Start
Start

Hacker zuverlässig abwehren

Das Internet wird zunehmend zum Kriegsgebiet: Digitale Angreifer nutzen Software als Waffen. Robuste Maßnahmen sind nötig, um Hacker zuverlässig abwehren und sensible Unternehmensdaten schützen zu können. Ransomware, Phising, Viren und sonstige digitale Schädlinge treffen den Mittelstand sowie Großkonzerne mit voller Wucht. Kein Unternehmen scheint hinreichend vorbereitet zu sein, kein Sektor ist sicher. Ob Industriekonfektionierer, Automobilzulieferer, Handelslogistiker oder Schuhhersteller – Deutschlands Wirtschaft leidet unter der wachsenden Cyberkriminalität und scheint Hackern schutzlos ausgeliefert zu sein. Wirksame und praktikable Lösungen sind gefordert. Doch Schutz, Aufwand und Kosten müssen im Verhältnis stehen, denn die Welt dreht sich weiter und erfordert ungebrochene Offensivkräfte im Kerngeschäft, um weiterhin Wohlstand und sozialen Frieden zu sichern. Als Spezialist für die Automatisierung von Geschäftsprozessen bieten wir eine Lösung, die nicht nur effektiv, sondern auch mit vertretbarem Aufwand und vernünftigen Kosten gerade dem Mittelstand einen Ausweg bietet und wirksam vor potenziellen Hackerangriffen schützt.

Bei Cybersicherheit denkt jeder zuerst an Virenscanner und Firewall. Diese beide Fundamente der IT-Infrastruktur in Unternehmen werden annähernd überall eingesetzt. Das ist gut und richtig. Jedoch unterwandern zwei grundlegende Veränderungen diese Architektur der 90er Jahre: Mobiles Arbeiten und moderne Cloud-Dienste. Der Besitz und die Kontrolle von Endgeräten, Systemen und Software ist dem Unternehmenskunden entglitten. Verfolgt ein CIO eine Cloud-First Strategie mit einem oder mehreren Hyperscalern wie AWS, Azure, Google, SAP und Oracle oder setzt auf beliebte Software-as-a-Service Dienste wie Salesforce, ServiceNow oder Jira/Confluence, hat er keinerlei Durchgriff mehr auf die Details dieser Dienste. Sein Unternehmen wird zum Konsumenten mit vorgegebenen Einflussmöglichkeiten. Im Kern übernimmt und behält der Hersteller die Kontrolle. Das beginnt bei den eingesetzten Hard- und Software-Komponenten und endet bei der Datensicherheit.

Hackerabwehr in der Cloud – Eine Illusion?

Wir wollen die Entwicklung nicht problematisieren, da Cloud-Dienste und Software-as-a-Service sehr große Vorteile mit sich bringen.

So skalieren sie besser, werden zentral vom Hersteller gewartet, laufen in der Regel deutlich stabiler und erreichen Effizienzvorteile bei Zertifizierungen, gesetzlichen Anforderungen und geographischer (Hoch)Verfügbarkeit.

Um Hacker zuverlässig abwehren zu können, bedarf es bei Cloud-Lösungen jedoch einer völlig anderen Herangehensweise. Dasselbe gilt für die Arbeit digitaler Nomaden, Mitarbeiter im Homeoffice und dem immer dichter werdenden Netz an internationalen Dienstleistern.

Ihre Infrastruktur ist vielfältig, außerhalb der Einflusssphäre des Auftraggebers bzw. Arbeitgebers und ständiger Veränderung unterworfen: Heute das Wifi von McDonalds, morgen das private Notebook statt des Firmengerätes. Starre Sicherheitskonzepte aus Benutzerzertifikaten, fest installierter VPN-Software oder engmaschigen IP-Zugriffsbereichen beeinträchtigen nicht nur die Stimmung der Arbeitenden sondern auch deren Produktivität. Keine gute Nachrichten für den CFO und die Eigentümer bzw. Investoren.

Effektive Strategien, um Hacker zuverlässig abwehren zu können

Sind wir verloren? Keineswegs! Wo Probleme sich auftun, entstehen Lösungen. Wären Cloud und mobiles Arbeiten ein Nullsummenspiel und all ihre Vorteile perdu aufgrund der Sicherheitslücken, welche sie aufreissen mögen, dann hätte der Mensch zum ersten Mal die Büchse der Pandora geöffnet. Deshalb wollen wir uns von der griechischen Mythologie abwenden und der Lösung zuwenden.

Wir müssen uns zunächst drei Grundsätze vergegenwärtigen, die zu einer effektiven Cybersecurity Lösung, also einem wirksamen Schutz gegen mögliche Hackerangriffe gehören. Bewusst lassen wir begleitende Maßnahmen wie Verhaltensregeln (Policies), Sicherheitstrainings oder regelmäßige Audits und Scans außer Betracht. Sie haben zweifellos ihre Berechtigung und sollen an anderer Stelle unsere Aufmerksamkeit erhalten.

