Mehr IT-Sicherheit mit SIEM & Co.

Gezielte Cyberangriffe abwehren

2. Dezember 2022, 12:00 Uhr | André Tauber/wg
Eine selbstlernende KI hilft, Ransomware-Angriffe zu identifizieren.
© Connectware

Die weiterwachsende Bedrohung durch Cyberangriffe zählt weltweit nach wie vor zu den fünf größten Problemen für Unternehmen, die zusätzlich auch noch zwei globale Krisen und deren Folgen wie etwa explodierende Kosten und gestörte Lieferketten zu bewältigen haben. So sind viele Organisationen und Unternehmen mit dem Dilemma konfrontiert, ihr Schutzniveau erhöhen zu müssen, obwohl ihre IT-Ressourcen nach wie vor knapp sind. Gefragt sind daher IT-Security-Lösungen, die sich bedarfsgerecht, effizient, effektiv und flexibel einsetzen lassen.

Trotz einer hohen Bedrohungslage sind fast zwei Drittel aller Unternehmen unzureichend vor Cybergefahren geschützt, wie der im Mai 2022 veröffentliche DsiN-Praxisbericht ermittelte – insbesondere wenn es darum geht, gezielte Cyberangriffe zuerkennen und abzuwehren. Firewalls und Antivirenprogramme sind gegen solche gezielten Attacken wirkungslos. Rund 64 Prozent der mittelständischen und kleinen Unternehmen verfügen laut DsiN über keine Maßnahmen der Angriffserkennung.

Cyberangriffe identifizieren

Um Cyberattacken zu erkennen und abzuwehren, können SIEM-Lösungen (Security-Information- und Event-Management) als zentrale Alarmüberwachung einen wesentlichen Beitrag leisten. Damit lassen sich Cyberangriffe identifizieren, indem man Aktivitäten wie vergangene Angriffe und Ereignisse aus Logdaten nachvollzieht. Logdaten sind der Ausgangspunkt, weil jeder Benutzer oder Tracker eine virtuelle Spur in den Protokolldaten eines Netzwerks hinterlässt. SIEM-Systeme nutzen diese Protokolldaten, um Einblicke in vergangene Angriffe und Ereignisse zu gewinnen.

Für Unternehmen, die noch völlig ohne Schutz vor gezielten Angriffen sind, ist empfehlenswert, zunächst einmal ihre wichtigsten Kernprozesse und Systeme zu schützen. Zum Beispiel können sie klein starten, indem sie zunächst wichtige geschäftskritische Bereiche und Prozesse anbinden. Dazu zählen die Firewall, um sich nach außen abzusichern, die E-Mail-Kommunikation sowie das Active Directory, um die Zugriffsberechtigungen auf wichtige Ressourcen zu überwachen. Später lässt sich eine SIEM-Lösung je nach angestrebtem Niveau bei Bedarf erweitern. So könnten zum Beispiel Produktionsbetriebe darüber hinaus auch ihre ERP- und Logistiksysteme absichern.

Erkennen, überwachen und alarmieren

In einer ersten Phase sollte ein SIEM-System informieren, was passiert ist, die Ursachen analysieren, Schlüsse ziehen und Berichte nach Datenschutzstandards wie der DSGVO erstellen. In den folgenden Phasen geht es darum, Anomalien zu erkennen, damit einhergehende Risiken zu bewerten und schließlich mit Maßnahmen reagieren zu können. Sobald das SIEM-System eine Bedrohung identifiziert, kommuniziert es mit anderen Sicherheitssystemen auf dem betroffenen Gerät, um die unerwünschten Aktivitäten zu stoppen.

Das Zusammenführen samt Konsolidieren von Daten in einem SIEM-System umfasst auch den Vergleich mit zuvor aufgezeichneten Daten. Das SIEM-System kann dann Muster von bösartigem Verhalten erkennen und Benachrichtigungen ausgeben, um den Benutzer zum Handeln aufzufordern. Analysten können diese Daten dann durchsuchen und neue Kriterien für zukünftige Warnungen definieren. Dies trägt dazu bei, dass das System lernen und Abwehrkräfte gegen neue Bedrohungen entwickeln kann.

Anbieter zum Thema

zu Matchmaker+

  1. Gezielte Cyberangriffe abwehren
  2. Verhalten und Anomalien analysieren

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Connectware

Weitere Artikel zu Security-Management

Weitere Artikel zu Razorcat

Weitere Artikel zu RPV - Rainer Pahl Distribution

Weitere Artikel zu Kriminologisches Forschungsinstitut Niedersachsen

Matchmaker+