Langeweile gibt es im Bereich der IT-Sicherheit nicht: Die Größe der Angriffsflächen aber auch die Zahl der Angriffspunkte nehmen in Unternehmen deutlich zu. Als ob das noch nicht genug wäre, variieren die Angreifer ihre Methoden und setzen immer wieder neue Techniken ein. Daher stehen die meisten Unternehmen vor der Frage, wie sie dieser Gefährdung am besten begegnen können. Im Interview verdeutlicht Michael Veit, Cybersecurity-Experte bei Sophos, diese Problematik und spricht im Interview mit Midrange Mail (MM) sinnvolle Lösungsmöglichkeiten an.

MM: Warum gibt es für Unternehmen im Bereich der IT Security keine hundertprozentige Sicherheit?
Veit: Unabhängig von der Stärke jeglicher Verteidigung in Unternehmensnetzwerken wird ein entschlossener und entsprechend ausgestatteter Angreifer letztendlich die Technologie als Einzelbollwerk besiegen – vom Faktor Mitarbeiter einmal ganz abgesehen. Auch hier ist mit immer perfekteren Phishing- und Identity-Theft-Aktivitäten der erfolgreiche Cybereinbruch oftmals nur eine Frage der Zeit.

MM: Warum erkennen IT-Security-Experten, dass moderne Sicherheit nicht mehr allein durch den Einsatz von Technologie zu bekommen ist?

Quelle: Sophos

Michael Veit, Cybersecurity-Experte bei Sophos

Veit: Wenn Organisationen über Cybersecurity-Strategien nachdenken, ist es hilfreich, eine Schildmetapher zu verwenden. Schilde verschaffen Zeit, wenn Angriffe erfolgen. Dieser Vorteil greift aber nur dann, wenn IT-Teams die so gewonnene Zeit effektiv nutzen, um zu reagieren, andernfalls versagt der „Schild“ zwangsläufig irgendwann. Entsprechend können verpasste Signale oder Reaktionsverzögerungen aufgrund komplexer IT-Umgebungen mit unterschiedlichsten Herstellern bei einer Cyberattacke den Unterschied zwischen Verteidigungserfolg und -versagen ausmachen. Hier kommen dann Experten und möglichst umfangreiche Analysemöglichkeiten ins Spiel.

MM: Was gehört noch dazu?
Veit: Durch die Nutzung einer umfassenden, produktübergreifenden Telemetrie können Expertenteams schnell und genau Bedrohungen in der breiten Palette der bestehenden Umgebung eines Kunden erkennen und beheben, einschließlich komplexer Szenarien mit mehreren Sicherheitsanbietern. Und das, bevor sich die Infiltrierungen in etwas noch Schädlicheres verwandeln, wie zum Beispiel Ransomware-Attacken oder ein groß angelegter Datendiebstahl.

MM: Wie sind vor dem Hintergrund des Fachkräftemangels kleine und mittlere Unternehmen in der Lage, Security-Experten einzusetzen, um die immer besser getarnter Cyber-Attacken bereits im Keim zu ersticken?
Veit: Gerade KMUs können sich ein dediziertes IT-Security-Team in den allermeisten Fällen schlichtweg nicht leisten, müssen aber auf der anderen Seite theoretisch ständig weiter aufrüsten, um den immer professionelleren Cyberattacken Paroli bieten zu können. Moderne Managed Detection and Response (MDR)-Angebote können hier Abhilfe schaffen und sind mittlerweile auch für kleine Unternehmen realisierbar. Sophos MDR ist zum Beispiel mit verschiedenen Servicestufen und Threat-Response-Optionen anpassbar. Kunden können wählen, ob das Sophos-MDR-Team eine umfassende Reaktion auf einen Vorfall durchführen, bei bestätigten Bedrohungen Unterstützung leisten oder detaillierte Alert-Benachrichtigungen liefern soll, die ihre Security Operations Teams selbst verwalten und bearbeiten können.

