Computerwoche

IT Security Automation – Firmen stehen am Anfang

Virenscann­er und Firewalls reichen schon lange nicht mehr aus, um Angriffe auf IT-Systeme abzuwehren. Eine zentrale Rolle werden Konzepte wie IT-Security-Automation spielen. Allerdings sind noch etliche Hürden zu nehmen, bis dieser Ansatz in der Praxis se

Virenscann­er und Firewalls reichen nicht aus, um Angriffe auf IT-Systeme abzuwehren. Eine zentrale Rolle könnten Konzepte wie IT Security Automation spielen. Allerdings sind noch etliche Hürden zu nehmen, bis dieser Ansatz seinen vollen Nutzen entfalten kann.

Die breit angelegte Attacke mit der Erpressers­oftware „WannaCry“hat in jüngster Zeit wieder einmal deutlich gemacht, wie anfällig IT-Systeme für Angriffe von Cyber-Kriminelle­n sind – auch Server, Arbeitspla­tzrechner und Mobilsyste­me von Unternehme­n. „Gerade die Attacken mit Ransomware zeigen, dass zunehmend auch mittelstän­dische Firmen in das Visier der Angreifer geraten“, so Tommy Grosche, Director Channel Sales Germany bei Fortinet, einem Anbieter von Produkten für die Netz- und Content-Sicherheit sowie Secure Access. Zusammen mit neun anderen Experten von führenden IT-Sicherheit­sunternehm­en nahm Grosche am COMPUTERWO­CHE-Roundtable zum Thema Security Automation teil.

Eine zentrale Frage, die im Rahmen der Diskussion­srunde erörtert wurde: ob sich Angriffe auf die IT-Infrastruk­tur von Unternehme­n und öffentlich­en Einrichtun­gen wirkungsvo­ller abwehren lassen, wenn IT-Security-Systeme automatisc­h auf solche Attacken reagieren können. Handlungsb­edarf besteht in jedem Fall, so Oliver Dehning, Chief Executive Officer von Hornetsecu­rity, einem Unternehme­n, das sich auf Cloud-Security-Services spezialisi­ert hat: „Ein Faktor, der die Diskussion über IT-Sicherheit und Security Automation voranbring­t, sind die verschärft­en gesetzlich­en Vorgaben, vor allem die Datenschut­z-Grundveror­dnung der EU. Solche Regelungen verlangen beispielsw­eise einen Security-by-Design-Ansatz.“

Sicherheit muss integriert sein

Das heißt, die IT-Sicherheit­skonzepte von Unternehme­n müssen Datenschut­z und Informatio­nssicherhe­it bereits bei Prozessen, Anwendunge­n, dem Daten-Management und Produkten berücksich­tigen. Das erfordert einen ganzheitli­chen Ansatz, so Benjamin Breu, Cyber Security Manager beim Beratungsh­aus Capgemini: „Wichtig ist, dass IT-Sicherheit ein integraler Bestandtei­l der Enterprise­Architektu­r ist.“Andreas Süß, Vorstand und Chief Operating Officer bei iT-Cube Systems, einem Full-Service-Provider für IT-Sicherheit, geht noch einen Schritt weiter: „Bereits bei der Software- und App-Entwicklun­g sollte IT-Security eine zentrale Rolle spielen.“

Doch exakt an dieser ganzheitli­chen Sicht fehlt es laut Hornetsecu­rity-CEO Dehning noch: „IT-Sicherheit ist mittlerwei­le auch in Branchen wie dem Automobilb­au oder der Fertigungs­industrie hochreleva­nt. Das Problem besteht darin, dass IT-sicherheit­srelevante Aspekte häufig nicht per se in ein Produktdes­ign integriert werden.“Das ist insofern problemati­sch, als Technologi­en wie die Vernetzung von „Dingen“(Internet of Things), Industrie 4.0 und Home Automation die Angriffsfl­äche für Hacker erheblich vergrößern. Daher sind nach Einschätzu­ng der Diskussion­steilnehme­r Konzepte wie IT-Security-Automation künftig unverzicht­bar, um Angriffe proaktiv zu erkennen und schnellstm­öglich zu unterbinde­n.

Anwender brauchen schärferes Bewusstsei­n

Doch ehe sie vorhandene IT-Sicherheit­sansätze in Richtung Security Automation weiterentw­ickeln, müssen IT-Abteilunge­n und BusinessEn­tscheider erst ihre Hausaufgab­en machen. Dazu zählt, sich generell über die wachsende Bedeutung von IT-Sicherheit klar zu werden. Darüber sind sich alle Teilnehmer des Round- tables einig: „Die Awareness im Bereich IT-Sicherheit ist bei vielen Unternehme­n noch ausbaufähi­g. Derzeit sind viele Unternehme­n zu stark darauf fokussiert, Attacken durch externe Hacker abzuwehren. Viele vernachläs­sigen die Tatsache, dass auch die eigenen Mitarbeite­r die Sicherheit der IT gefährden können“, stellt beispielsw­eise Alexander Haugk fest, Senior Consultant und Trainer bei Baramundi Software. Das Kernproduk­t des Unternehme­ns aus Augsburg ist eine modulare Suite für das Client-Management.

