So lassen sich kritische Daten in Echtzeit schützen

Wie schütze ich meine kritischen Daten?

Die entscheidende und komplexeste Frage lautet: Wie lassen sich die kritischen Daten an den entsprechenden Orten möglichst zuverlässig und effizient schützen? Hier sollte jedem Unternehmen klar sein, dass es keinen hundertprozentigen Schutz gibt und sich jedes Sicherheitssystem umgehen lässt. Daher lautet das Ziel, es den Hackern möglichst schwer zu machen - einerseits um sie durch den nötigen hohen Aufwand abzuschrecken, andererseits um möglichst viel Zeit zwischen dem ersten Versuch und einem erfolgreichen Angriff zu erhalten. Damit erhöht sich die Wahrscheinlichkeit, die Attacke rechtzeitig entdecken und aktiv blockieren zu können.

Für einen effizienten Schutz sollten die kritischen Daten selbst so eng wie möglich überwacht werden. Dabei ist zu beobachten, was rund um die Datentresore geschieht, wer sich Zugang dazu verschafft und welche Aktionen ausgeführt werden. Dazu sind insbesondere Datenbank, File Server und Cloud-Anwendungen durch Activity-Monitoring-Tools, häufig kombiniert mit Security Information & Event Management (SIEM), zu überwachen. Damit können Unternehmen erfassen, was mit den kritischen Daten aktuell geschieht. Dann lassen sich Abweichungen vom normalen Verhalten erkennen und diese Anomalien automatisch entweder direkt an den zuständigen Administrator, den Chief Security Officer (CSO) oder an eine Sicherheitslösung wie ein SIEM oder SOC (Service Operation Center) senden. Nur durch dieses Erkennen und "Melden" kann der entsprechende Datenabfluss blockiert werden.

Wie reagiere ich auf einen Angriff?

Das Erkennen und Blockieren eines Angriffs ist zwar der entscheidende Schritt, doch damit ist das Thema noch nicht beendet. Schließlich sollte das Unternehmen schnell und effizient auf Angriffe reagieren können. Daher benötigen Unternehmen eine klare Prozessbeschreibung, was in welchem Fall geschehen soll.

Werden Angriffe automatisch blockiert oder Alarmmeldungen an den Administrator oder direkt an den CSO weitergeleitet, der über das weitere Vorgehen entscheidet? Wer wird über den Vorfall wie informiert? Soll das Activity-Monitoring-Tool selbst Alarmmeldungen an die Zuständigen verschicken oder an ein umfassendes Sicherheitssystem wie SIEM oder SOC? Welche Maßnahmen werden in welchem Fall durchgeführt: Firewalling, das Kappen der Netzwerkverbindung, die Unterbrechung des Datenstroms an die Anwendung oder das Sperren des Nutzer-Accounts, falls darüber etwa kritische Daten auf öffentlichen Cloud-Speichern abgelegt werden?

Nur wenn diese vier Schritte sorgfältig und umfassend durchgeführt werden, sind Unternehmen gut gerüstet. Dabei sind Activity-Monitoring-Tools heute unverzichtbar, da herkömmliche Lösungen keine Aktivitäten prüfen können. Gute Activity-Monitoring-Tools lassen sich zwar auch isoliert betreiben, doch eine Integration in ein SIEM oder SOC bietet wesentlich mehr Schutzmöglichkeiten und ist damit in nahezu jedem Fall ratsam. (hal)