Irrtümer im Cyber Security Informationssicherheit SOC Cyber Security Operations Center

Irrtümer

Managed SOC Cyber Security Operations Center CSOC IDS SIEMSOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT BonnSOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT Bonn10 Tipps für mehr Cyber Security - SOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT BonnSOC Cyber Security Operations Center CSOC synalis dhpg HUBSOC Cyber Security Operations Center CSOC synalis dhpg IT Köln IT Bonn

Vermeintliche Sicherheit: Warum der Schutz durch Firewall und Virenscanner ein Trugschluss ist

„Technologien geben Deutschen Unternehmen ein falsches Gefühl von IT-Sicherheit“ – das ist das Resultat der Live Security Studie 2017/2018, S. 12. Diese Studienergebnisse erklären auch die Diskrepanz zwischen Schutzmaßnahmen und aktiven Frühwarnsystemen, welche Unternehmen zu schnellen Reaktionen befähigen.

Trotz klaren Empfehlungen des BSI für erweiterte Schutzmaßnahmen gegen Cyberattacken begegnen den Zahlen nach viele Unternehmen einem IDS/CSOC (SOC) mit Skepsis. Viele Unternehmen haben Fragen,  was die Notwendigkeit, Effizienz oder technische Anforderungen anbelangt.

%

der Unternehmen nutzen Firewall  & Virenschutz


versus

%

der Unternehmen setzen ein Frühwarnsystem ein

Die Empfehlungen des BSI:

Das Bundesamt für Sicherheit in der Informationstechnik gibt zum Thema Cyber Security eine klare Empfehlung für Unternehmen ab und rät für eine erfolgreiche Abwehr von Bedrohungen deshalb zu Erweiterungen des Basisschutzes; ebenso zur Sensibilisierung aller Unternehmensmitarbeiter für einen umsichtigen Umgang mit Mails und unbekannten Dateien:

„Klassische, signaturbasierte AV-Produkte bieten nur einen Basisschutz vor Schadprogramminfektionen, da neue Schadprogrammvarianten schneller erzeugt werden, als sie analysiert werden können. Schadprogramm-Spam-Wellen sind oft schon beendet, bevor neue AV-Signaturen erstellt und eingespielt werden konnten.“ (Die Lage der IT-Sicherheit in Deutschland 2017, BSI, S. 22)

„Auf klassische AV-Lösungen und Firewalls allein sollten sich IT-Administratoren daher nicht verlassen, sondern IT-Sicherheit als Gesamtkonzept unter Einbeziehung der Nutzer umsetzen.“ (Die Lage der IT-Sicherheit in Deutschland 2017, BSI, S. 23)

Die häufigsten Fragen und Meinungen

Wir haben häufig gestellte Fragen  (siehe auch FAQ) für Sie zusammengestellt  und zeigen Ihnen, an welchen Stellen Sie vom CSOC (SOC) profitieren.

„Eine aktuelle Firewall schützt mein Unternehmen. Was kann noch passieren?“

Als Basisschutz soll die Firewall vor unerwünschten Netzwerkzugriffen (Hacking) schützen. Das geschieht durch hinterlegte Regeln, die vorgeben, wie und über welche Kanäle kommuniziert werden darf.

Das Problem: Die Angriffe aus dem Netz werden immer komplexer und tückischer und die Firewall kann nicht mehr jedes Angriffsszenario erkennen. Wurden für neue Szenarien noch keine Regeln hinterlegt oder sind sie ausreichend gut getarnt und scheinbar harmlos, so lässt die Firewall sie gegebenenfalls durch.

Hat sie hingegen einen Angriff erkannt, gibt es häufig Schwierigkeiten bei der fachmännischen Auswertung der Ergebnisse mit der Folgefrage, was konkret zu tun ist. Firewalls schützen zwar in der Regel vor Cyberattacken – aber bei Phishing-Mails können auch sie nichts mehr ausrichten. Lädt der Mitarbeiter einmal einen schädlichen Anhang herunter, dann ist die infizierte Datei bereits auf dem Rechner und somit schon an der Firewall vorbei.

„Ich habe erst eine Versicherung gegen Cyberkriminalität abgeschlossen. Bei einem Angriff bin ich zumindest finanziell geschützt.“

Eine Cyber-Versicherung ist sicherlich eine sinnvolle Ergänzung, wenn es doch einmal zum Schadensfall und einer Betriebsunterbrechung kommen sollte. Die abgeschlossene Police hilft dabei, den Schaden zu reduzieren und gibt Sicherheit.

Das Problem: Wie bei allen Versicherungen gilt, dass sie keinen Ersatz für Schutzmaßnahmen darstellen: Selbst wenn die Versicherung greift und dem Unternehmen die Kosten für den Betriebsausfall und Ansprüche von Dritten (etwa von Lieferungsverzug betroffenen Kunde) erstattet, so sind gestohlene Daten oder Betriebsgeheimnisse eventuell verloren. Oftmals bleibt der Schaden bei einem Hackerangriff jedoch zunächst unbemerkt und kann daher nicht unverzüglich an die Versicherung weitergegeben werden. Der Schaden nach einem Datendiebstahl ist daher häufig nur schwer zu bemessen.

Zu guter Letzt kann keine Versicherung dabei helfen, den Schaden zu reduzieren – tritt ein Versicherungsfall ein, so ist es schon zu spät und genau diese Situation will ein CSOC verhindern. Denn: Auf einen Grundschutz zu verzichten, weil im Zweifel die Versicherung greift, ist ein Risiko. Vergleichbar ist die Situation mit einer abgeschlossenen Hausratversicherung, die den Versicherungsnehmer im Irrglauben lässt, fortan seine Türen nicht mehr verschließen zu müssen.

