­ne zen­tra­le Rol­le wer­den Kon­zep­te wie IT-Se­cu­ri­ty-Au­to­ma­ti­on spie­len. Al­ler­dings sind noch et­li­che Hür­den zu neh­men, bis die­ser An­satz in der Pra­xis se

Computerwoche - - Inhalt - Von Bernd Re­der, frei­er Jour­na­list in Mün­chen

Vi­ren­scan­ner und Fi­re­walls rei­chen nicht aus, um An­grif­fe auf IT-Sys­te­me ab­zu­weh­ren. Ei­ne zen­tra­le Rol­le könn­ten Kon­zep­te wie IT Se­cu­ri­ty Au­to­ma­ti­on spie­len. Al­ler­dings sind noch et­li­che Hür­den zu neh­men, bis die­ser An­satz sei­nen vol­len Nut­zen ent­fal­ten kann.

Die breit an­ge­leg­te Atta­cke mit der Er­pres­ser­soft­ware „Wan­naC­ry“hat in jüngs­ter Zeit wie­der ein­mal deut­lich ge­macht, wie an­fäl­lig IT-Sys­te­me für An­grif­fe von Cy­ber-Kri­mi­nel­len sind – auch Ser­ver, Ar­beits­platz­rech­ner und Mo­bil­sys­te­me von Un­ter­neh­men. „Gera­de die Atta­cken mit Ran­som­ware zei­gen, dass zu­neh­mend auch mit­tel­stän­di­sche Fir­men in das Vi­sier der An­grei­fer ge­ra­ten“, so Tom­my Gro­sche, Di­rec­tor Chan­nel Sa­les Ger­ma­ny bei For­ti­net, ei­nem An­bie­ter von Pro­duk­ten für die Netz- und Con­tent-Si­cher­heit so­wie Se­cu­re Ac­cess. Zu­sam­men mit neun an­de­ren Ex­per­ten von füh­ren­den IT-Si­cher­heits­un­ter­neh­men nahm Gro­sche am COMPUTERWOCHE-Round­ta­ble zum The­ma Se­cu­ri­ty Au­to­ma­ti­on teil.

Ei­ne zen­tra­le Fra­ge, die im Rah­men der Dis­kus­si­ons­run­de er­ör­tert wur­de: ob sich An­grif­fe auf die IT-In­fra­struk­tur von Un­ter­neh­men und öf­fent­li­chen Ein­rich­tun­gen wir­kungs­vol­ler ab­weh­ren las­sen, wenn IT-Se­cu­ri­ty-Sys­te­me au­to­ma­tisch auf sol­che Atta­cken re­agie­ren kön­nen. Hand­lungs­be­darf be­steht in je­dem Fall, so Oli­ver Deh­ning, Chief Exe­cu­ti­ve Of­fi­cer von Hor­net­se­cu­ri­ty, ei­nem Un­ter­neh­men, das sich auf Cloud-Se­cu­ri­ty-Ser­vices spe­zia­li­siert hat: „Ein Fak­tor, der die Dis­kus­si­on über IT-Si­cher­heit und Se­cu­ri­ty Au­to­ma­ti­on vor­an­bringt, sind die ver­schärf­ten ge­setz­li­chen Vor­ga­ben, vor al­lem die Da­ten­schutz-Gr­und­ver­ord­nung der EU. Sol­che Re­ge­lun­gen ver­lan­gen bei­spiels­wei­se ei­nen Se­cu­ri­ty-by-De­sign-An­satz.“

Si­cher­heit muss in­te­griert sein

Das heißt, die IT-Si­cher­heits­kon­zep­te von Un­ter­neh­men müs­sen Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit be­reits bei Pro­zes­sen, An­wen­dun­gen, dem Da­ten-Ma­nage­ment und Pro­duk­ten be­rück­sich­ti­gen. Das er­for­dert ei­nen ganz­heit­li­chen An­satz, so Ben­ja­min Breu, Cy­ber Se­cu­ri­ty Ma­na­ger beim Be­ra­tungs­haus Cap­ge­mi­ni: „Wich­tig ist, dass IT-Si­cher­heit ein in­te­gra­ler Be­stand­teil der En­ter­pri­seAr­chi­tek­tur ist.“Andre­as Süß, Vor­stand und Chief Ope­ra­ting Of­fi­cer bei iT-Cu­be Sys­tems, ei­nem Full-Ser­vice-Pro­vi­der für IT-Si­cher­heit, geht noch ei­nen Schritt wei­ter: „Be­reits bei der Soft­ware- und App-Ent­wick­lung soll­te IT-Se­cu­ri­ty ei­ne zen­tra­le Rol­le spie­len.“

