Cyberangreifer schlafen nie – und Unternehmen stehen dadurch vermehrt unter Zugzwang. Klaus M. Gheri, VP Engineering, Network Security bei Barracuda, diskutierte im Rahmen des ITWelt.at Roundtables zum Thema SOC, über die Rolle von 24/7-SOCs und den Einsatz von KI, XDR-Technologien und Managed Services, um Kosten zu senken und sich vor modernen Bedrohungen zu schützen. [...]
Die digitale Bedrohungslage entwickelt sich rasant weiter – Angreifer agieren global und nutzen gezielt die Schwachstellen, die sich auch außerhalb der Geschäftszeiten ergeben. Gleichzeitig stehen Unternehmen vor der Frage, wie sie mit begrenzten Ressourcen ein Höchstmaß an IT-Sicherheit gewährleisten können. Klaus M. Gheri, VP Engineering, Network Security bei Barracuda, beleuchtete im Rahmen des Roundtables „Bock auf SOC“ welche Rolle ein 24/7-Security Operations Center (SOC) heute spielt, welche Alternativen Managed Services bieten und wie der Einsatz von Künstlicher Intelligenz die Verteidigung gegen immer raffiniertere Angriffe unterstützt.
Ist ein 24/7-SOC für jedes Unternehmen notwendig?
Dem Thema 24/7-Überwachung kann man sich als Unternehmen kaum entziehen, denn Angreifer agieren weltweit und sind über verschiedene Zeitzonen hinweg aktiv. Das bedeutet: Sie sind auch dann aktiv, wenn bei uns niemand arbeitet – sei es nachts, an Feiertagen wie Weihnachten oder zu Neujahr. Gerade zu solchen Zeiten sind Angreifer oft besonders aktiv, da sie wissen, dass die Verteidigungsmaßnahmen wegen geringerer personeller Besetzung schwächer ausfallen.
Daher muss sich jedes Unternehmen Gedanken machen, wie es diesen Herausforderungen begegnen will. Einen eigenen Managed Service rund um die Uhr zu betreiben, ist aufwendig: Schon für eine grundlegende Ausbaustufe benötigt man mindestens fünf bis acht Personen, um den Betrieb aufrechterhalten zu können – und das bedeutet, dass im besten Fall immer nur eine Person aktiv im Dienst ist. Für den professionellen SOC-Betrieb ist jedoch noch viel mehr Kompetenz und eine größere Personaldecke erforderlich.
Für mittelständische Unternehmen ist es daher kaum realistisch, ein vollständiges 24/7-SOC in Eigenregie zu betreiben. Hier empfiehlt sich meist die Zusammenarbeit mit einem spezialisierten Dienstleister oder die Nutzung von Managed Services.
Gibt es Ansätze, wie Unternehmen die SOC-Kosten senken können, ohne die Sicherheit zu gefährden?
Ja, es gibt Ansätze, wie Unternehmen die Kosten eines SOC reduzieren können, ohne dabei Kompromisse bei der Sicherheit einzugehen. Ein Schlüssel dazu ist der Einsatz eines Managed XDR-Services (Extended Detection and Response). Meiner Meinung nach ist dies der effizienteste Weg, Kosteneffizienz und Sicherheit miteinander zu verbinden.
Ein wichtiger Aspekt dabei ist das richtige Kostenmodell. Es sollte vollständig transparent sein, ohne variable oder volumetrische Komponenten, die schwer kontrollierbar sind. Leider gibt es am Markt Modelle, die solche variablen Kostenpunkte enthalten, weshalb Unternehmen genau darauf achten sollten, diese zu vermeiden.
VP Engineering, Network Security
von Barracuda,
© timeline/Rudi Handl
Ebenso entscheidend ist die Auswahl des MDR-Partners (Managed Detection and Response). Unternehmen sollten darauf achten, dass der Partner mit einer klar definierten Palette von Herstellern arbeitet, deren Produkte er optimal unterstützen kann. Wir bei Barracuda Networks sind hier gut aufgestellt: Unsere umfangreiche Produktpalette ist nicht nur für unsere Systeme optimiert, sondern auch kompatibel mit Lösungen führender Fremdanbieter. Das bedeutet, dass Kunden ihre bestehende IT-Landschaft nicht komplett umbauen müssen, um unseren Service nutzen zu können.
Ein häufiges Sorgenkind für Unternehmen ist die Angst vor einer Kostenfalle, aus der sie nicht mehr herauskommen. Durch klare Kostenstrukturen und eine transparente Kommunikation lässt sich diese Angst nehmen und ein effizienter, sicherer Betrieb des SOC gewährleisten.
Welche Maßnahmen sind notwendig, um einen effektiven Schutz vor KI-basierten Bedrohungen zu erschaffen?
