Dank Digitalisierung und Vernetzung wird das Thema IT-Security noch wichtiger als es bisher schon war. Wie Unternehmen resilienter werden und trotz Fachkräfte- und Knowhowmangel Cyberangriffen vorbeugen sowie schneller reagieren können, diskutierten fünf Experten bei einem Round Table von ITWelt.at. [...]
Kann und soll Security ausgelagert werden – Stichwort Managed Security – und für wen kommt das in Frage? Und können Managed Services helfen, den Fachkräftemangel abzufedern? Im Round Table von ITWelt.at, der in den Räumlichkeiten des Cybersecurity-Spezialisten Infinigate im Wiener Stadtteil Hirschstetten stattfand, diskutierten fünf Security-Experten entsprechende Konzepte und Technologien und wie diese in KMU und Großunternehmen umgesetzt werden können.
Unübersichtliche Bedrohungslage
Die aktuelle Bedrohung, der Unternehmen ausgesetzt sind, ist ein vielseitiges Konglomerat aus unterschiedlichen Aspekten. Engin Akdeniz, Security Engineer bei Vectra, listet sie auf: da wäre zunächst die verschiedenen Angriffsmethoden, allen voran Ransomware, dann der Fachkräfte- und Knowhowmangel, die mangelnde Awareness sowie natürlich die überbordende Komplexität. »Allein die schiere Menge macht es schwierig für Unternehmen, sich vor Bedrohungen zu schützen«, fasst Akdeniz die Situation zusammen. Martin Walzer, Director Sales Engineering DACH bei Cybereason, ergänzt das Szenario um die fehlende Sichtbarkeit der Angriffe im Unternehmen, zudem seien viele Unternehmen nach wie vor in Silos organisiert, die wenig zusammenarbeiten.
Auch Patrick Schmeier, Strategic Partner Development Manager bei Barracuda, wünscht sich, dass die verschiedenen Abteilungen miteinander sprechen. Zudem erinnert er daran, dass es keine Perimeter mehr gebe. »Die Daten liegen überall, sie müssen schnell verfügbar sein, sie müssen in der Cloud verfügbar sein und on-premise, und dementsprechend ist das Ausmaß verheerend, wenn man hier irgendwann den Überblick verliert, wo die eigenen Daten überhaupt liegen.«
Josef Meier, Director Sales Engineering EMEA bei Rapid7, konstatiert neben der hohen Komplexität – »für jedes Problem gibt es unterschiedliche Lösungen, die nicht miteinander sprechen« – und dem Fachkräftemangel – »allein in der DACH-Region fehlen 150.000 bis 160.000 Fachkräfte« – eine völlig disruptive Situation im Bezug auf den Angriffsvektor. Die Cloud, Bring-your-own-device und viele Varianten mehr erhöhen die Angriffsfläche.
Sascha Zillinger, Territory Manager Austria bei Kaspersky Labs, sieht die Bedrohungslage ähnlich, ergänzt diese aber um den Aspekt des rechtlichen Rahmens, der beispielsweise in Bezug auf künstliche Intelligenz nicht vorhanden ist. Hier sei der Gesetzgeber im Hintertreffen und handle immer erst dann, wenn bereits etwas passiert ist. Das müsse man, so Zillinger, in den Griff bekommen, damit man künftig rascher handeln kann.
Compliance als Ausgangspunkt für Security?
Auf die Frage, ob Compliance, also gesetzliche Vorgaben, vielleicht das sicherheitstechnische Fundament eines Unternehmens bilden und in diesem Sinne eine Hilfe für Securitymaßnahmen sein könnten, reagieren die Diskutanten eher skeptisch. Zwar begrüßt Josef Meier Compliance als ein durchaus wichtiges Thema, doch schränkt auch er ein, dass Compliance nichts über die Qualität der verwendeten Lösungen aussage. Martin Walzer wiederum sieht in Complianceregeln eher eine Grundlage und nicht das Ziel. Nur compliant zu sein, reiche nicht. Patrick Schmeier bewertet Compliance-Regularien als wichtiges, aber auch leidiges Thema, insbesondere was den kleineren Mittelstand angeht. Hier helfen jedoch die Partner von Barracuda mit verschiedenen Maßnahmen, »indem sie die Schritte dokumentieren, begleiten und Empfehlungen passend auf die jeweilige Unternehmensgröße aussprechen«. Insbesondere für den Mittelstand komme belastend hinzu, wie Sascha Zillinger anmerkt, dass Compliance viel Geld kostet.
Sehr skeptisch sieht Engin Akdeniz dieses Thema, wenn er sagt: »Meine Beobachtung und Erfahrung ist: Je stärker reguliert wurde, umso weniger haben sich die Unternehmen in genau diesem Bereich um das Thema gekümmert.« Die Unternehmen mögen zwar compliant sein, aber nicht sicher, so Akdeniz.
