Gehackte Online-Shops, geknackte Email-Accounts, unbefugte Kontozugriffe - zwei Drittel aller Unternehmen in Deutschland sind alleine im vergangenen Jahr Opfer einer Cyberattacke gewesen. Die Bedrohungen nehmen zu - nicht nur quantitativ, sondern auch hinsichtlich ihrer Komplexität. Security Operations Center (SOC) setzen hier an, sollten aber nach Ansicht von Frank Stoermer, Senior Security Architect bei HP Enterprise Security Services, mehr umfassen als Technologien, Tools und Managed Services.
Foto: HP Deutschland
Herr Stoermer, spätestens seit der NSA-Affäre müssten doch alle Unternehmen wachgerüttelt sein und das Thema IT-Security mit Nachdruck angehen. Wie schätzen Sie die aktuelle Lage ein?
Frank Stoermer: Die Unternehmen sind natürlich stark sensibilisiert und investieren auch jedes Jahr mehr in ihre IT-Sicherheit. Doch die Gefahr von Cyberattacken sowie die damit verbundenen Risiken sind noch lange nicht gebannt, wie Studien zeigen. So verlassen sich laut der von HP in Auftrag gegebenen Ponemon-Studie "Live Threat Intelligence Impact Report 2013" immer noch 35 Prozent auf ihre Intuition oder ihr Bauchgefühl bei der Frage, ob ihre Organisation attackiert wird. In der gleichen Studie geben 57 Prozent an, dass ihre Bedrohungsintelligenz zu alt ist, um sich darauf wirklich verlassen zu können.
Wie real sind die Bedrohungen denn?
Frank Stoermer: Cyberkriminalität kostet deutsche Unternehmen im Schnitt 5,7 Millionen Euro pro Jahr, hat die Ponemon-Studie ermittelt. Im Schnitt verzeichnete jedes in der Ponemon-Studie untersuchte Unternehmen im vergangenen Jahr 1,3 erfolgreiche Angriffe pro Woche. Dies entspricht einem Anstieg von 21 Prozent gegenüber 2012. Dabei ist es längst nicht mehr die Frage, ob ein Unternehmen von einer Attacke betroffen sein könnte, sondern wann es passiert sowie ob und wann man es wahrnimmt. Der 2013 Threat Report von Mandiant zeigt, dass im Mittel 243 Tage vergehen, bevor Organisationen Angreifer in ihren Netzwerken entdecken. Die Zahl der Tage ist im Vergleich zu 2011 zwar um 173 gesunken. Aber machen wir uns nichts vor: 243 Tage sind immer noch viel zu viel. In dieser Zeit können die Angreifer in aller Ruhe Daten im Unternehmen abgreifen - ohne dass es bemerkt wird. Denn im Gegensatz zu anderen Diebstählen bleibt das Diebesgut ja weiterhin im Unternehmen. Wegducken und hoffen, dass es die eigene Organisation nicht trifft, reicht also schon lange nicht mehr.
Nun investieren die Unternehmen immer mehr in ihre Cybersicherheit - und dennoch steigt gleichzeitig das Gefährdungspotenzial. Was läuft somit schief?
Frank Stoermer: Ich weiß aus vielen Gesprächen: Es mangelt in der Praxis nach wie vor an präventiven Maßnahmen. Es werden viele Tools und Technologien eingesetzt. Doch meist handelt es sich um reaktive Maßnahmen, mit denen man den Cyber-Kriminellen auf Dauer nur hinterherlaufen kann. Für die Bedrohungen und Anforderungen von morgen ist man damit nicht gut aufgestellt. Denn Cyberkriminelle entwickeln immer neue intelligente Methoden, um an Daten zu gelangen, sind also immer einen Schritt voraus. Gleichzeitig stehen Unternehmen auch künftig vor der Herausforderung, mit ihren Sicherheitsstrategien Antworten auf Compliance-Anforderungen und neue technische Entwicklungen zu haben. Ich denke da nur an das Thema Industrie 4.0, das durch das stärkere verteilte Arbeiten ganz neue, komplexe Anforderungen an die IT-Sicherheit stellen wird.
Was raten Sie Unternehmen, um für diese Herausforderungen gewappnet zu sein?
Frank Stoermer: Ich empfehle ein Private Security Operations Center, kurz SOC, sozusagen eine Komplettlösung, die Technologie, Mitarbeiter, Informationen sowie Richtlinien und Prozesse gleichermaßen umfasst.
