Wachsende Bedrohungen

Digitale Wirtschaftsspionage wird für Unternehmen aller Branchen immer bedrohlicher. Ein zusätzlicher Gefahrenschub geht von zahlreichen Geheimdiensten aus, für die das Ausspionieren von Unternehmen und Organisationen seit langem das Hauptziel ist. Und die Unternehmen als potenzielle Opfer? Sie müssen sich und ihre Daten mehr denn je vor immer komplexeren Attacken schützen, um nicht das geschäftliche, gegebenenfalls existenzielle Nachsehen zu haben.

Die Angriffsformen mit dem erklärten Ziel, Betriebsgeheimnisse auszuspionieren, sind vielfältig. In Datenbeständen, Anwendungen und Systemen wird Malware eingeschleust. An den Netzwerkverbindungen werden Übertragungsdaten mitgelesen. Trojaner können mit dem Kauf von vollkommen unverdächtiger Software ins Unternehmen gelangen. Oder Software-Updates werden als Vehikel zum Einschleusen von Ausspähprogrammen
genutzt. Fehlt es an geeigneten Abwehrmitteln, können die Angreifer beliebig lange Betriebsgeheimnisse ausspionieren, ohne dass das Unternehmen davon etwas mitbekommt.

Die Realität

Angreifer halten sich oft monatelang unentdeckt im Netzwerk auf, bevor sie mit ihrem zwischenzeitlich angeeigneten Insider-Wissen ihre gezielten Attacken starten.  Herkömmliche Sicherheitsmechanismen wie Virenschutz, Firewall und Netzwerküberwachungs-Software werden schlichtweg überlistet. Ebenso gekonnt schleichen sich die Angreifer, für die Opfer meist unauffällig, aus dem Netzwerk auch wieder aus.

Bereits 2001 veröffentlichte die EU einen Bericht zur  Wirtschaftsspionage. Aufgelistet sind unter anderem zwei Verdachtsfälle gegen Frankreich. Es geht um die Lieferung von Hochgeschwindigkeitszügen nach Südkorea, bei der sich der französische Hersteller Alstom (TGV) durch Spionage einen Wettbewerbsvorteil gegenüber dem Konkurrenten Siemens (ICE) verschafft haben soll.

In 2013 geriet Frankreich erneut unter Verdacht. Die New York Times schrieb über ein mögliches Industriespionageprogramm des Landes, mit dem Ziel, technische Geheimnisse in den USA auszuspähen.

In 2015 berichtete die Zeitung „Libération“ unter Berufung auf von der Enthüllungsplattform Wikileaks bereitgestellte US-Dokumente, rund hundert französische Unternehmen, darunter alle im französischen Aktienindex CAC40 notierten Konzerne, seien ausgeforscht worden. Der deutsche BND ist ebenfalls mehrere Wochen in den Schlagzeilen. Ihm wird vorgeworfen, dem US-Geheimdienst NSA beim Ausspionieren europäischer Institutionen und von Unternehmen geholfen zu haben.

IT-Sicherheit neu überdenken

Zwar sind Abwehrmechanismen wie signaturbasierende Antiviren-Software, Firewall und Netzwerküberwachungs-Software weiterhin erforderlich, aber sie reichen längst nicht mehr aus.

Was angesichts der sich verschärfenden Bedrohungslage hilft, ist ein umfassender Schutzschirm. Er muss sich über das gesamte Unternehmen spannen, sich aus allen erforderlichen Sicherheits-Services zusammensetzen, alle sicherheitsrelevanten Ereignisse gemeinsam betrachten, sich flexibel neuen Bedrohungsszenarien anpassen und dazu selbst bisher noch nicht bekannte Angriffsformen erkennen.

All diese Anforderungen müssen dabei für ein Unternehmen leistbar und strategisch steuerbar bleiben.

Bestimmend für einen dauerhaft effektiven Schutzschirm, was er verspricht, ist ein perfekt funktionierender, dreistufiger Ablauf aus lückenlosem Monitoring, Korrelation sämtlicher Log-Daten aus den verschiedenen Quellen sowie weiterer sicherheitsrelevanter Informationen und die Bewertung der analysierten Daten durch Spezialisten.

