Cybersicherheit ist ein Thema, das uns gefühlt schon immer begleitet und das von Jahr zu Jahr wichtiger, aber auch komplexer wird. Durch die sich ständig verschärfende Bedrohungslage und das mittlerweile hoch professionelle Verhalten der Cyberkriminellen sind Unternehmen zu Sicherheitsstrategien angehalten, die auf einem weit höheren Level stattfinden als noch vor wenigen Jahren. [...]
Cyber-Resilienz ist ein wichtiges Stichwort und dazu gehört zusätzlich zur Software- und KI-gesteuerten Sicherheit auch eine menschliche Komponente in Form von Security-Services. Über die Managed Detection and Response (MDR)-Services sprechen Sven Janssen, Director Channel Sales DACH bei Sophos und Ulrich Parthier, Herausgeber it security.
Ulrich Parthier: Wie kann man den heutigen Status der Cyberbedrohung kurz beschreiben und wie das Verhalten der Unternehmen?
Sven Janssen: Die Landschaft der Cyberbedrohungen ist heute unglaublich vielfältig, wobei die Angriffstaktik über Ransomware nach wie vor und voraussichtlich auch in Zukunft den gefährlichsten Part einnimmt. Es ist nicht nur so, dass die Summen für die Lösegeldforderungen stetig steigen und dass die Akteure dahinter ihre Angriffe auf technisch höchstem Niveau durchführen. Die Cyberkriminellen haben zusätzlich zur Verschlüsselung der Daten den Datendiebstahl für sich entdeckt.
Das hat zwei Gründe. Erstens sind viele Unternehmen mit ihrer Sicherheitsstrategie gegen Verschlüsselung heute besser gerüstet und verfügen über sichere Backups, was sie vor Lösegeldforderungen schützt. Der Datendiebstahl und der angedrohte Verkauf im Darknet ist jedoch für viele Unternehmen ein Grund, sich den Erpressern zu ergeben und zu bezahlen.
Auf der anderen Seite haben wir die Unternehmen, die sich deutlich bewusst sind, wie gefährlich das Internet ist. Allerdings hat eine unserer Studien ergeben, dass die Security immer noch nicht genügend in den Chefetagen angekommen ist, obwohl sie durchaus businesskritisch ist.
Die große Mehrheit der befragten Manager (rund 81 Prozent) gab an, ein hohes bis sehr hohes Bewusstsein für IT-Sicherheit zu haben. Je größer die Unternehmen jedoch sind, desto weniger sieht sich die Führungsebene tatsächlich in der Verantwortung. Vor dem Hintergrund der aktuellen und neuen Regeln der Geschäftsführerhaftung ist das im Grunde fahrlässig.
Ulrich Parthier: Cyber-Resilienz ist derzeit eines der Top-Themen. Was genau verstehen Sie darunter und wie setzt Sophos diesen Ansatz um?
Sven Janssen: Zum einen ist Cyber-Resilienz die nächste höhere Stufe über der klassischen Security. Dabei geht es vor allem darum, eine noch höhere Erkennungssicherheit zu erreichen und auch die gezielten und trickreichen Angriffe abzuwehren.
Die heute sehr guten technischen Lösungen aus vernetzten Security-Ökosystemen in Verbindung mit künstlicher Intelligenz werden daher mit menschlicher Expertise ergänzt.
Denn Fakt ist, dass die technische Security zwar enorm viele Angriffe erkennen und abwehren kann. Für die letzten paar Prozent zur maximal möglichen Sicherheit benötigt man aber hoch spezialisierte Experten, die kontinuierlich die IT-Umgebung der Kunden beobachten und dabei die trickreichen Angriffe der besonders versierten Cyberkriminellen erkennen.
Wir verstehen unter Cyber-Resilienz auch, Unternehmen mit unseren Managed Detection and Response (MDR)-Services aus ihrer Not zu helfen. Denn nur wenige Unternehmen haben dazu die Ressourcen.Sven Janssen, Sophos Technology GmbH
Zweitens verstehen wir unter Cyber-Resilienz auch, Unternehmen mit unseren Managed Detection and Response (MDR)-Services aus ihrer Not zu helfen. Denn nur wenige Unternehmen haben die Ressourcen, einen ganzen Stab an Security-Experten an Bord zu holen – ganz abgesehen davon, dass solche Experten schwer zu finden sind.