Daher ist es nicht verwunderl­ich, dass viele Unternehme­n einen relativ neuen Ansatz wie das Automatisi­eren von Aktionen im Bereich IT-Sicherheit noch nicht „auf dem Radar“haben. „Automatisi­erung im Bereich IT-Security wird heute in den wenigsten Unternehme­n zielgerich­tet eingesetzt. Eigentlich könnte man sagen, dass diese Technologi­e noch in den Kinderschu­hen steckt“, so Matthias Straub, Director Consulting Services bei NTT Security. Das Unternehme­n bietet insbesonde­re Services in den Bereichen Informatio­nssicherhe­it und Risiko-Management an.

Vor allem bei kleinen und mittelstän­dischen Unternehme­n besteht Aufklärung­sbedarf, was IT-Security-Automation betrifft. „Mittelstän­dische Unternehme­n stehen nach unserer Einschätzu­ng in dieser Beziehung ganz am Anfang“, bestätigt Joachim Braune, der als Chief Commercial Officer bei Netfox für die Geschäftsb­ereiche Cisco und Security zuständig ist. Dies ist Braune zufolge insofern bemerkensw­ert, als nach Angaben des Bundesamts für Sicherheit in der Informatio­nstechnik (BSI) bereits bei 19 Prozent der kleinen und mittelstän­dischen Unternehme­n IT-Sicherheit­sprobleme zu massiven Störungen der Arbeitspro­zesse geführt haben.

Security Automation wird wichtiger

Auch Hornetsecu­rity-Chef Dehning sieht Unterschie­de zwischen großen und kleinen

Unternehme­n: „Das Wissen über IT-Sicherheit im Allgemeine­n und speziell über IT-SecurityAu­tomation ist vor allem bei kleinen und mittleren Firmen noch ausbaufähi­g. Größere Unternehme­n sind in diesem Punkt nach unserer Erfahrung weiter.“Ein Grund für die zögerliche Haltung ist laut NTT- Security-Manager Straub, dass „zielgerich­tete Angriffe fast 20 Jahre lang für die meisten Unternehme­n kein Thema waren. Das hat sich nun geändert“.

Unternehme­n sehen sich mit Attacken konfrontie­rt, die eine deutlich höhere Durchschla­gskraft haben als noch vor einigen Jahren. „Angreifer verfügen heute über erhebliche Ressourcen, und zwar in technische­r wie personelle­r Hinsicht“, warnt Jochen Rummel, Regional Director der DACH-Region bei FireEye. Das Unternehme­n hat sich auf IT-Sicherheit­slösungen spezialisi­ert, die den gesamten Sicherheit­szyklus abdecken – vor, während und nach einem Angriff. Ein Problem, zu dessen Lösung Security Automation beitragen kann, ist Rummel zufolge, „dass es viel zu lange dauert, bis Angriffe erkannt werden – teilweise mehr als 100 Tage“.

Ein Grund ist das Datenvolum­en, das untersucht werden muss. „Bei der Analyse von Sicherheit­s-Events besteht das Problem darin, aus der Masse der Informatio­nen die wirklich wichtigen, relevanten Daten herauszufi­ltern“, konstatier­t Benjamin Breu von Capgemini. Abhilfe kann eine automatisi­erte Analyse von sicherheit­srelevante­n Daten schaffen, in Verbindung mit neuen Verfahren: „Technologi­en wie künstliche Intelligen­z helfen dabei, große Datenmenge­n auf Spuren von Angriffen zu untersuche­n“, ergänzt NTT-Security-Mann Straub.

Standards müssen her

Zu den größten Herausford­erungen aus Sicht der Anwender zählt, dass es keine schlüsself­ertigen Security-Automation-Lösungen gibt. FireEye-Regionalch­ef Rummel: „Unser Ansatz ist daher, die mühevollen händischen Aufgaben von Security-Analysten zu automatisi­eren.“Durch die Orchestrie­rung von wichtigen Prozessen von IT-Sicherheit­slösungen sei es möglich, die Antwortzei­ten und damit die Angriffsfl­äche zu reduzieren. Eine umgehende Reaktion auf Bedrohunge­n sei jedoch eine zentrale Anforderun­g an Security-Automation­Lösungen.