Doch ex­akt an die­ser ganz­heit­li­chen Sicht fehlt es laut Hor­net­se­cu­ri­ty-CEO Deh­ning noch: „IT-Si­cher­heit ist mitt­ler­wei­le auch in Bran­chen wie dem Au­to­mo­bil­bau oder der Fer­ti­gungs­in­dus­trie hoch­re­le­vant. Das Pro­blem be­steht dar­in, dass IT-si­cher­heits­re­le­van­te Aspek­te häu­fig nicht per se in ein Pro­dukt­de­sign in­te­griert wer­den.“Das ist in­so­fern pro­ble­ma­tisch, als Tech­no­lo­gi­en wie die Ver­net­zung von „Din­gen“(In­ter­net of Things), In­dus­trie 4.0 und Ho­me Au­to­ma­ti­on die An­griffs­flä­che für Ha­cker er­heb­lich ver­grö­ßern. Da­her sind nach Ein­schät­zung der Dis­kus­si­ons­teil­neh­mer Kon­zep­te wie IT-Se­cu­ri­ty-Au­to­ma­ti­on künf­tig un­ver­zicht­bar, um An­grif­fe pro­ak­tiv zu er­ken­nen und schnellst­mög­lich zu un­ter­bin­den.

An­wen­der brau­chen schär­fe­res Be­wusst­sein

Doch ehe sie vor­han­de­ne IT-Si­cher­heits­an­sät­ze in Rich­tung Se­cu­ri­ty Au­to­ma­ti­on wei­ter­ent­wi­ckeln, müs­sen IT-Ab­tei­lun­gen und Bu­si­nes­sEnt­schei­der erst ih­re Haus­auf­ga­ben ma­chen. Da­zu zählt, sich ge­ne­rell über die wach­sen­de Be­deu­tung von IT-Si­cher­heit klar zu wer­den. Dar­über sind sich al­le Teil­neh­mer des Round- ta­bles ei­nig: „Die Awa­ren­ess im Be­reich IT-Si­cher­heit ist bei vie­len Un­ter­neh­men noch aus­bau­fä­hig. Der­zeit sind vie­le Un­ter­neh­men zu stark dar­auf fo­kus­siert, Atta­cken durch ex­ter­ne Ha­cker ab­zu­weh­ren. Vie­le ver­nach­läs­si­gen die Tat­sa­che, dass auch die ei­ge­nen Mit­ar­bei­ter die Si­cher­heit der IT ge­fähr­den kön­nen“, stellt bei­spiels­wei­se Alex­an­der Haugk fest, Se­ni­or Con­sul­tant und Trai­ner bei Ba­ra­mun­di Soft­ware. Das Kern­pro­dukt des Un­ter­neh­mens aus Augs­burg ist ei­ne mo­du­la­re Sui­te für das Cli­ent-Ma­nage­ment.

Da­her ist es nicht ver­wun­der­lich, dass vie­le Un­ter­neh­men ei­nen re­la­tiv neu­en An­satz wie das Au­to­ma­ti­sie­ren von Ak­tio­nen im Be­reich IT-Si­cher­heit noch nicht „auf dem Ra­dar“ha­ben. „Au­to­ma­ti­sie­rung im Be­reich IT-Se­cu­ri­ty wird heute in den we­nigs­ten Un­ter­neh­men ziel­ge­rich­tet ein­ge­setzt. Ei­gent­lich könn­te man sa­gen, dass die­se Tech­no­lo­gie noch in den Kin­der­schu­hen steckt“, so Mat­thi­as St­raub, Di­rec­tor Con­sul­ting Ser­vices bei NTT Se­cu­ri­ty. Das Un­ter­neh­men bie­tet ins­be­son­de­re Ser­vices in den Be­rei­chen In­for­ma­ti­ons­si­cher­heit und Ri­si­ko-Ma­nage­ment an.

Vor al­lem bei klei­nen und mit­tel­stän­di­schen Un­ter­neh­men be­steht Auf­klä­rungs­be­darf, was IT-Se­cu­ri­ty-Au­to­ma­ti­on be­trifft. „Mit­tel­stän­di­sche Un­ter­neh­men ste­hen nach un­se­rer Ein­schät­zung in die­ser Be­zie­hung ganz am An­fang“, be­stä­tigt Joa­chim Brau­ne, der als Chief Com­mer­ci­al Of­fi­cer bei Netfox für die Ge­schäfts­be­rei­che Cis­co und Se­cu­ri­ty zu­stän­dig ist. Dies ist Brau­ne zu­fol­ge in­so­fern be­mer­kens­wert, als nach An­ga­ben des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) be­reits bei 19 Pro­zent der klei­nen und mit­tel­stän­di­schen Un­ter­neh­men IT-Si­cher­heits­pro­ble­me zu mas­si­ven Stö­run­gen der Ar­beits­pro­zes­se ge­führt ha­ben.

