Wie Automatisierung die Cybersicherheit verbessert
Automatisierung sollte Ergebnisse liefern und keine der ohnehin knappen Ressourcen binden. Dann können IT- Teams entlastet werden. Dabei sollten einige Punkte beachtet werden.
Das größte Sicherheitsrisiko für Unternehmen ist der langfristige Schaden, der entsteht, wenn Daten verloren gehen oder gestohlen werden. Gleichzeitig wird das weltweite Datenwachstum zwischen 2020 und 2025 voraussichtlich 180 Zettabyte übersteigen, wobei ein Zettabyte eine Milliarde Terabytes umfasst. Dieser enormen Zahl steht momentan ein weltweiter Mangel an 3,4 Millionen Security-Mitarbeitenden gegenüber. An Automatisierung führt deshalb kein Weg vorbei. Allerdings ist es von entscheidender Bedeutung, dass sie nicht einfach nur Engpässe verschiebt, indem neue oder komplexe Personalanforderungen eingeführt werden, sondern die Situation entschärft.
Angreifer wissen, dass Cloud-Infrastrukturen neu aufgebaut oder Notebooks ersetzt werden können. Daten hingegen können nicht „unkompromittiert“ werden und sind dadurch ihr Weg zum angestrebten Gewinn. Sie verschlüsseln sie und/oder drohen mit ihrer Veröffentlichung, sollten die Opfer nicht zahlen. Dabei finden Cyberkriminelle immer wieder neue Wege, Verteidigungslinien zu durchbrechen und in die Unternehmenssysteme einzudringen. Durch die steigende Anzahl hybrider Arbeitsplätze, Cloud-Diensten und Remote-Geräten hat sich dabei die Angriffsfläche nochmals enorm vergrößert. Einige Cyberkriminelle versuchen außerdem, Mitarbeitende für ihre Zwecke zu gewinnen: Sie bieten ihnen hohe Geldbeträge, für die sie Malware installieren sollen. Auf diese Weise werden die Mitarbeitenden zu Insider-Bedrohungen, dem größten Risiko in der Cybersicherheit.
Bei einer so großen und fluiden Angriffsfläche wird es immer mindestens ein Konto, einen Mitarbeitenden oder ein System geben, das kompromittiert wurde – selbst wenn Unternehmen ihr Bestes tun, um Geräte und Anwendungen regelmäßig zu patchen.
Verteilter Edge, zentralisierte Daten
Während die Angriffsfläche an den Rändern wächst, werden die Daten immer umfangreicher in großen, zentralisierten Cloud-Datenspeichern und Datenbanken abgelegt. Dieser Trend wird sich weiter fortsetzen, da zentralisierte Cloud-Datenspeicher dazu beitragen, dass alle Benutzer, Geräte und Dienste mit verteilten Teams verbunden und für diese verfügbar sind. Ohne dauerhafte und regelmäßige Verbindungen wäre eine verteilte Belegschaft isoliert und weit weniger produktiv.
„Automatisierung sollte Sicherheitsteams ent- und nicht belasten. Investiert man in Sicherheitsautomatisierung, muss diese Ergebnisse liefern und nicht zusätzliche (ohnehin knappe) Ressourcen binden.“
Michael Scheffler, Varonis Systems
Durch die Zentralisierung der Daten wird dabei auch das Risiko konzentriert. Wenn diese Datenspeicher gut kontrolliert werden, reduziert sich die Gefahr eines einzelnen kompromittierten Benutzers oder Geräts erheblich. Sicherheitsverantwortliche müssen die Ränder absichern und alle entsprechenden Warnungen überwachen. Allerdings ergibt es keinen Sinn, knappe Ressourcen vor allem dort einzusetzen, wo der Großteil des Risikos nicht (mehr) besteht.
Sicherheitsverantwortliche wissen nicht, aus welcher Richtung oder auf welchem Weg ein Angriff erfolgt. Sie wissen jedoch, welches Ziel er hat: die Daten. Deshalb ist es sinnvoll, die Ressourcen hierauf zu fokussieren. Viele Security-Teams folgen diesem Ansatz. Sie konzentrieren sich auf diese zentralisierten Datenspeicher und setzen dabei auf Automatisierung, um besser zu verstehen, wie diese Datenspeicher konfiguriert, verwendet und kontrolliert werden.