Modernste Erkennungswerkzeuge

Für einen umfangreichen Schutz der IT-Infrastruktur ist der Einsatz von automatisierten Modulen zur Risikoerkennung erforderlich, die sich auf sechs Einsatzfelder konzentrieren:

  • Die Auswertung von Log-Daten aus verschiedenen Quellen sowie Bedrohungs- und Risikodaten mit dem Ziel, fundierte Sicherheitsinformationen für schnelle Reaktionen auf sicherheitsgefährdende Vorfälle sowie für aussagekräftige Compliance-Berichte zu erhalten (Security Information and Event Management / SIEM).
  • Die Erkennung von gefährlicher Malware, Anomalien und anderer Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierenden Detection Engines (Advanced Cyber Intrusion Detection / ACID).
  • Die Sammlung, Analyse und Korrelation von Server- und Client-Logs und die sofortige Alarmierung und Reaktion, sobald Angriffe, Missbrauch oder Fehler erkannt werden. Die Dateiintegrität lokaler Systeme muss geprüft und Rootkits wie versteckte Angriffe, Trojaner und Viren anhand von Systemveränderungen identifiziert werden (Host-based Intrusion Detection).
  • Ein 360-Grad-Überblick über potenzielle Sicherheitsschwachstellen in Betriebssystemen und Anwendungs-Software und die Überwachung sämtlicher Datenflüsse im Netzwerk auf Anomalien (Vulnerability Assessment /VAS).
  • Die Erkennung von Advanced Malware, die konventionelle Sicherheitsmaßnahmen, selbst Advanced Persistent Threat (APT-)Systeme, bisher unentdeckt passierten (Advanced Email Threat Detection).
  • Die automatische Überwachung der Befolgung von Compliance-Vorschriften und die sofortige Meldung von Verstößen zur Minimierung von Compliance-Risiken (Software Compliance).

Korrelation als Meisterstück

Viele aktuelle Angriffsformen sind mittlerweile nicht mehr signaturbasierend erkennbar. Sie können demzufolge nicht anhand bestimmter Muster sondern nur abnormer Verhaltensweisen (Systemveränderungen) erkannt werden. die Korrelation der Log-Daten aus den verschiedenen Quellen der IT-Infrastruktur sowie weiterer sicherheitsrelevanter Daten verlangt den Einsatz von Advanced Correlation Engines. Sie ziehen zur Analyse sowohl signatur- als auch verhaltensbasierende Ereignisse heran und setzen sie in Beziehung. Auf diese Weise sind auch Ereignisse identifizierbar, die auf Missbrauch oder Bedienungsfehler zurückzuführen sind.

Advanced Correlation ist zudem die Voraussetzung zur Erkennung von verdächtigen Verhaltensweisen versteckter oder noch nicht bekannter Angriffsformen.

Damit Advanced Correlation mit anschließender Risikoerkennung oder Alarmierung in dringenden Fällen ordnungsgemäß greift, müssen Regeln, Policies sowie selbstlernende Algorithmen und statistische Modelle hinterlegt sein und ständig aktualisiert werden.

Unersetzbares Expertenwissen

Liefert die automatisierte IT-Risikoerkennung und Korrelation hervorragende Informationen, bedarf es im letzten Schritt einer Interpretation dieser Daten. Professionelle, ständig weitergebildete Experten analysieren und bewerten, priorisieren und entwickeln die Automatismen weiter. Die IT-Infrastruktur sowie die darüber laufenden Geschäftsprozesse werden im Gesamtkontext gesehen. Das „Big Picture“ der aktuellen Risikolage des Unternehmens wird entwickelt und die Systeme werden ständig an neue oder veränderte Bedrohungsszenarien angepasst.

Die Wichtigkeit der Expertenarbeit wird dadurch verdeutlicht, dass nur durch sie schnelle und passgenaue Anleitungen zur Problembehebung umgesetzt werden können. Zudem ist es Aufgabe des Expertenteams, die Regeln, Policies und statistischen Modelle innerhalb der Risikoerkennungsmodule und der Advanced Correlation Engines laufend anzupassen, um Sicherheitslücken oder bisher unbekannte Angriffsarten zu erkennen.