Se­cu­ri­ty Au­to­ma­ti­on wird wich­ti­ger

Auch Hor­net­se­cu­ri­ty-Chef Deh­ning sieht Un­ter­schie­de zwi­schen gro­ßen und klei­nen

Un­ter­neh­men: „Das Wis­sen über IT-Si­cher­heit im All­ge­mei­nen und spe­zi­ell über IT-Se­cu­ri­ty­Au­to­ma­ti­on ist vor al­lem bei klei­nen und mitt­le­ren Fir­men noch aus­bau­fä­hig. Grö­ße­re Un­ter­neh­men sind in die­sem Punkt nach un­se­rer Er­fah­rung wei­ter.“Ein Grund für die zö­ger­li­che Hal­tung ist laut NTT- Se­cu­ri­ty-Ma­na­ger St­raub, dass „ziel­ge­rich­te­te An­grif­fe fast 20 Jah­re lang für die meis­ten Un­ter­neh­men kein The­ma wa­ren. Das hat sich nun ge­än­dert“.

Un­ter­neh­men se­hen sich mit Atta­cken kon­fron­tiert, die ei­ne deut­lich hö­he­re Durch­schlags­kraft ha­ben als noch vor ei­ni­gen Jah­ren. „An­grei­fer ver­fü­gen heute über er­heb­li­che Res­sour­cen, und zwar in tech­ni­scher wie per­so­nel­ler Hin­sicht“, warnt Jo­chen Rum­mel, Re­gio­nal Di­rec­tor der DACH-Re­gi­on bei Fi­reEye. Das Un­ter­neh­men hat sich auf IT-Si­cher­heits­lö­sun­gen spe­zia­li­siert, die den ge­sam­ten Si­cher­heits­zy­klus ab­de­cken – vor, wäh­rend und nach ei­nem An­griff. Ein Pro­blem, zu des­sen Lö­sung Se­cu­ri­ty Au­to­ma­ti­on bei­tra­gen kann, ist Rum­mel zu­fol­ge, „dass es viel zu lan­ge dau­ert, bis An­grif­fe er­kannt wer­den – teil­wei­se mehr als 100 Ta­ge“.

Ein Grund ist das Da­ten­vo­lu­men, das un­ter­sucht wer­den muss. „Bei der Ana­ly­se von Si­cher­heits-Events be­steht das Pro­blem dar­in, aus der Mas­se der In­for­ma­tio­nen die wirk­lich wich­ti­gen, re­le­van­ten Da­ten her­aus­zu­fil­tern“, kon­sta­tiert Ben­ja­min Breu von Cap­ge­mi­ni. Ab­hil­fe kann ei­ne au­to­ma­ti­sier­te Ana­ly­se von si­cher­heits­re­le­van­ten Da­ten schaf­fen, in Ver­bin­dung mit neu­en Ver­fah­ren: „Tech­no­lo­gi­en wie künst­li­che In­tel­li­genz hel­fen da­bei, gro­ße Da­ten­men­gen auf Spu­ren von An­grif­fen zu un­ter­su­chen“, er­gänzt NTT-Se­cu­ri­ty-Mann St­raub.

Stan­dards müs­sen her

Zu den größ­ten Her­aus­for­de­run­gen aus Sicht der An­wen­der zählt, dass es kei­ne schlüs­sel­fer­ti­gen Se­cu­ri­ty-Au­to­ma­ti­on-Lö­sun­gen gibt. Fi­reEye-Re­gio­nal­chef Rum­mel: „Un­ser An­satz ist da­her, die mü­he­vol­len hän­di­schen Auf­ga­ben von Se­cu­ri­ty-Ana­lys­ten zu au­to­ma­ti­sie­ren.“Durch die Orches­trie­rung von wich­ti­gen Pro­zes­sen von IT-Si­cher­heits­lö­sun­gen sei es mög­lich, die Ant­wort­zei­ten und da­mit die An­griffs­flä­che zu re­du­zie­ren. Ei­ne um­ge­hen­de Re­ak­ti­on auf Be­dro­hun­gen sei je­doch ei­ne zen­tra­le An­for­de­rung an Se­cu­ri­ty-Au­to­ma­ti­onLö­sun­gen.

