Fast jede Woche liest man von einem neuen Fall in den Zeitungen. Was früher nur in IT-Security-Kreisen bekannt war, ist mittlerweile selbst bei nicht-technischen GeschäftsführerInnen österreichischer Unternehmen angekommen: Eine Cyberattacke kann jedes Unternehmen treffen und im schlimmsten Fall für Wochen, wenn nicht gar Monate stilllegen. Egal wie groß oder klein, bekannt oder unbekannt das Unternehmen ist. Der Grund dahinter? "Die sogenannten Threat Actors haben sich mittlerweile komplett professionalisiert: Jeder Teil eines Angriffs wird von spezialisierten Teams durchgeführt und dessen Ergebnis in der Regel dann zum nächsten Glied der Kette weiterverkauft" so Andreas Badelt, Vertriebsleiter Österreich der Open Systems, einem auf SOCaaS spezialisierten Anbieter aus der Schweiz.
Selbst für die größten Unternehmen des Landes ist es nicht möglich, diesen massenhaften, automatisierten Angriffen ohne professionelle Unterstützung Herr zu werden. Dafür gibt es vor allem drei Gründe:
- Unbeherrschbare Komplexität der Security Tools: Laut Branchen-Studien hat das durchschnittliche Unternehmen 50 (!) Security Tools im Einsatz - die meistens alle nicht miteinander sprechen. Das bedeutet zu viele Alerts in zu vielen Dashboards, die weder synchronisiert noch interpretiert werden. Und auch der Business-Kontext fehlt meist komplett. Wer kann hier noch einen Überblick behalten?
- Fehlende ExpertInnen und/oder fehlendes Budget: Es ist hochspezialisiertes Wissen notwendig, um Unternehmen effektiv zu schützen. Selbst wenn Unternehmen es sich leisten könnten, ein eigenes Team aufzubauen, welches 24/7 Dienst hat: Der Markt für solche SpezialistInnen ist leergefegt. Hat man dennoch Glück und findet eine entsprechende Kandidatin muss man sich dessen bewusst sein, dass die wirklich guten SpezialistInnen permanent gefordert werden wollen. Was in der Regel nicht möglich sein wird, wenn man Tag ein, Tag aus immer nur für das gleiche Unternehmen tätig ist. Aber meistens scheitert es schon am Geld: Inklusive Personalnebenkosten läuft hier nichts unter 120-140.000 EUR pro Stelle pro Jahr. Natürlich benötigt man mindestens 6-8 solche ExpertInnen um einen 24/7 Service sicherzustellen. Dermassen gut gepolsterte Budgets für IT-Security-Personal dürfte in kaum einem österreichischen Unternehmen vorhanden sein.
- Fehlende oder falsche Prozesse: All das führt zu permanentem "Firefighting" an allen Ecken und Enden. Silos zwischen IT, IT Security und dem Business entstehen und verhindern Kommunikation und notwendige Weiterentwicklung in eine gemeinsame Richtung.
Die Lösungen für diese Probleme sind einfach beschrieben:
- Der Schwenk von "Best of Breed" hin zu einem Plattform-Denken ist nicht nur notwendig, er lohnt sich auch. Es gilt, das Toolset zu minimieren, aber dabei sicherzustellen, dass die Tools miteinander reden und verknüpft sind. Viel wichtiger noch: Bestehende Tools müssen auch wirksam eingesetzt und gepflegt werden.
- Das Personalproblem lässt sich nur durch ein Managed SOC lösen, welches einem Kern Security-Team die operative 24/7 SOC Arbeit abnimmt und partnerschaftlich mit dem Security-Team die Security Posture und Maturity verbessert bzw. erhöht. Das bedingt SOC Personal mit tiefgründigem Verständnis von Angriffsquellen und -flächen sowie Fähigkeiten in Data Science und Automation.
- Aus Prozesssicht müssen konsistente, wiederholbare und messbare Vorgänge im Unternehmen im Security Bereich und insbesondere für das SOC definiert werden, die auch im gesamten Unternehmen abgestimmt wurden (Stichwort: Incident Response Plan). Diese müssen permanent auf Effektivität bewertet werden. Außerdem ist es essentiell, dass nicht nur reagiert wird, Vorbeugung, Erkennung und Reaktion müssen wesentliche Bestandteile eines SOC (Services) sein.
Diese Kriterien in einem SOC zu vereinbaren ist nicht leicht. Open Systems hat Ende 2019 den Schritt mit dem Launch des Managed Detection and Response (MDR) Services gewagt - erfolgreich wie sich herausstellt. "Ein wichtiger Erfolgsfaktor, den uns die Kunden oft widerspiegeln, ist, dass der Ansatz 'weniger ist mehr' auch wirklich zielführend ist," sagt Roman Innerbichler, Cloud Solutions Architekt bei Open Systems. Gemeint ist damit der Ansatz, sich die Cyber-Kill-Chain anzusehen und anhand des MITRE ATT&CK Frameworks möglichst gut abzudecken - mit möglichst wenigen Datenquellen. Der damals strategische Schritt Richtung Microsoft hat sich als richtig herausgestellt: Durch den Fokus auf die Defender Suite von Microsoft, ergänzt durch den hauseigenen Netzwerksensor und die Offenheit der Architektur, um weiterhin für Kunden wichtige Drittsysteme anbinden zu können, erreicht Open Systems eine sehr hohe Servicequalität.
"Wir sehen bei unseren Kunden verstärkt eine Entwicklung in Richtung Microsoft-Plattform: Die Kunden rollen den Defender for Endpoint aus und suchen nun einen Anbieter, der ihnen ein SOC auf Basis Sentinel bereitstellt und so die Investments in die E5 Security Suite aktiviert," so Daniel Schafferer, ICT Security Sales bei A1. Die Zusammenarbeit von A1 und Open Systems hat sich hier als ideale Kombination herausgestellt. Christoph Wellenzohn, verantwortlicher Vertriebsleiter für den Westen Österreichs bei A1 dazu: "Open Systems bietet mit MDR einen hochprofessionellen Service für unsere Microsoft-orientierten Kunden an - und A1 kann unter dem Motto 'Alles aus einer Hand' hier noch um wesentliche andere Managed Security Services bis hin zu Incident Response, Penetration Testing und Security Consulting ergänzen."
Haben Sie Fragen dazu oder wurde Ihr Interesse geweckt? Das A1- und Open Systems-Team ist beim LSZ Cyber Crime Forum in Bregenz vor Ort und freut sich über Ihren Besuch.