Managed Detection and Response
Spürhund für die IT
IT-Abteilungen in KMU sind oft stark ausgelastet. Security steht zwar auf der Agenda, fällt aber häufig hinter das Tagesgeschäft zurück. Jedoch nehmen die Bedrohungen aus dem Netz zu. Für moderne Tools wie SIEM (Security-Information- und Event-Management) fehlt es im Mittelstand meist an Ressourcen oder an Know-how, diese zu betreuen. Als Alternative für einen zeitgemäßen Schutz stehen spezialisierte Dienstleister bereit. Über sie kann ein Unternehmen MDR (Managed Detection and Response) als Service beziehen.
Die Jagdsaison ist eröffnet und Großwild steht auf der Abschussliste – allerdings nicht in tropischen Gefilden, sondern im Internet. Die angestrebte Beute sind keine Elefanten oder Nashörner, sondern hohe Lösegeldsummen. Kriminelle verlangen bei Ransomware-Erpressungen immer mehr Lösegeld für die erbeuteten Daten, beispielsweise im Sommer 2020 zehn Millionen Dollar vom Navigationsspezialisten Garmin. Oft bleibt Unternehmen nichts übrig, als zu zahlen, im schlimmsten Fall legt der Ransomware-Angriff die Produktion lahm. Dies verschlingt schnell Unsummen. Bestenfalls unterbindet man schon den Angriffsversuch. Denn sind die Hacker erst einmal im System, verschlüsselt ihre Malware die Daten schnell. Teils bleiben Angreifer auch längere Zeit inaktiv, um das System auszukundschaften, dann suchen sie nach Schwachstellen und planen ihr Vorgehen. Erwischt man sie in diesem Stadium, kann man sie möglicherweise stoppen, bevor der eigentliche Angriff beginnt. Um Angreifer aufzuspüren, kann Managed Detection and Response zum Einsatz kommen: Ein IT-Dienstleister durchforstet die Systeme, sucht nach einem Eindringling und versucht, ihn aufzuhalten.
Warum SIEM nicht reicht
Nun mag der ein oder andere sagen: „Wir haben schon eine SIEM-Lösung im Unternehmen, das reicht doch.“ Ein SIEM ist kein schlechtes System, aber man muss seine Datenbank auf Stand halten und braucht geschultes Personal, um es richtig zu nutzen. Das SIEM grast alle Logdaten angeschlossener Security-Systeme, zum Beispiel einer Firewall, ab. Dann referenziert es diese Daten mit Anomalien aus einer Datenbank. Wenn es etwas entdeckt, löst es eine Warnmeldung aus. Das SIEM bewertet aber nicht. Es arbeitet nach dem Prinzip: Wenn X auftaucht, führe Y aus. Das kann zur Folge haben, dass Warnmeldungen, von denen viele nicht sicherheitsrelevant sind, das IT-Team überfluten.
Ein Beispiel: Ein neuer Mitarbeiter hat noch nicht alle Freigaben bekommen, die er braucht. Er greift auf einen Projektordner im System zu, für den er noch nicht freigeschaltet ist. Das System wittert einen Angriff und meldet den unbefugten Zugriffsversuch. Anfangs stören solche Fehlalarme (False Positives) die zuständigen Mitarbeiter ein bisschen. Über die Zeit sind sie von diesen irrelevanten Anfragen möglicherweise so überhäuft, dass sie alle Meldungen des SIEMs nur noch überfliegen. Der eine oder andere wirklich sicherheitsrelevante Alarm ist dann schnell übersehen.
Das Security-Team entlasten
Bei Managed Detection and Response kümmert sich ein MSSP (Managed Security Service Provider) um die Benachrichtigungen. Security-Analysten bearbeiten die Alarme und aktualisieren die Anomaliedatenbanken. Solche Spezialisten können auch die Reaktionsprotokolle der Sicherheitssysteme weiterentwickeln.
Dadurch kommt es insgesamt zu weniger Fehlalarmen. Der Dienstleister betreibt ein Security Operations Center (SOC) für das Anwenderunternehmen. Level-1- und Level-2-Analysten beurteilen mögliche Sicherheitsvorfälle (Level 1) und reagieren, wenn nötig (Level 2).
Ein KMU-Geschäftsführer erwidert darauf vielleicht: „Das können meine Leute doch selbst machen. Schließlich habe ich extra IT-Mitarbeiter eingestellt, die sich mit Security auskennen.“ Doch die Arbeitslast in den IT-Abteilungen ist heutzutage enorm. Sie sollen die Infrastruktur strategisch weiterentwickeln und zukunftsfähig machen, die Produktionsabläufe am Laufen halten, die IT-Security auf den neuesten Stand der Technik bringen und im Support die Tickets der Mitarbeiter behandeln. Je komplexer und vernetzter die IT-Infrastruktur im Unternehmen ist, desto stärker ausgelastet ist die IT. Priorität hat das Tagesgeschäft. Da ist es verständlich, dass die IT-Abteilung auch mal den Dingen, die nicht direkt auf das Tagesgeschäft einzahlen, weniger Beachtung schenkt.
Dennoch sollten Unternehmen die Bedrohung, der sie sich aussetzen, nicht unterschätzen und für die Security entsprechende Ressourcen vorhalten. Der Fachkräftemangel hilft nicht gerade dabei, diese Situation zu verbessern. Ein MSSP nimmt der Unternehmens-IT mit einem MDR-Service einen Teil dieser Aufgaben ab.
- Spürhund für die IT
- Grenzen der SOAR-Tools
Lesen Sie mehr zum Thema