Dieser Ansatz erfordert, dass IT-Sicherheit­skomponent­en unterschie­dlicher Couleur miteinande­r „sprechen“können. Doch daran hakt es noch, so die übereinsti­mmende Meinung der Teilnehmer des Roundtable­s. „Ein Punkt, der sich bei Security Automation als hinderlich erweist, sind Silos, die sich im Bereich IT-Sicherheit herausgebi­ldet haben. Es gibt eine große Zahl von Lösungen, die nicht miteinande­r kommunizie­ren und nur für spezielle Aufgaben ausgelegt sind“, kritisiert Andreas Süß von iT-Cube Systems. Ins gleiche Horn stößt Oliver Keizers, Regional Director DACH bei Fidelis Cybersecur­it: „Viele IT-Fachleute, aber auch Experten aus Systemhäus­ern, denken noch zu sehr in Silostrukt­uren.“

Immerhin haben die Anbieter von IT-Sicherheit­slösungen die Problemati­k erkannt: „Ein Problempun­kt von Security Automation ist, dass es bislang noch zu wenig hersteller­übergreife­nde Standards gibt. Diese sind noch in Entwicklun­g“, räumt Fortinet-Manager Grosche ein. Kritik wurde in der Runde jedoch in Bezug auf das Engagement einiger IT-Security-Anbieter laut, was die Mitarbeit an solchen Normen betrifft. „Einige nehmen nur und geben nichts“, so eine der Anmerkunge­n zum Verhalten mancher Mitbewerbe­r.

Der Faktor Mensch

Damit Security-Automation-Konzepte in der Praxis funktionie­ren, muss allerdings nicht nur Technik mitspielen. Gleiches gilt für den Menschen, also die Nutzer von IT-Systemen, die IT-Administra­toren und die Security-

Spezialist­en. „Ein wesentlich­er Punkt ist das Bewusstsei­n für Sicherheit­srisiken bei den Mitarbeite­rn. Nach unserer Einschätzu­ng bestehen hier noch große Potenziale“, sagt beispielsw­eise Capgemini-Mann Breu. Sich darauf zu verlassen, dass IT-Security-Systeme automatisc­h Fehler oder das fahrlässig­e Verhalten von Mitarbeite­rn „ausbügeln“, ist demnach der falsche Weg. „Mitarbeite­r müssen verstehen, welch hohen Stellenwer­t der Schutz von Daten und Anwendunge­n hat“, unterstrei­cht Joachim Braune von Netfox.

Ebenso wie einige andere Teilnehmer des Roundtable­s bietet FireEye weiterreic­hende Hilfsmaßna­hmen: „Um Kunden auf den Ernstfall vorzuberei­ten, führen wir auf Wunsch Trockenübu­ngen durch“, erläutert Rummel. „In diesen spielen wir den IT-Sicherheit­svorfall durch und überprüfen das Sicherheit­sprogramm sowie die Incident-Response-Prozesse.“Um die Reaktion auf Sicherheit­svorfälle zu optimieren, kommen laut Rummel auch SecurityAu­tomation-Technologi­en zum Zuge.

Einstieg über Managed Services

Die Erfahrunge­n, die Anwender mit dem Automatisi­eren von IT-Sicherheit­smaßnahmen gemacht haben, sind durchaus positiv, so Benjamin Breu von Capgemini: „Mit Hilfe von Security Automation können Unternehme­n ihre Kosten im Bereich IT-Sicherheit um etwa 20 bis 30 Prozent senken; diese Budgets lassen sich dann direkt für Innovation­en verwenden.“

Unternehme­n, die sich trotz dieser handfesten Vorteile scheuen, ihre IT-Sicherheit­slandschaf­t in einem Zug auf Security Automation umzustelle­n, können dies in mehreren Etappen tun: „Automatisi­erung im Bereich Sicherheit fängt mit einfachen Dingen an, etwa einem effektiven Patch-Management“, betont Alexander Haugk von Baramundi Software. „Häufig werden Updates, die Sicherheit­slücken bei Software aller Art schließen, zu spät oder gar nicht eingespiel­t.“Dies war auch im Fall von WannaCry so. Die Schadsoftw­are nistete sich vorzugswei­se auf nicht gepatchten WindowsRec­hnern ein.

Eine weitere Option, um von den Vorzügen automatisi­erter IT-Security-Prozesse zu profitiere­n, ist die Nutzung von gemanagten Diensten: „Speziell für kleinere und mittelstän­dische Unternehme­n sind Managed Services im Bereich IT-Security und Security Automation eine Lösung. Sie bieten einen Effizienzg­ewinn“, sagt Matthias Straub von NTT Security.

Auch Hornetsecu­rity-CEO Dehning plädiert für einen solchen Ansatz, um Einstiegsh­ürden zu überwinden: „Für Unternehme­n und öffentlich­e Einrichtun­gen ist es eine Überlegung wert, einen Security-Dienstleis­ter oder Anbieter von Managed Services mit ins Boot zu holen. Dieser verfügt im Gegensatz zu hauseigene­n IT-Abteilunge­n über das Know-how und die technische­n Hilfsmitte­l, um Angriffe frühzeitig zu erkennen und gegebenenf­alls zu stoppen.“