Insbesondere für den Bereich der kritischen Infrastruktur (KRITIS) sind die rechtlichen Vorgaben sehr strikt, wie Josef Meier erklärt und daraus ergeben sich weitere Herausforderungen. Meier nennt ein Beispiel: Der IT-Verantwortliche eines kleinen Unternehmens mit 50 Mitarbeitern weiß um seine Cyberrisiken, hat aber nur ein begrenztes Budget. Er ist für die Security verantwortlich und kann sich bewusst entscheiden, ein gewissens Risiko in Kauf zu nehmen, zum Beispiel den Ausfall eines Servers und damit auch der Produktion für sechs oder sieben Stunden. Das ist eine unternehmerische Entscheidung.
»Diese Möglichkeit habe ich im KRITIS-Umfeld nicht«, betont Josef Meier. Man denke nur an einen Bürgermeister einer 10.000-Einwohner-Gemeinde, dem geraten wird, er möge ein Security Operations Center (SOC) implementieren. Er wird nicht wissen, was das ist und warum er das braucht und deswegen kein Geld dafür freigeben, aber er muss diesem KRITIS-Anspruch genügen. Hier gibt es keine Flexibilität, wie Meier weiß. Doch sowohl für das kleine Unternehmen als auch den Bürgermeister und seine Gemeinde gibt es eine Lösung: Managed Services. Meiers Fazit: »Wenn es also an Manpower und Knowhow fehlt und es trotzdem gemacht werden muss, sind Managed Services das Gebot der Stunde – und letztendlich auch eine kostengünstige Lösung.«
Dennoch: Ob die Bedrohungslage tatsächlich schon bei allen Unternehmen angekommen ist, davon sind nicht alle Diskussionsteilnehmer überzeugt. Martin Walzer verweist darauf, dass die Unternehmensgröße einen riesigen Unterschied in Sachen Security mache: »Große Unternehmen mit Aufsichtsräten und Vorständen haben extra Abteilungen, die sich mit Bedrohungsszenarien auseinandersetzen. Da wird generell eine Risikobewertung durchgeführt. Bei kleineren und mittelständischen Unternehmen kommt es wiederum darauf an, ob diese zufällig in der IT- oder Elektronikbranche arbeiten und daher vielleicht etwas weiter in Compliance-Dingen sind als andere Firmen aus anderen Sektoren.« Außerdem komme es darauf an, inwieweit das Unternehmen einen speziell für Compliance-Angelegenheiten Zuständigen habe, so Walzer, oder ob Compliance »einfach beim Geschäftsführer hängen bleibt, weil dieser ohnehin für alles verantwortlich ist«.
In Österreich sei die Bedrohungslage angekommen, bewertet Sascha Zillinger die heimische Situation, jedoch sei es typisch für Unternehmen im größeren Mittelstand – das sind in Österreich Betrieb mit unter tausend Beschäftigten – nur ein, maximal zwei Mitarbeiter zu haben, die für die ganze Security verantwortlich sind. Das könne natürlich nicht funktionieren, so Zillinger, insbesondere weil österreichische Klein- und Mittelstandsbetriebe – anstatt sich die Expertise und das Wissen von Security-Anbietern zu holen – lieber versuchen alles alleine zu meistern. Österreich sei eben »ein sehr reaktives Land«, beschreibt Zillinger die hiesige KMU-Landschaft, wo »erst etwas passieren muss, bis man reagiert«.
Der irrige Annahme kleiner Unternehmen, dass sie nicht betroffen seien, tritt Patrick Schmeier vehement entgegen. »Das ist falsch!«, sagt er, »Unternehmen jeder Größe sind gefährdet.« Zudem werde Security stets mit Technik assoziiert, fügt Schmeier hinzu, »aber es fängt ja schon damit an, ob ich den Serverraum abschließe oder nicht«. Hier müsse der Fokus auf Awareness gelegt werden.
Engin Akdeniz verweist darauf, dass man generell die Verantwortlichen im sogenannten C-Level verortet, aber oft sitzen sie, so der Security Engineer und studierte Data Scientist, sogar noch eine Stufe höher: die Rede ist von den Verwaltungsräten in den Organisationen. »Diese tragen die Verantwortung, kennen aber sehr oft die Realität in ihrem Unternehmen nicht«, sagt Akdeniz, »da sie den Fokus fast ausschließlich auf Benchmarks, Compliance-Anforderungen, KPIs legen.«
»Warum sind also Ransomware-Attacken erfolgreich?«, fragt Josef Meier: »Es ist ja nicht so, dass keine Security-Maßnahmen da waren. E-Mail-Security, Best-of-breed hat ja jahrelang funktioniert. Trotzdem ist es passiert.« Das habe nichts damit zu tun, dass die Lösungen schlecht seien, so Meier weiter, sondern die Angreifer hätten mittlerweile die Lücken dazwischen gefunden. Es sei ein ewiges Katz- und Maus-Spiel zwischen Angreifern und Verteidigern. Deswegen, so Meier, »muss ein Ablauf geschaffen werden, der klärt, was zu tun ist, wenn es passiert. Es gilt, die Resilienz gegenüber Cyberattacken zu stärken, sodass, wenn etwas passiert, es nicht existenzbedrohend wird«.