Die Bedrohungen durch Künstliche Intelligenz äußern sich für Unternehmen vor allem durch Effizienzsteigerungen und Qualitätsverbesserungen auf Angreiferseite. Das bedeutet: Es gibt mehr Angriffe, und sie werden immer raffinierter und schwerer zu erkennen. Sie sind zwar weiterhin identifizierbar, doch der Aufwand für die Erkennung steigt erheblich.
Ein aktuelles Beispiel aus unserem Unternehmen: Wir haben im letzten Jahr eine Vervierfachung der Ransomware-Angriffe festgestellt. Das unterstreicht, wie wichtig es ist, sich einen erfahrenen Servicepartner zu suchen, der bei der Identifikation und Abwehr solcher Angriffsmuster unterstützen kann.
Künstliche Intelligenz ist im SOC– insbesondere in SOAR-Lösungen (Security Orchestration, Automation and Response) – mittlerweile unverzichtbar. Sie gruppiert und kontextualisiert Daten aus verschiedenen Quellen, reduziert und dedupliziert Informationen und hilft dabei, relevante Indicators of Compromise zu identifizieren. So werden Analysten effektiv dabei unterstützt, Vorfälle schneller und fundierter zu beurteilen. Gerade angesichts der enormen Datenmengen ist diese Unterstützung entscheidend.
Ein weiterer innovativer Ansatz betrifft die Kommunikation mit Kunden: Unser SOC-Team arbeitet interaktiv mit den Kunden, häufig per E-Mail. Diese Konversationen können umfangreich und zeitaufwändig sein. Hier kann die KI eine Kurz-Zusammenfassung der E-Mails liefern und – das ist ganz neu – sogar eine Sentiment-Analyse durchführen: In welchem Gemütszustand befindet sich der Kunde? Ist er gestresst, ängstlich oder entspannt? So kann das SOC-Team die eigene Vorgehensweise und Kommunikation optimal anpassen.
All diese Maßnahmen dienen der Effizienz- und Geschwindigkeitssteigerung in der Verteidigung – doch man darf nicht vergessen: Auch Angreifer nutzen solche Technologien. Daher ist es für Unternehmen unerlässlich, ihre Abwehrmechanismen kontinuierlich zu optimieren und an den aktuellen Stand der Technik anzupassen.
Welche Grenzen und Risiken sehen Sie du beim Einsatz von KI im Security-Bereich?
Aktuell gibt es ein absolutes No-Go, das von niemandem gewünscht wird: dass Künstliche Intelligenz die automatisierte Threat Response in allen Lebenslagen völlig eigenständig steuert. In solchen kritischen Bereichen müssen klare Regeln und Verantwortlichkeiten gelten.
VP Engineering, Network Security
von Barracuda,
© timeline/Rudi Handl
Deshalb arbeiten wir mit SLAs (Service Level Agreements), die genau festlegen, welche Leistungen der Service erbringen muss. Kunden stellen sich berechtigterweise die Frage: „Bekomme ich für meinen Service wirklich Sicherheit und schnelle Reaktion, oder zahle ich am Ende nur eine monatliche Rechnung?“ Bei uns werden alle Incidents erfasst und kategorisiert. Im Ernstfall gilt beispielsweise ein 20-Minuten-SLA – das bedeutet, innerhalb dieser Zeit muss eine qualifizierte Reaktion erfolgen.
Viele Komponenten wie Cloud Security und Netzwerksicherheit unterstützen heute eine automatisierte Response. Trotzdem bleibt der menschliche Analyst im SOC in der Verantwortung: Er kann die Maßnahmen zwar auf Knopfdruck auslösen, wird dies aber nur tun, wenn er sich von der Relevanz des Vorfalls überzeugt hat. Bei weniger kritischen Vorfällen auf einem Endpoint ist es zum Beispiel vertretbar, diesen kurzfristig zu isolieren. Das ist meist unproblematisch, es sei denn, es gibt Hinweise auf schwerwiegendere Probleme.
Anders sieht es bei Serversystemen oder einzelnen Netzsegmenten aus – hier kann eine vorschnelle Isolation zu erheblichen Betriebsunterbrechungen führen. Gleichzeitig muss im Ernstfall dennoch schnell gehandelt werden. Wenn beispielsweise Schadsoftware erkannt, Rootkits gefunden oder fortgeschrittene, laterale Bewegungen im Netzwerk beobachtet werden, müssen umgehend Gegenmaßnahmen ergriffen werden – idealerweise, bevor ein größerer Schaden entsteht. Genau hier hilft KI, da sie Auffälligkeiten im Angriffsprozess besonders frühzeitig erkennen und interpretieren kann. So kann der Schaden lokal begrenzt und schneller beseitigt werden.
Trotz aller Automatisierung ist aber das menschliche Eingreifen unverzichtbar. Bei uns ist ein spezialisiertes Red Team für die Incident Response zuständig. Es begleitet den Kunden persönlich durch alle notwendigen Schritte – von der Einleitung der Gegenmaßnahmen bis zur vollständigen Aufklärung und Wiederherstellung der Systeme.
