IT-Trends-Blog

IT-Trends-Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Cybersecurity: Das Unsichtbare sehen

Kategorie: Digitale Trends

Wie suchen wir was wir nicht sehen können? Bevor Licht auf einen Hackerangriff fällt, bleibt er durchschnittlich 146 Tage im Dunkeln. Oft startet erst dann die Abwehr und Schadensbegrenzung. Der Grund: Moderne Angriffe bedienen sich eines tückischen Duos aus chamäleonartiger Tarnung und geschickter Automatisierung. So verstecken sie bösartigen Code in den Tiefen des Netzwerkes und machen die Suche nach dem Unsichtbaren zum alltäglichen Kampf der Security Operation Teams.

Von der Astrophysik kann die IT noch viel lernen. Planeten sind manchmal nur sehr schwer ausfindig zu machen, weil sie so viel leuchtschwächer sind als die Sterne um die sie kreisen. Die Sonne ist beispielsweise eine Milliarde Mal heller als Jupiter. Anstatt also nach dem Planeten selbst zu suchen, schauen Physiker auf deren Umgebung. Sie untersuchen Abweichungen in der Rotation seines Muttersterns, die auf den Einfluss des umkreisenden Planeten zurückgehen. In anderen Worten: Sie hören auf nach unsichtbaren Objekten zu suchen, sondern blicken auf die Auswirkungen der sichtbaren Objekte in nächster Nachbarschaft.

Ähnlich verhält es sich bei der Suche nach Schadcode. Je spitzfindiger die Hacker, desto diskreter schleichen sie sich durch das System. Es ist daher sinnvoll, auf eine Verhaltensstrategie umzuschwenken. Die meisten Sicherheitsprodukte eignen sich nur für bereits bekannte Bedrohungen. Gegen Malware unsichtbar by design kann sie nur wenig ausrichten. CISOs müssen daher nicht so sehr nach dem Code graben, als nach den Wellen zu suchen, die er schlägt.

Der CISO in der Bredouille

Bleibt ein Eindringling unentdeckt, können die Folgen für das Unternehmen fatal sein. Sie reichen vom Verlust des Kundenvertrauens, über den etwaigen Diebstahl geistigen Eigentums bis hin zu Vertragsstrafen für mangelnde Datensicherheit. Aufräumaktionen nach dem Fallout lassen Kosten dann schnell in die Höhe schießen. Das Ponemon Institute errechnete 2016 einen Anstieg der durchschnittlichen Kosten für ein Datenleck von 3.8 auf 4 Millionen US-Dollar. Und die Spirale wird sich weiter drehen. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ändern sich dann auch die regulatorischen Bedingungen maßgeblich. Ab Mai 2018 müssen Unternehmen Verletzungen der Schutzpflichten melden und die Vertragsstrafen können bis zu 4 Prozent des Umsatzes betragen. Das bringt den CISO (Chief Information Security Officer) gegenüber dem CFO (Chief Financial Officer) in die Bredouille. Kommt es zum Datenleck, muss der CISO über alle Details des Zwischenfalles Bescheid wissen, weil die Höhe der Vertragsstrafe entscheidend davon abhängt.

Maschinen schützen Maschinen

Natürlich sind Organisationen nun verführt, einfach mehr Ressourcen in die Abwehr zu stecken. Das Problem aber ist dieses: die heikle Kombination aus wachsendem Hackerwissen und der Komplexität bestehender Systeme, die schon heute mehr Warnsignale erzeugen als die schnell wachsenden Cybersecurity-Teams überhaupt überprüfen können. Die meisten Warnungen entpuppen sich am Ende als Fehlmeldungen, die aber dennoch zunächst einer Untersuchung bedürfen und dabei die Zeit der ohnehin ausgebuchten Administratoren um weitere Stunden strapazieren. Daher verlassen sich Organisationen zunehmend auf automatisierte Sicherheitslösungen – Maschinen zum Schutz anderer Maschinen.

Doch das reicht nicht. CISOs müssen Maßnahmen ergreifen, die weit jenseits des Wirkungskreises der automatischen Schutz- und Überwachungsmechanismen liegen. Sie müssen die Planeten finden, die keiner sehen kann. Dazu braucht die Cyberabwehr die tiefgehende Analyse von Menschenhand, die Verhaltensdaten genau durchleuchtet. Anders können Sie diese Wellen nicht finden, die der Computerwurm hinterlässt, wenn er sich durch die Systeme windet. Effektiv wird die Jagd, wenn sie Mensch und Maschine kombiniert. Eine von Menschen durchgeführte Verhaltensanalyse, die sich mit der automatischen Sammlung von Daten zu Anomalien und ungewollten Veränderungen in bestimmten Programmen ergänzt. Für den Mensch alleine ist diese Aufgabe zu mühselig. Aber ein kombinierter Mensch-Maschine-Ansatz kann sowohl automatisiert nach Schadcodes suchen, als auch den feinen Blick auf das richten, was unmerlich und verborgen im Dunkeln liegt.  

Welche Erfahrungen haben Sie gemacht? Konnten Sie mit Verhaltensanalysen schon mal einen Schadcode identifizieren?

Über den Autor

Michael Köhler
Michael Köhler

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.