Um herauszufinden, wo die Schwachstellen eines Unternehmens liegen, empfehlen alle Experten des Round Table unisono Pentesting, also das Unternehmen einem realen Test zu unterziehen. Damit könne man eine Ist-Situation erstellen, der man dann mit Schwachstellen- oder Patch-Management begegne, sagt Sascha Zillinger.
Dass sich die Bedrohungen jeden Tag ändern können, darauf verweist Martin Walzer. Deswegen sei das Security-Thema ein Prozess im Unternehmen, der jeden Tag bearbeitet werden muss. »Das ist kein Event, wo man einmal etwas getan hat und danach ist alles erledigt und man ist sicher. Security muss ständig überprüft werden.«
Ein weiteres Thema ist hier Threat Management. Beispielsweise stellt Kaspersky Labs Funktionalitäten und Informationen für Unternehmen zur Verfügung, die weder die Möglichkeiten noch die Manpower dahinter haben, sich die Informationen rechtzeitig zukommen zu lassen, damit sie dann im Falle einer anrollenden Attacke möglichst rasch reagieren können.
Alles in allem seien Schwachstellen-Management, Threat Intelligence und ein risikobasierter Ansatz wichtige Ingredienzien, die man in die Security-Strategie aufnehmen sollte, fasst es
Josef Meier zusammen.
Zu komplex, zu wenig Personal
Eine zu hohe Komplexität und ein akuter Fachkräftemangel sind eine gefährliche Kombination, wie Patrick Schmeier anhand aktueller Zahlen anschaulich zeigt: »2,7 Millionen Fachkräfte fehlen weltweit im IT-Security-Bereich. Sieht man sich eine Umgebung mit 150 bis 200 Clients an und beobachtet, was in einem Quartal alles an Ereignissen zusammenkommt – das kann das Öffnen einer Webseite beziehungsweise einer E-Mail sein oder ein Download – dann sprechen wir von 94 Millionen Events im Quartal. Selbst wenn ich das Geld dafür aufbringen, eine Person einstellen und 94 Millionen Events kontrollieren möchte: Ich finde niemanden.« Deswegen könne diese Situation nur mit Managed Services gelöst werden, wo sich natürlich, wie Schmeier nicht vergisst hinzuzufügen, »ein Riesenpotenzial für die Partner erschließt, weil sie auf bestehende Ressourcen zurückgreifen und trotzdem ihre Kunden bedienen und absichern können.«
Auch Martin Walzer ist überzeugt, dass Managed Services hier das Gebot der Stunde sind. Darüberhinaus fordert er jedoch Systeme, die einfacher zu bedienen sind. Er vergleicht das mit der Entwicklung des Autos: War zu Beginn des vorigen Jahrhundert das Starten und Fahren eines Autos eine richtig komplizierte Sache, so muss man sich heute nur in ein Auto setzen und den Schlüssel umdrehen, oftmals gar nur einen Knopf drücken und der Wagen ist fahrbereit. Ähnlich sollte es, so Walzers Forderung, im Security-Bereich sein. Wobei er schon betont: »Nur weil das System einfach zu bedienen ist, heißt das aber nicht, dass es jeder bedienen kann. Man muss trotzdem ein gewisses Knowhow und Wissen mitbringen.« Ist dieses nicht vorhanden, können bei Managed Services hier Partner einspringen. Mit Automatisierung könne sehr viel umgesetzt werden, dennoch schränkt Walzer ein, »dass nicht jedes System automatisch mit jedem anderen vernetzt werden kann. So weit sind wir noch nicht, dass dies alles automatisch geht, ohne dass ein Experte das überblickt«.
Dennoch, redet auch Engin Akdeniz der Automatisierung das Wort, »Unternehmen aller Art, inklusive kritische Infrastrukturen werden sich damit anfreunden müssen, dass gewisse Response-Aktivitäten automatisiert ablaufen«.
