Der Schutz der IT wird angesichts der immer zahlreicheren Cyberattacken und unterschiedlichen Angriffstypen stetig aufwendiger. Leider erkennen Unternehmen nicht immer, ob ihre Cybersecurity-Experten überlastet sind. Laut Ontinue, Experte für Managed Extended Detection and Response (MXDR), erkennen Unternehmen an fünf Anzeichen, dass sie externe Unterstützung benötigen.
Die IT-Sicherheitslage ist ernst: Ständig tauchen neue Gefahren aus dem Cyberspace auf. Gleichzeitig wächst die Angriffsfläche von Unternehmen mit jedem neuen Endpunkt, Serverknoten oder Standort – für Hacker ein digitales Eldorado. CISOs und ihre oft kleinen Abwehrteams sind meist überfordert, und ein echtes Security Operations Center (SOC) zu unterhalten, ist vielen Unternehmen in der Regel zu teuer. Externe MXDR-Services lösen dieses Dilemma, doch wann genau lohnen sie sich? Ontinue hat eine Checkliste mit fünf Punkten vorbereitet, die auf diese Frage eine Antwort liefert.
1. Allgemeine Alarmmüdigkeit macht sich breit
Die IT protokolliert sämtliche der unzähligen Prozesse in Systemen und Anwendungen. Die Anzahl von Events, die aus verschiedenen Quellen stammen, kann sich allerdings auf hunderte Millionen summieren – jeden Tag. Deren Analyse ist von Menschenhand natürlich nicht zu schaffen, weswegen sich Sicherheitsexperten auf Tools verlassen, die bei Auffälligkeiten warnen. Freilich steckt nicht hinter jeder Meldung ein Hackerangriff, doch die Untersuchung ist in jedem Fall zeitaufwendig. Nach einer Weile setzt bei Alarmen deshalb eine gewisse Müdigkeit ein, und so steigt das Risiko, dass interne Cybersecurity-Experten kritische Schwachstellen übersehen.
2. Das Team setzt auf zu viele Tools
Eine Folge der zunehmenden Bedrohungslage ist ein Wildwuchs an Sicherheits-Tools, der in Unternehmen stattfindet. Bei fast einem Drittel sind über 50 im Einsatz, wie eine IBM-Studie von 2021 belegt – die Zahlen dürften im letzten Jahr noch gestiegen sein. Mehr ist in diesem Fall aber nicht gleich besser: Die Verwaltung so vieler Tools stresst die ohnehin schon an der Belastungsgrenze arbeitenden Cybersecurity-Teams durch unnötige Komplexität. Oft ist nicht einmal mehr Zeit für grundlegende Management-Aufgaben. Ein deutliches Warnsignal.
3. Die Reaktionsgeschwindigkeit sinkt
Hackerangriffe, mit denen sich Security-Operations-Teams konfrontiert sehen, sind deutlich raffinierter als früher. Viren und Schadsoftware nisten sich gern tief in Systeme ein, verteilen sich über das Netzwerk und warten ab, bevor sie zu einem günstigen Zeitpunkt zuschlagen. Durch Überbelastung, Alarmmüdigkeit und eine unüberschaubare Zahl von Tools sinkt die Reaktionsgeschwindigkeit bei den Attacken. Ist die Mean Time to Respond (MTTR) hoch, also braucht das Team lang, um eine Bedrohung ausfindig zu machen und Lücken zu schließen, schadet das dem Unternehmen auf sämtlichen Ebenen – und zeigt, dass externe Unterstützung nötig ist.
4. Die Kommunikation zwischen SecOps und IT leidet
Ein weiterer Indikator für eine Schieflage der Cybersecurity ist mangelnde Kommunikation zwischen dem SecOps- und dem IT-Team. In der Regel ist ein zu großer Workload der Grund dafür, dass es an dieser Stelle hapert. Die Folge ist, dass Teams sich Informationen zu Schwachstellen oder Auffälligkeiten kontextlos und ohne Priorisierung einfach zuspielen. Darunter leidet nicht nur die Stimmung zwischen den Teams, sondern auch die Sicherheit, denn je mehr Arbeit das SecOps-Team in die Recherche stecken muss, desto länger sind kritische Sicherheitslücken offen und Gefahrenlagen akut.
5. Niemand definiert messbare Erfolgsindikatoren
Ohne die nötigen Key Performance Indicators (KPIs), also Erfolgsindikatoren, ist es unmöglich, die Effizienz der eigenen Sicherheitsinfrastruktur zu messen. Cybersecurity-Teams können zudem gar nicht erfassen, an welchen Stellen Nachholbedarf besteht, wodurch sie praktisch auf der Stelle treten. Die Definition solcher KPIs ist nicht trivial und erfordert einen Blick über den Tellerrand, denn selbst wenn ein Unternehmen seine MTTR kennt, weiß es nicht unbedingt, ob der Wert gut genug ist. Diese Analyseaufgaben erfordern viel Zeit – die gerade bei IT-Sicherheitsexperten bekanntlich Mangelware ist.
„All diese Probleme sind deutliche Anzeichen für unzulängliche Sicherheitsmaßnahmen und überbelastete Cybersecurity-Teams“, warnt Jochen Koehler, VP EMEA Sales bei Ontinue. „Sollten Unternehmen feststellen, dass mindestens einer dieser Punkte auf sie zutrifft, ist es höchste Zeit, über weiteres Personal und die Gründung eines Security Operations Center nachzudenken. Wer sich das nicht leisten kann, dem helfen MXDR-Anbieter dabei, die Sicherheitsinfrastruktur zu rationalisieren und zu konsolidieren. Zudem unterstützen sie die unternehmensinternen Security-Teams bei der Definition wichtiger KPIs, der Bedrohungserkennung und der Reaktion auf Cyberattacken.“
www.ontinue.com