Cybersicherheit

Gehen Sie nicht in der Flut unter

Sicherheitssysteme schlagen täglich hundertfach Alarm. Doch nicht immer bedeutet ein Alarm auch, dass eine tatsächliche Bedrohung vorliegt. IT-Entscheider müssen in solchen Fällen in der Lage sein, Ernstfälle von sogenannten False Positives unterscheiden zu können.

Angesichts einer wahren Flut an Warnmeldungen hilft ein neuer Ansatz dabei, der Alarmflut Herr zu werden und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Vor Jahren begannen Sicherheitsexperten weltweit damit, die Effektivität der von ihnen genutzten Sicherheitstechnologien messbar machen zu vollen. Diese Überlegung hat dazu geführt, entsprechende Tools an der Zahl der von ihnen erkannten Bedrohungen zu messen. Je öfter eine Technologie Alarm schlägt, desto besser scheint sie zu arbeiten.

Nicht hinter jedem Systemalarm muss ein Cyberangriff stecken.
Nicht hinter jedem Systemalarm muss ein Cyberangriff stecken.
Foto: Andrea Danti - shutterstock.com


In der Realität bedeutet eine möglichst große Zahl von Warnmeldungen jedoch keineswegs mehr Sicherheit - im Gegenteil: Der Trend, immer mehr Warnmeldungen als Zeichen gut funktionierender Sicherheitssysteme zu betrachten, hat dazu geführt, dass CIOs heute vor einer nur schwer zu überblickenden Flut dieser Meldungen stehen. Zeitnahe Reaktion auf kritische Sicherheitsverletzungen sind so kaum möglich.

False Positives trüben den Blick für ernste Bedrohungen

Die überwältigende Mehrheit der von heutigen Sicherheitstechnologien erzeugten Meldungen sind False Positives - also Fehlalarme. Dennoch müssen sich Sicherheitsverantwortlich mit jeder einzelnen Warnmeldung manuell befassen, um ihrem Ursprung auf den Grund zu gehen. Bei gleichzeitigen personellen Engpässen, die in vielen IT-Abteilungen und Sicherheitsteams herrscht, ergibt sich daraus ein Dilemma mit schwerwiegenden Folgen für den Arbeitsalltag der Verantwortlichen für die Cybersicherheit eines Unternehmens.

In vielen Fällen hat sich schnell eine Art "Alarmmüdigkeit" eingestellt. Bei der großen Zahl von Meldungen geht der Blick für die wirklich wichtigen unter ihnen verloren und kritische Zwischenfälle werden nicht oder viel zu spät bemerkt. Zudem bedeuten mehr Meldungen, dass weniger Zeit bleibt, um jeden Vorfall genau zu untersuchen.

Durch die größere Gefahr, entscheidende Meldungen zu übersehen oder zu lange warten lassen zu müssen, wächst auch die Gefahr enormer Kosten durch Sicherheitsverletzungen. Wird ein erfolgreich auf das eigene Netzwerk durchgeführter Angriff nicht oder zu spät bemerkt, räumt dies den Angreifern Zeit ein, sich unbemerkt im Unternehmensnetzwerk zu bewegen, Daten zu stehlen und großen wirtschaftlichen Schaden anzurichten. Laut dem diesjährigen M-Trends-Report von Mandiant vergehen zwischen einer Sicherheitsverletzung und ihrer Feststellung durchschnittlich 205 Tage, in denen Angreifer unbemerkt ihre Ziele verfolgen und Informationen sammeln können.