Managed Services sind auch eine sehr gute Antwort auf den Fachkräftemangel, ist Josef Meier überzeugt. Meier: »Es verdienen ja keine Bäcker, keine Steuerberater irgendeinen Cent mehr, weil sie Cybersecurity machen. Das muss man ganz klar sagen. Managed Services ermöglichen, sich auf die Kernkompetenzen zu konzentrieren. Wer sich heute ein Auto kauft«, bringt Meier ein plakatives Beispiel, »der baut sich zuhause auch keine Autowerkstatt auf, sondern bringt es in eine Werkstatt. Denn nicht das Reparieren, sondern das Fahren ist hier die Kernkompetenz«. So sollte es auch in der Cybersecurity sein, wünscht sich Josef Meier.
Engin Akdeniz betrachtet das Verringern des Fachkräftemangels zunächst als eine Prozessfrage. Im Incident-Response-Bereich gebe es angefangen von Monitoring, Detection, Triage bis hin zur effektiven Response durchaus Themen, die man auslagern könne. Darüberhinaus seien Schnittstellen wichtig, und, »dass diese Schnittstellen der Plattform, die Schnittstellen der verschiedenen Sicherheitslösungen, miteinander interagieren«, was sie aber laut Akdeniz bis dato nur ungenügend tun würden. Würde das funktionieren, dann, so Akdeniz, »bräuchte vielleicht nicht jedes Unternehmen allein einen Vollzeitangestellten, um Sicherheitslösungen zu betreiben, weil diese dann eben out-of-the-box funktionieren würden«. Dies könnte den Mangel an Fachkräften weiter entschärfen.
Wobei das mit dem Fachkräftemangel so eine Sache ist. »Experten und Spezialisten wird es nie genug geben – und es ist dabei völlig egal in welchem Bereich«, konstatiert Martin Walzer. Topexperten für ein SOC könne man nicht gemeinhin unter »Fachkräftemangel« subsumieren, erklärt Martin Walzer, da es sich hier um eine stets rare Gattung von Spezialisten handelt, die immer gesucht werden – und das weltweit.
Schneller werden
Die Mittel im Kampf gegen Cybercrime – und da sind sich alle Experten einig – sind wie schon beim Fachkräftemangel Automatisierung und künstliche Intelligenz. Viele Analysten in den Betrieben wüssten gar nicht wie das Unternehmen funktioniert, ist Engin Akdeniz überzeugt. So kann es vorkommen, dass sie ein Signal als bösartig einstufen und es triagieren, um dann nach geraumer Zeit festzustellen, dass doch nichts dahinter war. Natürlich könne man, räumt Akdeniz ein, Analysten dahingehend schulen, jedoch sei es leichter, so etwas in Algorithmen zu fassen und durch Software zu hinterlegen, um die Analyse zu unterstützen. Letzlich brauche es automatiserte Detektionslösungen, sowohl in der Cloud, als auch beim Endpunkt oder im Netzwerk, resümiert Akdeniz.
Auch für Patrick Schmeier geht es primär darum, mit KI Anomalien festzustellen. Zudem müssen man die Informationsflut so regeln, dass der Admin nur das zu Gesicht bekommt, was für ihn wichtig sei, damit er mehr Zeit habe für die wesentlichen Dinge. Schmeier: »Klar haben wir die Events, aber der Admin braucht nicht jedes Event.«
Ohne Deep Learning wird auch für Martin Walzer das angestrebte Ziel, Cyberangriffe zu erkennen, bevor sie stattfinden, nicht erreicht werden können. Zudem versuche man auch die Load zu verringern. »Das heißt bei uns ›Malicious Operation‹. Wir erzeugen keine Events und Alerts. Wir haben zwar diese Events und Alerts, aber wir melden dem Admin eben im Endeffekt nur den kriminellen Vorgang, die malicious operation.«
Für Josef Meier ist KI ein zentraler Baustein im Bereich der Angriffsserkennung sowie im Bereich User Behavior Analytics. Wobei eine KI für Meier sicher am effektivsten sei, wenn es sich um eine unsupervised artificial intelligence handle. Denn nur so könne das komplette Potenzial einer KI ausgeschöpft werden. »Bei dem Gedanken einer unbegleiteten KI wird Vielen angst und bange und das wird auch in wissenschaftlichen Kreisen kontrovers diskutiert«, ist sich Meier der Radikalität dieser Forderung durchaus bewusst. Die Frage sei nun, ob man diesen Schritt wagt. Unsupervised oder nicht – für Meier liegt die Zukunft jedenfalls in automatisierten Antworten einer KI auf Bedrohungsszenarien.
Der Trend bei Security-Lösungen in Richtung mehr KI ist auch für Sascha Zillinger unumgänglich. Jedoch betont er die Wichtigkeit, dass die letzte Instanz ein Mensch sei, der die Arbeit der KI verfolgt und bei nicht eindeutigen Resultaten entscheidet.
Be the first to comment