Die­ser An­satz er­for­dert, dass IT-Si­cher­heits­kom­po­nen­ten un­ter­schied­li­cher Cou­leur mit­ein­an­der „spre­chen“kön­nen. Doch da­ran hakt es noch, so die über­ein­stim­men­de Mei­nung der Teil­neh­mer des Round­ta­bles. „Ein Punkt, der sich bei Se­cu­ri­ty Au­to­ma­ti­on als hin­der­lich er­weist, sind Si­los, die sich im Be­reich IT-Si­cher­heit her­aus­ge­bil­det ha­ben. Es gibt ei­ne gro­ße Zahl von Lö­sun­gen, die nicht mit­ein­an­der kom­mu­ni­zie­ren und nur für spe­zi­el­le Auf­ga­ben aus­ge­legt sind“, kri­ti­siert Andre­as Süß von iT-Cu­be Sys­tems. Ins glei­che Horn stößt Oli­ver Kei­zers, Re­gio­nal Di­rec­tor DACH bei Fi­de­lis Cy­ber­se­cu­rit: „Vie­le IT-Fach­leu­te, aber auch Ex­per­ten aus Sys­tem­häu­sern, den­ken noch zu sehr in Si­lo­struk­tu­ren.“

Im­mer­hin ha­ben die An­bie­ter von IT-Si­cher­heits­lö­sun­gen die Pro­ble­ma­tik er­kannt: „Ein Pro­blem­punkt von Se­cu­ri­ty Au­to­ma­ti­on ist, dass es bis­lang noch zu we­nig her­stel­ler­über­grei­fen­de Stan­dards gibt. Die­se sind noch in Ent­wick­lung“, räumt For­ti­net-Ma­na­ger Gro­sche ein. Kri­tik wur­de in der Run­de je­doch in Be­zug auf das En­ga­ge­ment ei­ni­ger IT-Se­cu­ri­ty-An­bie­ter laut, was die Mit­ar­beit an sol­chen Nor­men be­trifft. „Ei­ni­ge neh­men nur und ge­ben nichts“, so ei­ne der An­mer­kun­gen zum Ver­hal­ten man­cher Mit­be­wer­ber.

Der Fak­tor Mensch

Da­mit Se­cu­ri­ty-Au­to­ma­ti­on-Kon­zep­te in der Pra­xis funk­tio­nie­ren, muss al­ler­dings nicht nur Tech­nik mit­spie­len. Glei­ches gilt für den Men­schen, al­so die Nut­zer von IT-Sys­te­men, die IT-Ad­mi­nis­tra­to­ren und die Se­cu­ri­ty-

Spe­zia­lis­ten. „Ein we­sent­li­cher Punkt ist das Be­wusst­sein für Si­cher­heits­ri­si­ken bei den Mit­ar­bei­tern. Nach un­se­rer Ein­schät­zung be­ste­hen hier noch gro­ße Po­ten­zia­le“, sagt bei­spiels­wei­se Cap­ge­mi­ni-Mann Breu. Sich dar­auf zu ver­las­sen, dass IT-Se­cu­ri­ty-Sys­te­me au­to­ma­tisch Feh­ler oder das fahr­läs­si­ge Ver­hal­ten von Mit­ar­bei­tern „aus­bü­geln“, ist dem­nach der fal­sche Weg. „Mit­ar­bei­ter müs­sen ver­ste­hen, welch ho­hen Stel­len­wert der Schutz von Da­ten und An­wen­dun­gen hat“, un­ter­streicht Joa­chim Brau­ne von Netfox.

Eben­so wie ei­ni­ge an­de­re Teil­neh­mer des Round­ta­bles bie­tet Fi­reEye wei­ter­rei­chen­de Hilfs­maß­nah­men: „Um Kun­den auf den Ernst­fall vor­zu­be­rei­ten, füh­ren wir auf Wunsch Tro­cken­übun­gen durch“, er­läu­tert Rum­mel. „In die­sen spie­len wir den IT-Si­cher­heits­vor­fall durch und über­prü­fen das Si­cher­heits­pro­gramm so­wie die In­ci­dent-Re­s­pon­se-Pro­zes­se.“Um die Re­ak­ti­on auf Si­cher­heits­vor­fäl­le zu op­ti­mie­ren, kom­men laut Rum­mel auch Se­cu­ri­ty­Au­to­ma­ti­on-Tech­no­lo­gi­en zum Zu­ge.