Das bieten Managed Security Services

Angesichts des ehrgeizigen Aufgabenfeldes und des damit verbundenen hohen personellen und finanziellen Aufwandes stellt sich für Unternehmen zunehmend die Frage, ob sie den Schutzschirm dauerhaft in Eigenregie betreiben sollten oder sich des Know-hows und der Werkzeuge eines spezialisierten Dienstleisters bedienen sollten.

RadarServices mit Hauptsitz in Österreich bietet die Services aus einer Hand. Der Security-Spezialist ist der europäische Marktführer für vorausschauende IT-Sicherheitsüberprüfung und IT-Risikoerkennung als Managed Services. Die Experten stellen den Unternehmen ein Komplettpaket für die laufende IT-Sicherheitsüberprüfung zur Verfügung. Es besteht aus Hard- und Software zur umfassenden, automatisierten Erkennung von Sicherheitsproblemen sowie aus dem Analyse-Know-how der Sicherheitsexperten. Aus täglich mehreren Millionen an sicherheitsrelevanten Daten eines mittelständischen oder großen Unternehmens werden so die vier bis fünf entscheidenden Informationen herauskristallisiert.

Die Unternehmen profitieren von einem höchst effektiven, effizienten und immer aktuellen System der IT-Risikoerkennung. Sie wissen auf Knopfdruck, wie es um die IT-Sicherheit ihres Gesamtunternehmens bestellt ist und wo ihre Prioritäten bei der Behebung von Schwachstellen oder bei einem akuten Angriff auf ihre IT liegen sollten. IT-Sicherheit made in Europe bedeutet aber noch mehr: die Prozesse von RadarServices sind durchgehend so organisiert, dass Daten immer im Unternehmen verbleiben. So wird sichergestellt, dass sicherheitsrelevante und damit hochsensible Daten eines Unternehmens physisch niemals seine Unternehmensgrenzen überschreiten.

Alles im Blick

RadarServices konfiguriert, betreibt und wartet die automatisierten Module zur IT-Risikoerkennung und die Advanced Correlation Engine im jeweiligen Unternehmen. Die Regeln, Policies und statistischen Modelle werden im Durchschnitt stündlich aktualisiert. Das Risk & Security Intelligence Team konsolidiert, bewertet und priorisiert die Informationen aus den Werkzeugen je nach Wunsch in regelmäßigen Intervallen oder real-time.

Jedes festgestellte Risiko wird vom Risk & Security Intelligence Team mit einer Anleitung zur Behebung versehen. Das Team ist der zentrale Ansprechpartner für die Mitarbeiter im Unternehmen – per Telefon, Email oder im Rahmen des im Cockpit integrierten Nachrichten- /Feedback-Systems.

Im Risk & Security Cockpit werden die entscheidenden Informationen aus den vorgenommenen IT-Sicherheitsüberprüfungen und Risikobewertungen dargestellt: Die durch RadarServices erkannten und klassifizierten IT-Sicherheitsprobleme, die Dringlichkeitsstufe, den mit der Behebung betrauten IT-Mitarbeiter im Unternehmen und den aktuellen Status der Behebung.

Im integrierten Business Process Risk View werden die von den IT-Sicherheitsproblemen gefährdeten Geschäftsprozesse aufgezeigt. Durch die Überleitung von IT-Risiken über Risiken für IT-Services hin zu Geschäftsprozessrisiken werden die Auswirkungen klar und mit all ihren Zusammenhängen auf Knopfdruck nachvollziehbar.

Die Transparenz ist besonders in Angriffssituationen wichtig. Dann müssen sich interne IT-Teams voll und ganz der Risikobehebung widmen, während Vorstände und Geschäftsführer die für sie notwendigen Informationen über den Fortschritt automatisch, unverzüglich und in der geeigneten Detailtiefe zur Verfügung gestellt bekommen. So trägt das Risk & Security Cockpit zu Effizienz und Effektivität in Notfallsituationen im Besonderen und zu einer fundamentalen Verbesserung des internen Kontrollsystems im Allgemeinen bei.

PDF herunterladen