Wo Automation helfen kann
Beginnen wir mit grundlegenden Fragen wie „Sind die wichtigsten Daten dort gespeichert, wo sie gespeichert sein sollten?“ und „Sind die Anwendungen richtig konfiguriert?“ Automatisierung kann bei der Beantwortung dieser Fragen helfen, aber die Antworten führen in der Regel zu neuen Fragen und unvorhergesehenen Herausforderungen. Wenn beispielsweise sensitive Daten entdeckt werden, stellt sich die Frage, ob sie richtig gesichert sind, wie sie verwendet werden und wie lange sie aufbewahrt werden sollen, vorausgesetzt, sie sind überhaupt für die Speicherung vorgesehen. Zudem müssen Fehlkonfigurationen sicher behoben werden, damit sie die Produktivität nicht beeinträchtigen.
Arbeitsabläufe, Projekte und Aufgaben ändern sich im Laufe der Zeit. Was heute richtig konfiguriert ist, ist in sechs Monaten womöglich nicht mehr. In stark kollaborativen Umgebungen, in denen Benutzer Daten ohne Hilfe oder Aufsicht der IT-Abteilung gemeinsam nutzen, muss außerdem mit zahlreichen Fehlern gerechnet werden: Die Benutzer werden die falschen Daten an die falschen Personen weitergeben und den Zugriff auf unbestimmte Zeit behalten. Worauf kommt es also bei der Security-Automation an, um all dies zu verhindern?
- Schützen Sie, was wichtig ist. Erkennen Sie Ihre größten Risiken und konzentrieren Sie sich auf diese. In aller Regel sind dies kritische, sensitive und/oder regulierte Daten – gerade im Hinblick auf intensive Zusammenarbeit und exzessives Teilen sowie schwache Kontrollen.
- Testen Sie Ihre Einstellungen. Wenn Sie Ihre Konfigurationen optimieren oder Ihre Daten schützen wollen, sollten Sie Ihre Umgebung stichprobenartig überprüfen. Auf diese Weise bekommen Sie eine bessere Vorstellung davon, wie viele Schwachpunkte Sie anfangs aufdecken, wie viele Schwachstellen im Laufe der Zeit auftreten und ob Sie das gesamte Ergebnis automatisieren können. Dies gilt nicht nur für die Identifizierung von Problemen, sondern auch für deren Behebung.
- Analysieren Sie die Signale. Wenn Sie eine Automatisierung in Erwägung ziehen, um potenzielle Bedrohungen zu erkennen und darauf zu reagieren, müssen Sie sicherstellen, dass die Mitarbeitenden auf das Volumen und den Inhalt der Signale vorbereitet sind und über die nötigen Ressourcen verfügen, um sie zu optimieren. Denn mehr (automatisierte) Signale und Warnungen sorgen nicht zwangsläufig für mehr Sicherheit.
- Priorisieren Sie vorgelagerte Kontrollen. Automatisierungen, die riskante oder böswillige Aktivitäten an den Rändern blockieren, sind einfacher zu verwalten und effektiver, wenn der Datenfluss sauberer ist. Wenn Teams versuchen, Dinge zu blockieren, bevor sie die Zugriffsrechte unter Kontrolle und ihre Signale verfeinert haben, beeinträchtigen sie manchmal wichtige Geschäftsabläufe.
Automatisierung sollte Sicherheitsteams ent- und nicht belasten. Investiert man in Sicherheitsautomatisierung, muss diese Ergebnisse liefern und nicht zusätzliche (ohnehin knappe) Ressourcen binden. Werden für die Implementierung der Automatisierung oder die Auswertung der Informationen Nischenkenntnisse benötigt, müssen die zusätzlichen Personalkosten und die Schwierigkeiten bei der Suche nach Mitarbeitern mit speziellen Fähigkeiten durch die Produktivitätsgewinne gedeckt sein.
Bei der Automatisierung kommt es also nicht auf das „Ob“ an, sondern vor allem auf das „Wie“. Die Datenmengen und der Wert der gespeicherten Informationen werden weiter steigen. Gleichzeitig wird es immer schwieriger, sie zu schützen. Angesichts des Fachkräftemangels ist deshalb Automatisierung letztlich der Schlüssel zur Datensicherheit.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.