IT Security Automation – Firmen stehen am Anfang
Virenscanner und Firewalls reichen schon lange nicht mehr aus, um Angriffe auf IT-Systeme abzuwehren. Eine zentrale Rolle werden Konzepte wie IT-Security-Automation spielen. Allerdings sind noch etliche Hürden zu nehmen, bis dieser Ansatz in der Praxis se
Virenscanner und Firewalls reichen nicht aus, um Angriffe auf IT-Systeme abzuwehren. Eine zentrale Rolle könnten Konzepte wie IT Security Automation spielen. Allerdings sind noch etliche Hürden zu nehmen, bis dieser Ansatz seinen vollen Nutzen entfalten kann.
Die breit angelegte Attacke mit der Erpressersoftware „WannaCry“hat in jüngster Zeit wieder einmal deutlich gemacht, wie anfällig IT-Systeme für Angriffe von Cyber-Kriminellen sind – auch Server, Arbeitsplatzrechner und Mobilsysteme von Unternehmen. „Gerade die Attacken mit Ransomware zeigen, dass zunehmend auch mittelständische Firmen in das Visier der Angreifer geraten“, so Tommy Grosche, Director Channel Sales Germany bei Fortinet, einem Anbieter von Produkten für die Netz- und Content-Sicherheit sowie Secure Access. Zusammen mit neun anderen Experten von führenden IT-Sicherheitsunternehmen nahm Grosche am COMPUTERWOCHE-Roundtable zum Thema Security Automation teil.
Eine zentrale Frage, die im Rahmen der Diskussionsrunde erörtert wurde: ob sich Angriffe auf die IT-Infrastruktur von Unternehmen und öffentlichen Einrichtungen wirkungsvoller abwehren lassen, wenn IT-Security-Systeme automatisch auf solche Attacken reagieren können. Handlungsbedarf besteht in jedem Fall, so Oliver Dehning, Chief Executive Officer von Hornetsecurity, einem Unternehmen, das sich auf Cloud-Security-Services spezialisiert hat: „Ein Faktor, der die Diskussion über IT-Sicherheit und Security Automation voranbringt, sind die verschärften gesetzlichen Vorgaben, vor allem die Datenschutz-Grundverordnung der EU. Solche Regelungen verlangen beispielsweise einen Security-by-Design-Ansatz.“
Sicherheit muss integriert sein
Das heißt, die IT-Sicherheitskonzepte von Unternehmen müssen Datenschutz und Informationssicherheit bereits bei Prozessen, Anwendungen, dem Daten-Management und Produkten berücksichtigen. Das erfordert einen ganzheitlichen Ansatz, so Benjamin Breu, Cyber Security Manager beim Beratungshaus Capgemini: „Wichtig ist, dass IT-Sicherheit ein integraler Bestandteil der EnterpriseArchitektur ist.“Andreas Süß, Vorstand und Chief Operating Officer bei iT-Cube Systems, einem Full-Service-Provider für IT-Sicherheit, geht noch einen Schritt weiter: „Bereits bei der Software- und App-Entwicklung sollte IT-Security eine zentrale Rolle spielen.“
Doch exakt an dieser ganzheitlichen Sicht fehlt es laut Hornetsecurity-CEO Dehning noch: „IT-Sicherheit ist mittlerweile auch in Branchen wie dem Automobilbau oder der Fertigungsindustrie hochrelevant. Das Problem besteht darin, dass IT-sicherheitsrelevante Aspekte häufig nicht per se in ein Produktdesign integriert werden.“Das ist insofern problematisch, als Technologien wie die Vernetzung von „Dingen“(Internet of Things), Industrie 4.0 und Home Automation die Angriffsfläche für Hacker erheblich vergrößern. Daher sind nach Einschätzung der Diskussionsteilnehmer Konzepte wie IT-Security-Automation künftig unverzichtbar, um Angriffe proaktiv zu erkennen und schnellstmöglich zu unterbinden.
Anwender brauchen schärferes Bewusstsein
Doch ehe sie vorhandene IT-Sicherheitsansätze in Richtung Security Automation weiterentwickeln, müssen IT-Abteilungen und BusinessEntscheider erst ihre Hausaufgaben machen. Dazu zählt, sich generell über die wachsende Bedeutung von IT-Sicherheit klar zu werden. Darüber sind sich alle Teilnehmer des Round- tables einig: „Die Awareness im Bereich IT-Sicherheit ist bei vielen Unternehmen noch ausbaufähig. Derzeit sind viele Unternehmen zu stark darauf fokussiert, Attacken durch externe Hacker abzuwehren. Viele vernachlässigen die Tatsache, dass auch die eigenen Mitarbeiter die Sicherheit der IT gefährden können“, stellt beispielsweise Alexander Haugk fest, Senior Consultant und Trainer bei Baramundi Software. Das Kernprodukt des Unternehmens aus Augsburg ist eine modulare Suite für das Client-Management.