1. E pluribus unum – die Weisheit der Masse

Die meisten modernen Sicherheitslösungen nutzen alle verfügbare Daten, um Bedrohungen (threads), Schwachstellen (vulnerabilities) und sicherheitsrelevante Vorfälle (incidents) zu identifizieren und zu bekämpfen. Ihr “Wissen” wird zentral vorgehalten, zentral aktuell gehalten und zentral genutzt. Gleichgültig, ob Zero Trust Network Access (ZTNA) oder Cloud Access Security Broker (CASB) oder Secure Access Service Edge (SASE) oder Extended Detection and Response (XDR) Lösungen zum Einsatz kommen, sie fußen alle auf dem Prinzip des ubiquitären Zugangs zu Informationen über Cybergefahren und der mehr oder weniger zentralen Umsetzung einer Abwehrstrategie, vgl. Fußnoten 1 bis 4 unten. Palo Alto beispielsweise setzte dieses Vorgehen bei seinen Firewall-Lösungen bereits vor Jahren erfolgreich ein, bevor die oben genannten Begriffe überhaupt erfunden wurden.

Folglich geht nicht nur das “Problem” sondern auch die Lösung von der Cloud aus.

2. Benutzer und Endgerät

Zentral bis ins kleinste Detail verwaltete Geräte sind ein Produktivitäts- und Innovationshemmer. Kann ein Anwender aufgrund strikter Sicherheitsrichtlinien keine Software auf seinem Gerät installieren, bleibt ihm nur die Hoffnung auf ein allwissendes und anwenderorientiertes Endgerätemanagement des Arbeitgebers bzw. Kunden. Über die Kosten solch eines Vorhaben wollen wir nicht spekulieren. Benötigte Software, kundige IT-Administratoren, schlagkräftiger Helpdesk und die Opportunitätskosten resignierender Mitarbeiter sind keine allzu attraktive Lösungsalternative, auch wenn viele Konzerne dies mehr schlecht als recht versuchen: Es kommt ganz darauf an, wie weit man seine Benutzer einengen kann. Das hat eben Grenzen.

Damit die oben besagten Cloud-Algorithmen zur Identifikation und Abwehr von Cyberbedrohungen greifen können, müssen sie in den Datenfluss aller Endgeräte eingebunden sein. Das wird in der Regel durch die Installation einer Endgeräte Software sichergestellt, welche anschließend den Datenfluss über die ZTNA, CASB, SASE etc. Plattformen leitet. Die Endgeräte Software hat jedoch keine eigene Logik und muss auch nicht ständig mit Updates versorgt werden. Sie lenkt lediglich den Datenverkehr zur cloudbasierten Sicherheitsplattform und kann somit Hackerangriffe gezielt abwehren.

Was machen indes jene Anwender, auf deren Endgeräten eben keine Installation solche eines Clients möglich oder erwünscht ist? Hier liegt die Lösung in der Verknüpfung der genutzten Cloud-Dienste wie z.B. Salesforce oder Jira mit der Cloud-basierten Sicherheitslösung. Es kommt ein sogenannter Reverse-Proxy-Dienst zum Einsatz, welcher die Datenströme der Cloud-Dienste scannt und Bedrohungen durch Hacker dabei zur Laufzeit erkennt. Selbstverständlich muss dazu jeder Cloud-Dienst mit der Cloud-basierten Sicherheitslösung verbunden werden. Auf dieselbe Weise kann der Zugang zu den Cloud-Diensten eingeschränkt werden, sodass jeder Anwender sich über einen vorgegebenen Dienst authentisieren muss (z.B. Active Directory, Google SSO, Okta).

Darüber lassen sich auch Data Loss Prevention (DLP) Maßnahmen realisieren, sodass die Gefahr von ungewolltem Datenverlust minimiert wird. Die Sicherheit geht hier von der Cloud aus und nicht vom Endgerät. Aufwendige und schwer wartbare Firewall-Architekturen können auf diese Art vermieden werden.

Im Kern wird der starre Schutz einer an Orte gebundenen Infrastruktur auf die Kombination von Benutzer und Anwendung verlagert. Diese beiden können dann flexibel angepasst und erweitert werden. Die Infrastruktur ist nicht mehr das maßgebliche Kriterium, wer “in” oder “out” ist. Cloud-Dienste treten gleichberechtigt neben On-Premise-Dienste.

Unternehmen müssen proaktiv handeln, um Hacker zuverlässig abwehren zu können. Eine umfassende Sicherheitsstrategie ist unerlässlich.