„Wenn wir uns für ein CSOC entscheiden können wir im Umkehrschluss auf Firewall und Virenschutz verzichten.“

Ein Security Operations Center hat keine primäre Schutzfunktion, weshalb es sowohl den Virenschutz als auch die Firewall nicht ersetzt, die Informationssicherheit jedoch maßgeblich erhöht: Denn die Kombination aus Technik und Expertenwissen ist speziell auf die konstante Überwachung ausgerichtet. Ihr Ziel ist es, mögliche Schwachstellen und damit Angriffsflächen im Netzwerk zu detektieren und zu beseitigen sowie Cyberattacken (erfolgreiche und versuchte) zu erkennen und auszuwerten, um gleich adäquate Maßnahmen einzuleiten. Ein CSOC kann in dem Sinne keine Angriffe verhindern. Es bietet aber zusätzlichen Schutz, indem es sofort auf alle Auffälligkeiten im System hinweist.

Ein Cyber Security Operations Center ergänzt die Abwehrmaßnahmen professionell und komplettiert eine aktuelle Sicherheitsstrategie, die sich wie folgt zusammensetzen könnte:

Schutz: Firewall, Virenscanner, Patches, Multifaktorauthentifizierung, bedingter Zugriff
Kontrollierter Datenfluss: CSOC
Vorkehrungsmaßnahmen: Sensibilisierte Unternehmensmitarbeiter

„Wir stehen vor der Entscheidung zwischen einem IDS und einem CSOC. Welches nehmen?“

Ein Intrusion Detection System ist ein automatisiertes System zur frühzeitigen Erkennung von Cyberangriffen. Das häufig parallel genutzte Intrusion Prevention System soll erkannte Angriffe hingegen verhindern – ebenfalls automatisiert.

Während das Intrusion Detection System als Frühwarnsystem grundsätzlich eine vergleichbare Funktion wie das CSOC hat, liegt der wesentliche Unterschied in der Beteiligung von IT-Experten. Das IDS bildet als technischer Bereich eine Komponente des CSOC, die andere Komponente besteht aus den IT-Experten, die alle Ereignisse fachmännisch bewerten und ein aktives Monitoring betreiben. Die optimale Ergänzung aus geschulter Manpower und künstlicher Intelligenz bringt daher mehr Kontrolle mit sich und verhindert die falsche Auswertung vermeintlicher Ereignisse wie etwa bei den „false positives“.

 „Sicher ist der technische Aufwand hoch und mit Pech wird unser System gestört.“

Ein CSOC im Unternehmen zu implementieren ist weder zeitintensiv noch in irgendeiner Weise potenziell gefährdend für die unternehmenseigene IT-Infrastruktur. Die Anbindung erfordert keine Systemvoraussetzungen und erfolgt recht schnell, im Regelfall in weniger als einer Stunde. Der oder die Sensoren des CSOC oder SOC arbeiten parallel zur Unternehmens-IT und behindern diese daher nicht. Vor dem Hintergrund kann der Service unkompliziert und jederzeit eingeführt werden, ohne Vorbereitungsmaßnahmen treffen zu müssen.

"Wir haben einen Virenschutz. Das reicht in Kombination mit der Firewall doch aus."

Der Virenschutz zählt genau wie die Firewall zum Basisschutz Ihrer Daten, um im Internet zu surfen. Er scannt Dateien und Vorgänge mit dem Ziel, Bedrohungen durch Malware (Viren, Würmer, Trojaner) aufzuspüren. Auch hier gibt es ein Problem: Virenscanner durchsuchen fast ausschließlich die auf den Speichermedien befindlichen Dateien. Programme, die im Arbeitsspeicher des Rechnersystems ausgeführt werden, können somit nicht analysiert und geprüft werden. 

Eine weitere Sicherheitslücke beim Virenschutz ist die Abhängigkeit von seinen Basisdaten:  Hat der Hersteller neue Schadsoftware noch nicht analysiert und in die Datenbank eingepflegt, so ist der Virenschutz bis zur Hersteller-Aktualisierung veraltet und neue Malware damit unsichtbar für das System. Dass eine verspätete Aktualisierung kein Einzelfall ist, bestätigt das BSI wie folgt: 

(Auszug aus Die Lage der IT-Sicherheit in Deutschland 2017, BSI, S. 75:  „Detektierte Sicherheitslücken werden zu langsam und unvollständig gemeldet, Hersteller stellen Updates verspätet zur Verfügung und Anwender setzen entsprechende Empfehlungen und Updates nicht unmittelbar und nur unvollständig um.“) 

Ebenso weitestgehend unentdeckt bleibt Fileless Malware, die ausschließlich im Arbeitsspeicher des Rechnersystems agiert. 

IT-Sicherheit durch Cyber Security – vom Mittelstand für den Mittelstand

Wir sind überzeugt davon, dass der Grundstein der Digitalisierung eine vollumfängliche IT-Sicherheitsstrategie bildet. Daher haben wir einen Service entwickelt, der speziell auf die individuellen Bedürfnisse und Anforderungen mittelständischer Unternehmen abgestimmt ist und auch als Basis unseres eigenen Sicherheitskonzeptes dient.

Das Gemeinschaftsprodukt CSOC ist ein IT-Service vom Mittelstand für den Mittelstand und richtet sich gegen Hackerangriffe und Cyberattacken. Die effektivste Vorgehensweise gegen Cyberkriminelle ist der organisierte Zusammenschluss einer Interessengruppe, die das gemeinsame Ziel der Hackerabwehr verfolgt und vom gemeinsamen Austausch und Schutzmaßnahmen profitiert. synalis und die dhpg möchten Unternehmen eine Plattform für eine ebensolche Gemeinschaft bieten: Cyber Security vom Mittelstand für den Mittelstand.