So erkennen Unternehmen Cyberangriffe schneller

Cyberattacken werden immer komplexer. Unternehmen stehen deshalb vor der Herausforderung, Angriffe auf ihre Netzwerke schneller zu erkennen. Welche Methoden sich dafür am besten eignen, erklärte Cybersecurity-Experte Hans-Peter Fischer von KPMG auf der Rethink IT-Security-Fachkonferenz.

Cyberattacken auf Unternehmen mehren sich, und das Ausmaß der Schäden wächst permanent: Rüstungsunternehmen werden ausspioniert, Banken mit digitalen Banküberfällen um mehrere Millionen Dollar erleichtert oder Datensätze von Industrieunternehmen gestohlen. Wie Unternehmen ihre IT-Sicherheit aufstellen können, um Angriffe schneller zu erkennen, war Thema eines Vortrags des Cybersecurity-Experten Hans-Peter Fischer von KPMG auf der IT-Security-Fachkonferenz 2017 in Hamburg.

Die Nadel im Heuhaufen

Zu den häufigsten Bedrohungen gehörten 2015 und 2016 laut der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) Malware sowie web-basierte Angriffe. Eine wachsende Bedrohung sei außerdem, dass die meisten Insider-Angriffe erst nach einiger Zeit entdeckt würden. Angreifer professionalisieren sich stetig, ihre Angriffsmuster werden immer feiner – während die Datenmenge, mit der Unternehmen umgehen müssen, zunimmt. Immer häufiger sind sogenannte APTs (Advanced Persistent Threats). „Angreifer arbeiten über lange Zeiträume hinweg an der Attacke und verwenden dabei mehrere Kanäle. Sie kommen zum Beispiel über Social Media oder per Phishing über präparierte Webseiten“, so der Experte. Daneben verfügen die Angreifer über ein gewisses Budget, mit dem sie sich professioneller aufstellen können. Gelingt ihnen der Zutritt zum Netzwerk, halten sie sich darin immer länger auf und sammeln wertvolle Daten.

„Angreifer hinterlassen Spuren, auch wenn diese manchmal nicht sofort feststellbar sind.“

Hans-Peter Fischer, Cybersecurity-Experte bei KPMG

„Einen Angriff zu erkennen, gleicht der Suche nach einer Nadel im Heuhaufen“, sagt Fischer. Die Strategien des Informations- und Ereignismanagements (SIEM) und die dazugehörigen Services müssten deshalb optimiert und angepasst werden.

Cyberattacken frühzeitig entdecken und abwehren

Aber: „Jeder Angreifer hinterlässt Spuren, wenn auch subtil und nicht sofort feststellbar“, erklärt der Experte. Er empfiehlt Unternehmen eine individuell angepasste Lösung, mit der Angriffe rechtzeitig entdeckt und abgewehrt werden können.

Hans-Peter Fischer von KPMG auf der Rethink IT-Security-Fachkonferenz
Cybersecurity-Experte Hans-Peter Fischer erklärte auf der Rethink IT Security, was eine APT ausmacht.

Indizien sind beispielsweise Änderungen an Konfigurationen, neu angelegte Administratorkonten, Anmeldungen aus ungewöhnlichen Ländern oder zu ungewöhnlichen Uhrzeiten. Erkennt das Unternehmen solche Fälle, können sie darauf mit entsprechenden Gegenmaßnahmen reagieren. „Die Nadel sieht in jedem Heuhaufen, also in jedem Unternehmen, anders aus“, sagt Fischer. „Sie ist so individuell wie das Unternehmen selbst“.

Aufbau eines Security Operations Centers

Um Angriffe erfolgreich abzuwehren, sollten Unternehmen dauerhaft in ihre Sicherheit investieren und an der Weiterentwicklung von Abwehr- und Erkennungsmaßnahmen arbeiten. „Effektive Möglichkeiten, unvorhergesehene Schwierigkeiten zu händeln, bietet der Aufbau eines Security Operations Centers (SOC). Es überwacht beispielsweise Applikationen, SAP-Systeme oder Datenbanken und betreibt Sicherheitssysteme“, so Fischer. Und nimmt somit die Herausforderung an, Vorfälle zu erkennen und ihnen im entscheidenden Moment richtig zu begegnen. Kommt es zu einem Cyberangriff, können Abwehrmaßnahmen eingeleitet werden. Die Basis eines SOC bilden speziell ausgebildete IT-Fachkräfte, die richtige Technik und abgestimmte Prozesse. Unternehmen haben die Möglichkeit, „das SOC in Eigenregie, als Hybrid, also teilausgelagert, oder als Managed Service zu betreiben“.

Titelfoto: © Rabbit_Photo/shutterstock
Foto Veranstaltung: © Marcel Wogram

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*