HP SOC: Technik und Funktionsweise
Security Operations Center sind in der Branche derzeit in aller Munde. Wie sollten sie Ihrer Meinung nach aufgebaut sein?
Frank Stoermer: Wir favorisieren bei HP einen umfassenden Ansatz: Es darf nicht alleine darum gehen, Technologien inhouse zu implementieren oder einen Dienstleister in Anspruch zu nehmen, der die Infrastruktur rund um die Uhr überwacht. Security Operations Center ist kein reines IT-Thema für das Top-Management und die gesamte Organisation. Da braucht es Management-Entscheidungen genau so wie definierte Rollen und Prozesse. Ich gebe Ihnen ein Beispiel dafür: Ein international tätiges Unternehmen, das massiv aus Fernost angegriffen wurde, wusste sich in seiner Verzweiflung und Hilflosigkeit keinen anderen Rat, als die Internet-Verbindungen für einige Tage lahm zu legen. Dass eine solche Entscheidung fatal gewesen wäre für das Unternehmen, muss ich wohl nicht betonen. Aber ich will hier auf einen anderen Punkt hinaus: Für einen solchen Fall, der die Existenz des Unternehmens auf Spiel setzt, muss im Rahmen des SOC ein Notfallplan im Sinne von Desaster Recovery greifen.
Was heißt das in dem Fall?
Frank Stoermer: Im Notfallplan muss geklärt sein: Wer trifft welche Entscheidungen? Im konkreten Beispielfall muss also klar sein: Fällt der Netwerkmanager, der Sicherheitsverantwortliche oder aber - was am wahrscheinlichsten ist - die Geschäftsführung die Entscheidung, dass - wenn überhaupt - die Internet-Verbindung gekappt wird? Das SOC definiert eine individuelle Eskalationsmatrix für jedes Unternehmen, die den Schweregrad von Security-Vorfällen, aber auch Kriterien wie die möglichen Auswirkungen auf das Business, die Bedeutung einzelner Märkte und eventuelle Meldepflichten berücksichtigt.
Spielt die Technik beim SOC denn eine völlig untergeordnete Rolle?
Frank Stoermer: Nein, die Technik - hier vor allem Security Event Management und Integrated Threat Intelligence - ist absolut notwendig. Aber sie muss eben auf die Cybersecurity-Strategie eines Unternehmens abgestimmt sein. Viele Unternehmen fühlen sich an dem Punkt von Beratern im Stich gelassen, die nur die Risiken und Schwachstellen identifizieren, aber keine Hilfestellung bei der technischen Umsetzung von Lösungen leisten. Umgekehrt helfen auch rein technische Lösungen nicht weiter, weil jedes Unternehmen die notwendigen Maßnahmen vorher priorisiert haben muss. Insofern sollte ein SOC immer die Schnittmenge aller Punkte umfassen.
Das klingt aufwändig. Wann sollte ein Unternehmen ein SOC selbst aufbauen - oder wann sollte es dafür einen Dienstleister beauftragen?
Frank Stoermer: Tendenziell gilt: Je kleiner ein Unternehmen und dessen Personalstamm, desto schwerer tut es sich, ein SOC mit den notwendigen Prozessen aufzubauen und diese Prozesse auch zu leben. Außerdem muss ein SOC muss rund um die Uhr an 365 Tagen laufen. Angreifer kennen weder Wochenende noch Weihnachtspause. Die DAX-30-Unternehmen verfügen Stand heute alle über ein eigenes SOC - allerdings mit unterschiedlichen Reifegraden, etwa was die Abdeckung der elementaren Prozesse betrifft. Auch ist die Technik oft vorhanden, wird aber nicht richtig eingesetzt. In dem Fall hilft ihnen eine Beratung dahingehend, wie sie die vorhandenen Komponenten richtig orchestrieren können, um ihre Ziele zu erreichen. Andere Unternehmen wiederum betreiben ein SOC nur in Deutschland, obgleich sie weltweit tätig sind. Da macht es Sinn, diese Tätigkeiten an einen externen Dienstleister auszulagern. Dies ist auch für einen bestimmten Zeitrahmen möglich, etwa wenn eine Tochtergesellschaft im Ausland in absehbarer Zeit geschlossen werden soll. In dieser Zeit des Übergangs ist das Gefährdungspotenzial von innen sehr hoch. Das Thema Outsourcing kann an dem Punkt sehr granular und individuell angegangen werden.