Ein­stieg über Ma­na­ged Ser­vices

Die Er­fah­run­gen, die An­wen­der mit dem Au­to­ma­ti­sie­ren von IT-Si­cher­heits­maß­nah­men ge­macht ha­ben, sind durch­aus po­si­tiv, so Ben­ja­min Breu von Cap­ge­mi­ni: „Mit Hil­fe von Se­cu­ri­ty Au­to­ma­ti­on kön­nen Un­ter­neh­men ih­re Kos­ten im Be­reich IT-Si­cher­heit um et­wa 20 bis 30 Pro­zent sen­ken; die­se Bud­gets las­sen sich dann di­rekt für In­no­va­tio­nen ver­wen­den.“

Un­ter­neh­men, die sich trotz die­ser hand­fes­ten Vor­tei­le scheu­en, ih­re IT-Si­cher­heits­land­schaft in ei­nem Zug auf Se­cu­ri­ty Au­to­ma­ti­on um­zu­stel­len, kön­nen dies in meh­re­ren Etap­pen tun: „Au­to­ma­ti­sie­rung im Be­reich Si­cher­heit fängt mit ein­fa­chen Din­gen an, et­wa ei­nem ef­fek­ti­ven Patch-Ma­nage­ment“, be­tont Alex­an­der Haugk von Ba­ra­mun­di Soft­ware. „Häu­fig wer­den Up­dates, die Si­cher­heits­lü­cken bei Soft­ware al­ler Art schlie­ßen, zu spät oder gar nicht ein­ge­spielt.“Dies war auch im Fall von Wan­naC­ry so. Die Schad­soft­ware nis­te­te sich vor­zugs­wei­se auf nicht ge­patch­ten Win­dow­sRech­nern ein.

Ei­ne wei­te­re Op­ti­on, um von den Vor­zü­gen au­to­ma­ti­sier­ter IT-Se­cu­ri­ty-Pro­zes­se zu pro­fi­tie­ren, ist die Nut­zung von ge­ma­nag­ten Di­ens­ten: „Spe­zi­ell für klei­ne­re und mit­tel­stän­di­sche Un­ter­neh­men sind Ma­na­ged Ser­vices im Be­reich IT-Se­cu­ri­ty und Se­cu­ri­ty Au­to­ma­ti­on ei­ne Lö­sung. Sie bie­ten ei­nen Ef­fi­zi­enz­ge­winn“, sagt Mat­thi­as St­raub von NTT Se­cu­ri­ty.

Auch Hor­net­se­cu­ri­ty-CEO Deh­ning plä­diert für ei­nen sol­chen An­satz, um Ein­stiegs­hür­den zu über­win­den: „Für Un­ter­neh­men und öf­fent­li­che Ein­rich­tun­gen ist es ei­ne Über­le­gung wert, ei­nen Se­cu­ri­ty-Di­enst­leis­ter oder An­bie­ter von Ma­na­ged Ser­vices mit ins Boot zu ho­len. Die­ser ver­fügt im Ge­gen­satz zu haus­ei­ge­nen IT-Ab­tei­lun­gen über das Know-how und die tech­ni­schen Hilfs­mit­tel, um An­grif­fe früh­zei­tig zu er­ken­nen und ge­ge­be­nen­falls zu stop­pen.“

Mat­thi­as St­raub, Di­rec­tor Con­sul­ting Ser­vices bei NTT Se­cu­ri­ty: „Ei­ne Lö­sung für Un­ter­neh­men, spe­zi­ell klei­ne­re und mit­tel­stän­di­sche, sind Ma­na­ged Ser­vices im Be­reich IT-Se­cu­ri­ty und Se­cu­ri­ty Au­to­ma­ti­on. Sie bie­ten ei­nen Ef­fi­zi­enz­ge­winn.“

Oli­ver Deh­ning, CEO von Hor­net­se­cu­ri­ty: „Ein Fak­tor, der die Dis­kus­si­on über IT-Si­cher­heit und Se­cu­ri­ty Au­to­ma­ti­on vor­an­bringt, sind die ver­schärf­ten ge­setz­li­chen Vor­ga­ben, vor al­lem die Da­ten­schutz-Gr­und­ver­ord­nung der EU.“

Jo­chen Rum­mel, Re­gio­nal Di­rec­tor DACH-Re­gi­on bei Fi­reEye: „Ein Pro­blem be­steht dar­in, dass es viel zu lan­ge dau­ert, bis An­grif­fe als sol­che er­kannt wer­den – teil­wei­se mehr als 100 Ta­ge!“

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.