MM: Was verbirgt sich hinter der Bezeichnung Managed Detection and Response?
Veit: Bei Managed Detection and Response (MDR) Services lagern Unternehmen den Sicherheitsbetrieb an externe Experten aus. MDR-Anbieter übernehmen dabei Aufgaben der IT-Security-Abteilung ihrer Kunden. Zu den Serviceleistungen gehören Analysen durch ein Expertenteam, Bedrohungssuche (Threat Hunting), Überwachung in Echtzeit sowie die Reaktion auf Vorfälle, kombiniert mit Technologien zum Erfassen und Analysieren von Bedrohungsdaten. MDR-Anbieter nutzen oft eine Kombination aus Host- und Network-Layer-Technologien sowie umfassende Analysen, Bedrohungsdaten, forensische Daten und menschliche Expertise, um Bedrohungen schnell zu erkennen und zu beseitigen. Ziel dabei ist das Aufspüren und Stoppen von Bedrohungen in Kundenumgebungen, die von präventiven technischen Sicherheitslösungen nicht erkannt wurden.

MM: Welche Vorteile bietet ein herstellerübergreifender Ansatz?
Veit: Durch die Unterstützung von Produkten und Plattformen von Drittanbietern, einschließlich anderer Endpoint-Lösungen, können Sicherheitsdaten und Telemetrie automatisch konsolidiert, korreliert und priorisiert werden. Diese Daten und Telemetrie fließen bei Sophos beispielsweise in das Adaptive Cybersecurity Ecosystem ein und ermöglichen unserem X-Ops Expertenteam ein noch schnelleres und effektiveres Threat Hunting.

MM: Wie wichtig ist die Definition eines „Katastrophenplans“, sprich wenn trotz aller Vorkehrungen eine Attacke Erfolg hat?
Veit: MDR ist sehr wirkungsvoll, jedoch nur ein Teil des Gesamtpakets. Unternehmen benötigen außerdem detaillierte Pläne zur Reaktion auf Vorfälle, um von CSaaS-Modellen voll profitieren zu können. Strategische Vorbereitungen ermöglichen schnelles Handeln in Katastrophenfällen und optimieren die Zusammenarbeit mit Managed Service Providern (MSPs) und MDR-Partnern. Mit MDR und ganzheitlicher Reaktionsplanung können Unternehmen einen vollwertigen Sicherheitsbetrieb aufbauen, der gegen die immer stärker werdenden Bedrohungen gewappnet ist. Aktive Cyberattacken können für die Verantwortlichen in Unternehmen schnell überwältigend werden. Wenn, bildlich gesprochen, die Sirenen heulen, kann es kompliziert und stressig sein, mehrere Anbieter, Beteiligte und Bereitstellungstools zu koordinieren und effektiv zu nutzen. Ohne die Hilfe durch einen Incident-Response-Plan ist es für die Verantwortlichen schwierig, die Schwere eines Angriffs einzuschätzen und alle Rollen und Aufgaben während des gesamten Wiederherstellungsprozesses abzustimmen.

MM: Welche Rolle spielt das Thema Security Awareness – und lässt sich diese Aufgabenstellung auch „outsourcen“?
Veit: Eine große – und leider hat das „Outsourcen“ hier seine Grenzen, da externe Security-Experten nicht in den Alltagsprozess von Unternehmen eingebunden werden können. Alternativ haben sich hier Antiphishing-Trainingsprogramme, wie etwa unser PhishThreat, bewährt. Mit diesen Programmen und Trainings können Firmen eigene Phishing-Kampagnen erstellen, um ihren Mitarbeitern zu zeigen, worauf sie achten müssen. Endbenutzer stellen ein Risiko dar, sind aber gleichzeitig auch einer der größten Schutzwälle für Unternehmen, wenn es darum geht, Angriffe frühzeitig zu erkennen und zu verhindern. Grundlage dafür ist die Schaffung einer präsenten Sicherheitskultur im Arbeitsalltag. Hier gilt es für jedes Unternehmen eigene individuelle Konzepte zu erstellen. Grundsätzlich gilt aber: Klare, leicht verständliche und schnell umsetzbare Prozesse verhindern, dass einfache Fehler den Unternehmen großen Schaden zufügen können.

Rainer Huttenloher

Sophos