Ulrich Parthier: Und diese Experten sitzen bei Sophos und werden im Fall der Fälle selbstständig aktiv?
Sven Janssen: Bei MDR-Services lagern Unternehmen den Sicherheitsbetrieb an externe Experten wie beispielsweise Sophos aus. Zu den Serviceleistungen gehören Analysen durch ein Expertenteam, Bedrohungssuche (Threat Hunting), Überwachung in Echtzeit sowie die Reaktion auf Vorfälle, kombiniert mit Technologien zum Erfassen und Analysieren von Bedrohungsdaten. Die Security Services werden je nach Vereinbarung mit dem Kunden auch selbstständig aktiv.
Im Modus „Benachrichtigung“ werden Kunden bei einer erkannten Bedrohung informiert und bekommen Detailinformationen, um eigene Teams bei der Priorisierung der potenziellen Gefahr zu unterstützen und die entsprechende Reaktion auszulösen.
Im Modus „Zusammenarbeit“ interagieren die Sophos-Experten mit den Ansprechpartnern, um auf erkannte Bedrohungen zu reagieren. In der dritten Variante kümmert sich das Sophos MDR-Team im Modus „Autorisierung“ um alle erforderlichen Maßnahmen zur Eindämmung und Beseitigung von Bedrohungen inklusive der Information über die ergriffenen Maßnahmen.
Diese Variante könnte man als Äquivalent für das individuelle Security Operations Center als umfassend gemanagter Service im Kampf gegen Cyberangriffe bezeichnen.
Ulrich Parthier: Ersetzen die MDR-Services ein klassisches SOC?
Sven Janssen: Klassische Security Operations Center fand man in der Vergangenheit aufgrund der Komplexität und der hohen Kosten fast ausschließlich bei großen Unternehmen. MDR hat mit seinem Service-Konzept einen noch größeren Umfang und ist auch für KMUs in Reichweite.
MDR-Services ersetzen also nicht nur das SOC, für viele Unternehmen macht es dieses Level an Sicherheit überhaupt erst möglich. Zudem greift ein MDR-Angebot nicht nur auf interne Datenquellen zu, sondern das Threat Hunting profitiert von einem riesigen Data Lake, der mit Daten aller Sophos-Kunden gefüttert wird. Das bietet ein riesiges Potenzial für effektive Bedrohungssuche.
Ulrich Parthier: Sie sprechen mit Reichweite die Kosten für MDR-Services an. Ist MDR wirklich günstiger und im Gegensatz zu einem SOC wirtschaftlich realisierbar?
Sven Janssen: Unternehmen, die ihr eigenes SOC implementieren möchten, erkennen schnell, wie schwierig sich der Aufbau und vor allem der Betrieb gestaltet. Selbst in kleinen und mittelständischen Unternehmen würden mindestens vier Cybersecurity-Analysten benötigt, um ein SOC rund um die Uhr, jeden Tag im Jahr zu besetzen.
Größere Unternehmen benötigen noch mehr teure Fachkräfte, die, wie gesagt, nur sehr schwer zu finden sind. Darüber hinaus braucht es Teamleiter und IT-Engineers zur Anpassung und Wartung von Tools. Zu diesen Personalkosten kommen weitere Kosten für Tools hinzu.
Als Service entfällt ein großer Teil der genannten Personal- und Betriebskosten und ein Anbieter wie Sophos beziehungsweise die Partner können dies nicht nur aus wirtschaftlicher Sicht zu besseren Konditionen anbieten, sondern gleichzeitig mit einer weltweit vernetzten und damit wesentlich höheren Expertise.
Ulrich Parthier: Wie würden Sie in einem Elevator-Pitch die Vorteile von MDR-Services für Unternehmen beschreiben?
Sven Janssen: Zusammengefasst gibt es fünf Gründe, weshalb Unternehmen zusätzlich zu einem technologie- und softwarebasierten Security-Ökosystem auch auf MDR-Services mit menschlicher Expertise setzen sollten: Die Härtung der Cyber-Abwehr, die Entlastung der verfügbaren IT-Ressourcen, das Hinzufügen von echter Expertise anstatt Headcount, die Optimierung des Return on Investments in die Cybersecurity und vor allem die Konzentration aller verfügbaren Ressourcen auf das Kerngeschäft.
Ulrich Parthier: Herr Janssen, herzlichen Dank für das Gespräch.
Be the first to comment