Cyberangriffe werden immer komplexer und häufiger. Auch bei der besten Prävention wird es daher nie gelingen, sie alle abzuwehren. Um Schaden zu minimieren, müssen Unternehmen in der Lage sein, Vorfälle schnell zu erkennen und angemessen zu handeln. Technik alleine reicht dafür nicht aus. Genauso wichtig sind ein gut eingespieltes IDR-Team und effiziente Prozesse. 

Ohne IT geht heute in den meisten Unternehmen nichts mehr. Kein Wunder also, dass Cybervorfälle eng mit dem Risiko für eine Betriebsunterbrechung verknüpft sind. Im aktuellen Allianz Risk Barometer rangieren beide erstmals gleichauf als größte Geschäftsrisiken weltweit. Die Bedrohung ist real. 

In den vergangenen zwei Jahren verzeichnete fast jedes zweite deutsche Unternehmen Schaden durch Cyber-Angriffe, so eine aktuelle Kaspersky-Studie. Große Organisationen mit mehr als 500 Mitarbeitern waren mit 58 Prozent häufiger betroffen als kleinere und mittelständische Unternehmen (40 Prozent). Fakt ist: Je schneller man einen Sicherheitsvorfall erkennt, desto besser lässt sich der Schaden begrenzen. Bei einer zeitnahen Entdeckung sind die Kosten laut Kaspersky noch tragbar, nach einer Woche hat sich der Schaden jedoch bereits mehr als verdoppelt.

Um Cyber-Angriffe zu erkennen, wertet die Mehrheit der deutschen Unternehmen Log-Daten und Protokolle aus – 65 Prozent tun dies anlassbezogen, wenn ein Verdacht besteht, 33 Prozent grundsätzlich und systematisch. Das ergab eine aktuelle Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Rahmen der Allianz für Cyber-Sicherheit3. Notfallmanagement einschließlich regelmäßiger Übungen betreiben jedoch nur 43 Prozent. Dabei wäre genau das wichtig. Denn um Schaden zu minimieren, benötigen Unternehmen ein gut eingespieltes Incident Response Team, das im Ernstfall schnell handlungsfähig ist. Dabei stehen die Sicherheitsexperten vor wachsenden Herausforderungen. Zum einen werden Cyberangriffe immer komplexer. So zeigt die Kaspersky-Studie, dass Hacker in fast einem Fünftel der Fälle keine Spuren hinterlassen, die auf ihre Identität deuten. Das macht die Aufklärung der Angriffe schwieriger. Gleichzeitig nimmt die Zahl der Cyberattacken kontinuierlich zu, das heißt mit der fortschreitenden Digitalisierung wächst zudem die Angriffsfläche.

CYOSS führt seit 2017 regelmäßig spezialisierte Schulungen und Trainings für IDR-Teams durch. Dabei konnten wir feststellen, dass viele Unternehmen gerade bei komplexen Angriffsszenarien noch Optimierungsbedarf haben und ihr Potenzial nicht ausschöpfen. Hier kommen die zehn häufigsten Fehler, die IDR-Teams machen – und Empfehlungen, wie man sie vermeiden kann.

Top 10: Verifikation

Häufig arbeiten IDR-Teams mit SIEM-Systemen, die Log-Dateien auswerten und Alarm schlagen, wenn sie Hinweise auf Sicherheitsvorfälle entdecken. Um False Positives herauszufiltern und Alarme zu bewerten, kann es nötig sein, das Zielsystem zu untersuchen. Auf diese Weise gewinnt man zusätzliche Informationen, die die Sensoren nicht erfasst haben. Da das IDR-Team nicht selbst auf das Zielsystem zugreifen kann, muss es in solchen Fällen eng mit dem IT Operations-Team zusammenarbeiten. Der Analyst muss mit dem zuständigen Admin kommunizieren und ihn anleiten, was er überprüfen soll. Oft fehlt jedoch eine klare Schnittstelle zwischen den beiden Teams. Dadurch hängt es vom persönlichen Netzwerk und der Durchsetzungsfähigkeit des einzelnen Analysten ab, ob er eine erfolgreiche Überprüfung veranlassen kann. Zudem besteht die Gefahr, dass der der jeweilige Admin Ergebnisse nicht korrekt zurückmeldet.

Tipp: Etablieren Sie eine formelle Schnittstelle zwischen dem IT Operations- und dem IDR-Team. So können Sie Alarme schnell und zuverlässig verifizieren. Das erhöht die Fehlerentdeckungsrate und verbessert das Sicherheitsbewusstsein über die Grenzen des IDR-Teams hinweg.

Lesen Sie hier die weiteren Fehler von 9 bis 1

Incident Detection & Response: Die 10 häufigsten Fehler

Top 10 Blue Teams Fails – 2019

Deutsch, 10 Seiten, PDF 0,4 MB, kostenlos