 

Effektivität dank Automatisierung

Soweit so gut. Ist das alles? Nein! Denn bis dato haben wir die Grundlagen einer wirkungsvollen Cybersecurity Architektur beschrieben. Diese für sich alleine genommen reicht jedoch noch nicht aus, um den veränderlichen Bedrohungen Herr zu werden. Vielmehr müssen letztlich wohl überlegte Maßnahmen ergriffen werden, die wirken, ohne vorher pauschal eingeengt zu haben. Hier tritt Security Automation auf die Bühne: Security Information and Event Management (SIEM) und Security Orchestration and Response (SOAR) sind die maßgeblichen Konzepte, die es in Einklang zu bringen gilt – mittels Automatisierung der zugrundeliegenden Prozesse. Ein Beispiel sehen Sie im folgenden Screenshot.

SIEM

SIEM Plattformen wie Splunk, Sumo Logic, Datadog, Logit und viele mehr helfen Daten der oben beschriebenen Sicherheitslösungen zu sammeln, zu aggregieren und zu interpretieren. Sie sind im Kern Datenbanken mit entsprechenden Analysefunktionen, welche Security Teams bzw. Security Operations Center (SOC) aktiv über Bedrohungen informieren.

 

SOAR

SOAR Plattformen nehmen diese (Bedrohungs)Daten aus SIEM Lösungen entgegen und führen weitere Maßnahmen durch. So qualifizieren und reichern sie die Informationen weiter an, ziehen Cloud-Services zu deren Beurteilung hinzu und dämmen Angriffe durch Änderungen in der Konfiguration der Sicherheitslösungen oder durch Ausschluss der betroffenen Endgeräte bzw. Benutzer ein. Sie sind die Aktuatoren in einem wirkungsvollen Sicherheitskonzept.

 

Die Orchestrierung macht den Unterschied

Also braucht man eine SIEM Plattform und eine SOAR Plattform, am besten von ein und demselben Anbieter, und alles ist gut? Ja, in sehr einfachen und einheitlichen Systemlandschaften mag das ausreichen. In der komplexen Realität vieler Unternehmen jedoch nicht. Hier sind SOAR Lösungen gefragt, welche ganze Maßnahmenabläufe zwischen mehreren Systemen orchestrieren, um fallabhängig die richtigen Entscheidungen in die Tat umzusetzen. Gutes SOAR ist eine Frage der Automatisierung im Securityumfeld analog zur Automatisierung von Geschäftsprozessen.

Es reicht eben nicht mehr das einfache “Wenn-Dann” im Ablauf aus, sondern die Daten von Benutzern, Angreifern, betroffenen Systemen bzw. Anwendungen und möglichen Ursachen müssen mithilfe durchdachter Prozessschritte interpretiert sowie orchestriert werden, sodass die minimal invasive aber wirksame Problemlösung ergriffen werden kann. Je mehr Daten in einem Unternehmen fließen, desto wichtiger ist die Automatisierung dieser Datenflüsse. Sie sind mit menschlicher Intervention nicht hinreichend zeitnah und in der nötigen Qualität zu bewältigen. Oder wollen Sie, dass der Angriff ausufert, bis Ihr Security Team oder Ihre IT-Administration das Problem verstanden und eine Lösungsmöglichkeit ersonnen haben?

Erfolgreiche Unternehmen benötigen eine intelligente und moderne Sicherheitslösung, die möglichst automatisiert funktioniert, um zeitnah, effektiv und gezielt Hacker zuverlässig abwehren zu können. Diese Lösungen müssen dabei in das Budget und die verfügbaren Ressourcen passen – vom Kleinunternehmen bis zum Konzern. Nicht jeder Mittelständler kann sich ein SOC leisten, nicht jeder Konzern findet die für diese Aufgabe kompetenten Mitarbeiter am Markt.

Ein erfahrener Managed Security Service Partner ist ein kluger Schritt, das nötige technische Know-how, die ersehnte Beratung und eine stringente Umsetzung im Regelbetrieb zu gewährleisten. So können Unternehmen sich auch in turbulenten Zeiten ihrem Kerngeschäft widmen und wissen um den wirksamen Schutz ihrer Ressourcen.

Über Business Automatica

Business Automatica senkt Prozesskosten durch Automatisierung manueller Tätigkeiten, hebt die Qualität beim Datenaustausch in komplexen Systemarchitekturen und verbindet On-premise Systeme mit modernen Cloud- und SaaS-Architekturen. Zudem bietet Business Automatica auf Cybersicherheit ausgerichtete Automatisierungslösungen aus der Cloud.

Vertiefungen: 

  1. Zero Trust Network Access (ZTNA)
  2. Cloud Access Security Broker (CASB)
  3. Secure Access Service Edge (SASE)
  4. Extended Detection and Response (XDR)