Daher ist es nicht verwunderlich, dass viele Unternehmen einen relativ neuen Ansatz wie das Automatisieren von Aktionen im Bereich IT-Sicherheit noch nicht „auf dem Radar“haben. „Automatisierung im Bereich IT-Security wird heute in den wenigsten Unternehmen zielgerichtet eingesetzt. Eigentlich könnte man sagen, dass diese Technologie noch in den Kinderschuhen steckt“, so Matthias Straub, Director Consulting Services bei NTT Security. Das Unternehmen bietet insbesondere Services in den Bereichen Informationssicherheit und Risiko-Management an.
Vor allem bei kleinen und mittelständischen Unternehmen besteht Aufklärungsbedarf, was IT-Security-Automation betrifft. „Mittelständische Unternehmen stehen nach unserer Einschätzung in dieser Beziehung ganz am Anfang“, bestätigt Joachim Braune, der als Chief Commercial Officer bei Netfox für die Geschäftsbereiche Cisco und Security zuständig ist. Dies ist Braune zufolge insofern bemerkenswert, als nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) bereits bei 19 Prozent der kleinen und mittelständischen Unternehmen IT-Sicherheitsprobleme zu massiven Störungen der Arbeitsprozesse geführt haben.
Security Automation wird wichtiger
Auch Hornetsecurity-Chef Dehning sieht Unterschiede zwischen großen und kleinen
Unternehmen: „Das Wissen über IT-Sicherheit im Allgemeinen und speziell über IT-SecurityAutomation ist vor allem bei kleinen und mittleren Firmen noch ausbaufähig. Größere Unternehmen sind in diesem Punkt nach unserer Erfahrung weiter.“Ein Grund für die zögerliche Haltung ist laut NTT- Security-Manager Straub, dass „zielgerichtete Angriffe fast 20 Jahre lang für die meisten Unternehmen kein Thema waren. Das hat sich nun geändert“.
Unternehmen sehen sich mit Attacken konfrontiert, die eine deutlich höhere Durchschlagskraft haben als noch vor einigen Jahren. „Angreifer verfügen heute über erhebliche Ressourcen, und zwar in technischer wie personeller Hinsicht“, warnt Jochen Rummel, Regional Director der DACH-Region bei FireEye. Das Unternehmen hat sich auf IT-Sicherheitslösungen spezialisiert, die den gesamten Sicherheitszyklus abdecken – vor, während und nach einem Angriff. Ein Problem, zu dessen Lösung Security Automation beitragen kann, ist Rummel zufolge, „dass es viel zu lange dauert, bis Angriffe erkannt werden – teilweise mehr als 100 Tage“.
Ein Grund ist das Datenvolumen, das untersucht werden muss. „Bei der Analyse von Sicherheits-Events besteht das Problem darin, aus der Masse der Informationen die wirklich wichtigen, relevanten Daten herauszufiltern“, konstatiert Benjamin Breu von Capgemini. Abhilfe kann eine automatisierte Analyse von sicherheitsrelevanten Daten schaffen, in Verbindung mit neuen Verfahren: „Technologien wie künstliche Intelligenz helfen dabei, große Datenmengen auf Spuren von Angriffen zu untersuchen“, ergänzt NTT-Security-Mann Straub.
Standards müssen her
Zu den größten Herausforderungen aus Sicht der Anwender zählt, dass es keine schlüsselfertigen Security-Automation-Lösungen gibt. FireEye-Regionalchef Rummel: „Unser Ansatz ist daher, die mühevollen händischen Aufgaben von Security-Analysten zu automatisieren.“Durch die Orchestrierung von wichtigen Prozessen von IT-Sicherheitslösungen sei es möglich, die Antwortzeiten und damit die Angriffsfläche zu reduzieren. Eine umgehende Reaktion auf Bedrohungen sei jedoch eine zentrale Anforderung an Security-AutomationLösungen.