Ist der derzeit allgegenwärtige Fachkräftemangel im IT-Sicherheitsbereich ebenfalls ein Thema?
Genau aus diesem Grund setzen wir seit Jahren strategisch auf die Zusammenarbeit mit Managed Service Providern – insbesondere, weil diesem Ansatz eine goldene Zukunft im Mittelstandssegment vorausgesagt wird.
Die Bedrohungslage in der IT-Security verändert sich ständig. Gleichzeitig ist es zunehmend schwierig, geeignetes Personal zu finden. Und selbst wenn man qualifizierte Mitarbeitende findet, sind sie nicht immer bereit, über längere Zeiträume hinweg die erforderliche Arbeitsleistung zu erbringen – Stichwort Work-Life-Balance, die gerade in der jüngeren Generation einen hohen Stellenwert einnimmt.
Das spricht klar für Partnerschaften mit externen Dienstleistern. Über einen Managed Service Partner können Unternehmen XDR-Lösungen und weitergehende Dienstleistungen beziehen, ohne das entsprechende Personal selbst vorhalten zu müssen. Ein klassisches Beispiel ist die Möglichkeit, einen externen CISO (Chief Information Security Officer) „anzumieten“ – ein Modell, das für Mittelständler besonders attraktiv ist. Kaum ein Unternehmen mit 200 Mitarbeitern leistet sich einen eigenen CISO oder einen spezialisierten Security-Experten. Häufig übernehmen IT-Mitarbeiter diese Aufgaben nebenbei – sie kümmern sich primär um Serversysteme und zahlreiche Windows-Desktops und können das Thema IT-Security oft nur eingeschränkt abdecken.
Managed Service Provider bieten hier eine wichtige und zukunftsweisende Unterstützung.
Warum sollte XDR zum Standard jeder Sicherheitsstrategie gehören?
Letztendlich ist dies auch eine Frage der Haftung. Kommt es zu einem Schadensfall, sehen nationale Gesetzgebungen zunehmend vor, dass verantwortliche Personen haftbar gemacht werden können. In diesem Zusammenhang spielt der „Stand der Technik“ eine entscheidende Rolle.
Ich bin überzeugt, dass XDR-Technologien – oder der Einsatz eines entsprechenden Services – heute zum Stand der Technik im Bereich IT-Security zählen. Damit erfüllen Unternehmen eine wesentliche Anforderung an einen zeitgemäßen und angemessenen Schutz.
Für kaufmännisch Verantwortliche bedeutet das: Es gibt in der Sicherheitsbranche eine klare Entwicklung dessen, was als zumutbar und ausreichend angesehen wird. Die Implementierung von XDR ist somit ein solides Argument, das eigene Unternehmen nicht nur technisch, sondern auch rechtlich abzusichern und Risiken deutlich zu minimieren.
Wie sieht ihr Ausblick, wie die Zukunft von SOC und IT-Security aus?
Was das Thema SOC insgesamt betrifft, glaube ich, dass die Nutzung als Service – also SOC as a Service – in Zukunft deutlich stärker zum Standard wird, als es heute der Fall ist. Aktuell ist dieses Modell für viele Unternehmen noch Neuland. Zwar hat man sich mit dem klassischen SOC beschäftigt, aber die Idee, SOC tatsächlich als Service zu konsumieren, ist noch nicht flächendeckend angekommen. In fünf Jahren könnte sich das jedoch grundlegend ändern.
Ein weiterer wichtiger Trend ist die zunehmende Bedeutung von Künstlicher Intelligenz innerhalb des SOC. Wir haben zum Beispiel erlebt, wie KI in der Qualitätssicherung eingesetzt werden kann: Sie optimiert Prompts so, dass die Trefferquote und Effizienz deutlich steigen. Aufgaben, für die Menschen bisher tagelang gebraucht haben, kann KI in wenigen Sekunden erledigen.
Was bislang oft zu wenig beachtet wird, ist das Thema Identität. „Identity“ wird künftig eine noch größere Rolle spielen, insbesondere angesichts der wachsenden Bedeutung von Cloud-Security. Während vor Ort (on-premises) meist noch klassische Active-Directory-Strukturen dominieren, verlagert sich in der Cloud vieles in neue Frameworks. Hier entstehen neue Angriffsvektoren – zum Beispiel durch Cloud-Privilege-Escalation, also das unberechtigte Erweitern von Zugriffsrechten in der Cloud. Solche Anomalien müssen erkannt und adressiert werden.
Das Schlagwort „Identity as Perimeter“ wird daher in der Branche immer wichtiger. Die Identität jedes Nutzers, jedes Systems wird zum wichtigsten Schutzwall gegen Angriffe. In diesem Bereich werden wir künftig noch deutlich mehr tun müssen, um Unternehmen wirksam zu schützen.
Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.
Be the first to comment