Die von IBM in Auftrag gegebene Studie "2018 Cost of a Data Breach" vom Ponemon Institute stellt fest, dass sich die durchschnittlichen Kosten eines Datenangriffs weltweit auf 3,86 Millionen US-Dollar belaufen. Das ist ein Anstieg von 6,4 Prozent gegenüber dem Vorjahr, wobei Mega-Breaches (Verletzungen von mehr als 1 Million Datensätzen) 40 Millionen US-Dollar und mehr kosten. Trotz aller Schutzebenen und Maßnahmen scheitert der gegenwärtige Sicherheitsansatz.

Security-Teams optimieren und Informationssilos vermeiden

CISOs wollen die Ausweitung und den Kauf weiterer reaktiver, auf den jüngsten Angriff ausgerichteten Produkte stoppen. Stattdessen sollte eine Verbesserung der Sicherheitsabläufe durchgeführt werden, indem die bereits vorhandenen Sicherheitstechnologien und -teams aufeinander abgestimmt und die Informationen teamübergreifend genutzt werden. Was einfach klingt, gestaltet sich allerdings schwierig. Die meisten Unternehmen verfügen über ein Computer Security Incident Response Team (CSIRT), Security Operations Center, Risk Management, Vulnerability Management, Endpoint, Perimeter Teams und mehr. Jedes dieser Teams stützt sich auf eine bestimmte Kombination unterschiedlicher Punktprodukte, die jeweils ihre eigene Intelligenz beinhalten. Es werden ebenfalls diverse Bedrohungs-Feeds von kommerziellen Quellen, Open Source, Industrie, Regierung und bestehenden Sicherheitsanbietern abonniert, um umfassend informiert zu sein.

Sicherheitsteams und deren Sicherheitssysteme sind allerdings so organisiert, dass sich Informationssilos bilden. Das heißt, sie agieren aus einem Informationssystem heraus, das nicht in der Lage ist wechselseitig mit weiteren ähnlichen Systemen zu arbeiten und zu kommunizieren, obwohl das gleiche Ziel verfolgt wird. Potenzielle Synergien zu nutzen scheint fast unmöglich.

Die CISOs sind sich bewusst, dass der zeitnahe und sinnvolle Austausch von Informationen zwischen diesen Teams und den von ihnen eingesetzten Tools der Schlüssel zu einer kürzeren Erkennungs- und Reaktionszeit ist - nicht die nächste "Silver Bullet"-Sicherheitstechnologie oder ein anderer Bedrohungsfeed. Dies erfordert jedoch eine Veränderung und Optimierung gewohnter Arbeitsabläufe und -prozesse. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt im aktuellen Lagebericht zur IT-Sicherheit fest, dass fortgeschrittene Angriffsmethoden mit komplexeren Sicherheitsmaßnahmen beantwortet werden müssen.

"Um nicht bei einem rein reaktiven Vorgehen zu bleiben, kommt dem vorhandenen Managementsystem für Informationssicherheit (ISMS), der Sicherheitskonzeption und der Umsetzung aktueller Sicherheitsmaßnahmen eine hohe Bedeutung zu", so das BSI. Außerdem sollte laut Aussage im BSI-Lagebericht auf entdeckte Schwachstellen und Angriffe planvoll und systematisch reagiert werden: "Nachdem die Erstmaßnahmen umgesetzt wurden, sollten anschließend sinnvollerweise auch das Informationssicherheitsmanagementsystem (ISMS) auf Aktualität sowie Konformität mit den Vorgaben überprüft und die Sicherheitsmaßnahmen angepasst werden."

Security-Alarm in der Praxis

Die meisten Sicherheitsexperten können sich mit folgenden Szenarien identifizieren:

1.Das SOC (Security Operation Center) erkennt etwas im Netzwerk, hat Schwierigkeiten zu überprüfen ob tatsächlich ein Angriff stattfindet, und leitet die Informationen an das Incident Response Team zur weiteren Verwaltung weiter.

2.Das Incident Response Team ist mit der Menge an Alarmen oftmals überfordert und benötigt teilweise Stunden, Kontext über verschiedene Plattformen und das Internet zu bekommen. Handelt es sich tatsächlich um einen Angriff, werden Informationen manuell, oftmals per XLS-Sheets, an andere Teammitglieder weitergeleitet. Erst dann kann mit dem Lösen des Problems begonnen werden - wertvolle Zeit ist dann aber bereits verstrichen. Man schließt den Vorfall ab und fährt mit dem nächsten Alarm fort.

3.Das Schwachstellenteam hat Schwierigkeiten zu überprüfen, ob durch den Angriff eine im Netzwerk befindliche Schwachstelle ausgenutzt werden kann, führt eine manuelle Überprüfung durch, findet die Schwachstelle im Netzwerk und stellt sie in die Warteschlange für das Patchen durch einen wahrscheinlich manuellen Prozess ohne echte Priorität.