Dieser Ansatz erfordert, dass IT-Sicherheitskomponenten unterschiedlicher Couleur miteinander „sprechen“können. Doch daran hakt es noch, so die übereinstimmende Meinung der Teilnehmer des Roundtables. „Ein Punkt, der sich bei Security Automation als hinderlich erweist, sind Silos, die sich im Bereich IT-Sicherheit herausgebildet haben. Es gibt eine große Zahl von Lösungen, die nicht miteinander kommunizieren und nur für spezielle Aufgaben ausgelegt sind“, kritisiert Andreas Süß von iT-Cube Systems. Ins gleiche Horn stößt Oliver Keizers, Regional Director DACH bei Fidelis Cybersecurit: „Viele IT-Fachleute, aber auch Experten aus Systemhäusern, denken noch zu sehr in Silostrukturen.“
Immerhin haben die Anbieter von IT-Sicherheitslösungen die Problematik erkannt: „Ein Problempunkt von Security Automation ist, dass es bislang noch zu wenig herstellerübergreifende Standards gibt. Diese sind noch in Entwicklung“, räumt Fortinet-Manager Grosche ein. Kritik wurde in der Runde jedoch in Bezug auf das Engagement einiger IT-Security-Anbieter laut, was die Mitarbeit an solchen Normen betrifft. „Einige nehmen nur und geben nichts“, so eine der Anmerkungen zum Verhalten mancher Mitbewerber.
Der Faktor Mensch
Damit Security-Automation-Konzepte in der Praxis funktionieren, muss allerdings nicht nur Technik mitspielen. Gleiches gilt für den Menschen, also die Nutzer von IT-Systemen, die IT-Administratoren und die Security-
Spezialisten. „Ein wesentlicher Punkt ist das Bewusstsein für Sicherheitsrisiken bei den Mitarbeitern. Nach unserer Einschätzung bestehen hier noch große Potenziale“, sagt beispielsweise Capgemini-Mann Breu. Sich darauf zu verlassen, dass IT-Security-Systeme automatisch Fehler oder das fahrlässige Verhalten von Mitarbeitern „ausbügeln“, ist demnach der falsche Weg. „Mitarbeiter müssen verstehen, welch hohen Stellenwert der Schutz von Daten und Anwendungen hat“, unterstreicht Joachim Braune von Netfox.
Ebenso wie einige andere Teilnehmer des Roundtables bietet FireEye weiterreichende Hilfsmaßnahmen: „Um Kunden auf den Ernstfall vorzubereiten, führen wir auf Wunsch Trockenübungen durch“, erläutert Rummel. „In diesen spielen wir den IT-Sicherheitsvorfall durch und überprüfen das Sicherheitsprogramm sowie die Incident-Response-Prozesse.“Um die Reaktion auf Sicherheitsvorfälle zu optimieren, kommen laut Rummel auch SecurityAutomation-Technologien zum Zuge.
Einstieg über Managed Services
Die Erfahrungen, die Anwender mit dem Automatisieren von IT-Sicherheitsmaßnahmen gemacht haben, sind durchaus positiv, so Benjamin Breu von Capgemini: „Mit Hilfe von Security Automation können Unternehmen ihre Kosten im Bereich IT-Sicherheit um etwa 20 bis 30 Prozent senken; diese Budgets lassen sich dann direkt für Innovationen verwenden.“
Unternehmen, die sich trotz dieser handfesten Vorteile scheuen, ihre IT-Sicherheitslandschaft in einem Zug auf Security Automation umzustellen, können dies in mehreren Etappen tun: „Automatisierung im Bereich Sicherheit fängt mit einfachen Dingen an, etwa einem effektiven Patch-Management“, betont Alexander Haugk von Baramundi Software. „Häufig werden Updates, die Sicherheitslücken bei Software aller Art schließen, zu spät oder gar nicht eingespielt.“Dies war auch im Fall von WannaCry so. Die Schadsoftware nistete sich vorzugsweise auf nicht gepatchten WindowsRechnern ein.
Eine weitere Option, um von den Vorzügen automatisierter IT-Security-Prozesse zu profitieren, ist die Nutzung von gemanagten Diensten: „Speziell für kleinere und mittelständische Unternehmen sind Managed Services im Bereich IT-Security und Security Automation eine Lösung. Sie bieten einen Effizienzgewinn“, sagt Matthias Straub von NTT Security.
Auch Hornetsecurity-CEO Dehning plädiert für einen solchen Ansatz, um Einstiegshürden zu überwinden: „Für Unternehmen und öffentliche Einrichtungen ist es eine Überlegung wert, einen Security-Dienstleister oder Anbieter von Managed Services mit ins Boot zu holen. Dieser verfügt im Gegensatz zu hauseigenen IT-Abteilungen über das Know-how und die technischen Hilfsmittel, um Angriffe frühzeitig zu erkennen und gegebenenfalls zu stoppen.“