Anfang des Jahres 2022 titelte die Tagesschau „Cyberangriffe größte Gefahr für Firmen“. Die Branche der Unternehmen spielt kaum eine Rolle. Das sieht man anhand des Angriffsbarometers von Konbriefing, welches bekannt gewordene Vorfälle registriert. Die Ziele waren unter anderem eine Pizza-Kette, eine Hochschule, ein Krankenhaus, eine Bank und eine Eisenbahngesellschaft – eine bunte Auswahl.
Hacker interessiert es meistens nicht, wer ihr Ziel ist. Viel wichtiger: Wie wahrscheinlich ist eine erfolgreiche Attacke und was können die Angreifer gewinnen? So ist ein Juwelier mit einer veralteten Alarmanlage bei Dieben wahrscheinlich ein beliebteres Ziel als eine milliardenschwere Großbank mit einem hochmodernen Sicherheitssystem.
Irgendwie kommen die Hacker fast immer rein
Mit genügend Ressourcen und Zeit kommen Angreifer in fast alle Systeme, auch wenn Unternehmen den Schutz (Protection) des Firmennetzwerks auf einem hohen Niveau halten.
Doch schafft es ein Hacker ins System hat man von der besten Firewall nichts mehr. Dann ist es wichtig, den Eindringling möglichst schnell aufzuspüren und seine Handlungsmöglichkeiten einzuschränken. Die Detection & Response sollte also auf einem ähnlich hohen Niveau stehen wie die Protection. Denn merkt ein Hacker, dass er entdeckt wurde oder im Netzwerk nur mit großer Anstrengung signifikanten Schaden anrichten kann, zieht er sich möglicherweise zurück.
Mit MDR dem Angreifer möglichst viele Hürden in den Weg stellen
Laut dem Cost of Data Breach Report 2021 von IBM dauert es im Schnitt 287 Tage, um ein Datenleck zu erkennen und zu beseitigen. Vielen Unternehmen fehlen einfach die Ressourcen, um sich dauerhaft um Detection & Response zu kümmern.
Für diese Betriebe empfehlen wir Managed Detection & Response (MDR). Ein Managed Security Service Provider (MSSP) wie indevis richtet dabei ein virtuelles Security Operations Center (vSOC) für den Kunden ein.
Die Sicherheitsspezialisten des Dienstleisters kümmern sich dann unter anderem um die Auswertung des Security Information and Event Managements (SIEM) oder konfigurieren und verwalten eine Lösung für Security Orchestration, Automation and Response (SOAR).
Von Vorteil ist nicht nur, dass die IT eines Betriebs dadurch entlastet wird, sondern auch, dass ein erfahrener Dienstleister gut kuratierte Threat-Datenbanken unterhält. Je aktueller diese Datenbanken sind, desto effektiver kann das SOAR reagieren. Außerdem spart ein vSOC Kosten. Über den Daumen gepeilt wären circa vier Mitarbeiter ein halbes Jahr damit beschäftigt, ein eigenes SOC einzurichten. Um es am Laufen zu halten, müssen dauerhaft Mitarbeiter abgestellt werden. Zum einen ist das kostspielig, zum anderen ist es aufgrund des Fachkräftemangels, unabhängig vom Budget, für ein KMU selten umsetzbar.
Arbeiten Unternehmen mit einem externen Dienstleister zusammen, legen beide Parteien zunächst gemeinsam fest, welche Logs in die Überwachung einfließen. Dabei sollten auch die Logs zu Schnittstellen zu Public Cloud Services in das Monitoring integriert sein. Zwar sind sie nicht direkt Teil des Firmennetzes, können aber ebenfalls als Angriffsweg genutzt werden.
Der Implementierungsprozess von MDR funktioniert am besten, wenn der Kunde bereits Produkte aus dem Security-Portfolio des MSSP nutzt. Jedoch können auch andere Systeme in das vSOC eingebettet werden. Das dauert allerdings länger. Eine hundertprozentige Deckungsgleichheit der Systeme gibt es kaum. Aber wenn der Großteil kompatibel ist, muss man nur wenig mit der Hand einbinden und spart Zeit.
Protection und Detection & Response: Eine solide IT-Security braucht beides
Für Unternehmen gilt: Eine ganzheitliche Security-Strategie enthält immer sowohl Lösungen zur Protection als auch zur Detection & Response: Mit einer guten Protection wappnen sich Unternehmen gegen Cyberangriffe und machen es Hackern so schwer wie möglich, Netzwerke zu infiltrieren oder Ransomware einzuschleusen. Gleichzeitig sollten Betriebe auf den Fall eines erfolgreichen Hacks vorbereitet sein. Externe Dienstleister wie indevis können in beiden Disziplinen unterstützen.