HP betreibt derzeit für Kunden weltweit acht SOC. Welchen Vorteil haben sie für die Kunden?
Frank Stoermer: Wir verfügen hier über einen großen Pool von IT-Security-Experten, die nicht zuletzt durch die Forschungsaktivitäten seitens HP in diesem Bereich über ein riesiges Know-how mit großem Blickwinkel verfügen. Selbst ein weltweit tätiges Unternehmen hat immer nur einen eingeschränkten Blickwinkel. Beispielsweise wenn es darum geht, einen externen Angriff einzuordnen: Lief ein Angriff, den es gerade entdeckt, auch schon bei anderen Firmen? Handelt es sich um eine ungerichtete Kampagne oder einen Schadcode, der noch nirgendwo anders aufgetreten ist? Hat es der Angreifer somit ganz gezielt auf unsere Daten abgesehen? Wenn man über diese Informationen verfügt, dann kommt man gegebenenfalls zu einer ganz anderen Risikoeinstufung.
IT-Security Facts
Einige Fakten und Zahlen zum Thema Cybersicherheit aus dem Live Threat Intelligence Impact Report 2013 des Ponemon Institute, der im Auftrag von HP erstellt wurde:
-
Die untersuchten Unternehmen haben in den zwölf Monaten vor der Studie durchschnittlich 10 Millionen Dollar ausgegeben, um die Auswirkungen von Cyberattacken in den Griff zu bekommen.
-
Unternehmen, die über Intelligenz zur Früherkennung verfügen, sodass sie innerhalb von 60 Sekunden reagieren konnten, konnten den Schaden auf 4 Millionen Dollar reduzieren.
-
60 Prozent sagen, dass sie Angriffe nicht stoppen konnten wegen veralteter oder unzureichender Threat Intelligence.
-
Nur 10 Prozent wissen mit absoluter Sicherheit, dass eine Cyberattacke stattgefunden hat.
-
Für die Identifizierung von Gefährdungen benötigen 23 Prozent nach eigener Auskunft bis zu einem Tag, 49 Prozent sogar zwischen einer Woche und einem Monat.
HP Private Security Operations Centre
Das HP Private Security Operations Centre ist auf die spezifischen Anforderungen von Organisationen abgestimmt und führt durch folgende Aufgaben:
Cyber Readiness Assessment: Der erste Schritt besteht aus einer vollständigen Bewertung der aktuellen Umgebung. Das Ergebnis ist ein Architekturkonzept und -modul mit zusätzlichen Sicherheitskontrollen auf mehreren Ebenen, das an die jeweilige Umgebung und spezifischen Anforderungen angepasst ist.
Security Event Management: Diese Funktion überwacht Sicherheitswarnmeldungen und -vorfälle, die im Netzwerk des Unternehmens auftreten, setzt diese Vorfälle in Beziehung zueinander, analysiert sie und sorgt für eine zeitnahe Problembehandlung - diese Vorgänge werden alle in einem effizienten geschäftlichen Framework verwaltet.
Integrated Threat Intelligence: Das System sammelt Informationen zu potenziellen Bedrohungen und Schwachstellen der Informations-Assets im Unternehmen. So können anschließend die Glaubwürdigkeit und Zuverlässigkeit der Informationen bewertet, Informationen analysiert, relevante Bedrohungen und Schwachstellen bewertet werden und es kann sichergestellt werden, dass geeignete Maßnahmen ergriffen werden, um diese Problembereiche zu vermeiden und verwalten.
Security Operations Workflow: Das geschäftliche Framework dieser Funktion ist auf branchenspezifische Best Practices abgestimmt und bietet einen standardisierten Workflow für das Management und die Metriken der Sicherheitsverfahren. So können in schnellen und sorgfältigen Prozessen und Verfahren zur Vorfallsbearbeitung Bedrohungen thematisiert, Ausfallzeiten minimiert und Risiken reduziert werden.
Dashboard Reporting: Mit den integrierten Dashboards für Betriebsabläufe und Verwaltung bietet diese Funktion Transparenz für den aktuellen Status des Sicherheitsrisikomanagements im Unternehmen, einschließlich spezifischer Business-Relevanz.