Cybersicherheit: Warum Prävention allein heute nicht mehr reicht

Bekämpfung von Cyberangriffen: Fehlalarme mindern die Effektivität

Einer der Hauptgründe, warum Cyberattacken nicht schneller erkannt werden, ist die schiere Anzahl an Sicherheitswarnungen, die über die Cyberfachleute hereinbrechen. Eine weltweite Cisco-Umfrage ergab, dass 17 Prozent der Unternehmen 2019 täglich mindestens 100.000 Warnungen erhielten. Eine unglaublich hohe Zahl, die letztendlich dazu führt, dass ungefähr die Hälfte der echten Bedrohungen nicht wahrgenommen wurde.

Security Information und Event Management (SIEM)-Software soll Analysten bei der Überwachung von Bedrohungen in Echtzeit unterstützen. Schätzungen zufolge verbringen Analysten jedoch etwa ein Viertel ihrer Zeit damit, Fehlalarme zu untersuchen, die diese Tools erzeugen. Eine Umfrage unter Cybersicherheitsfachleuten aus 2019 zeigt, dass die Prüfung jeder Warnung mehr als zehn Minuten Zeit kostet – und mehr als die Hälfte der Warnungen stellt sich letztendlich als Fehlalarm heraus. Folglich verbringen Analysten den Großteil ihrer Zeit damit, Warnungen zu checken und zu verwalten, anstatt echte Bedrohungen einzudämmen oder zu beseitigen.

Wie intelligente Automatisierung bei der Bekämpfung von Cyberangriffen hilft

Damit künftig keine wertvolle Zeit mehr verloren geht, binden immer mehr Anbieter von SIEM-Software KI-Technologien in ihre Produkte ein, um die Anzahl der Fehlalarme zu reduzieren. Auch Unternehmen kombinieren Automatisierung mit KI, um Angriffe effizienter zu erkennen und besser darauf reagieren zu können. Unternehmen ohne Sicherheitsautomatisierung entstanden 2019 beinahe doppelt so viele Kosten aus Cyberangiffen wie Unternehmen, bei denen die Automatisierung bereits vollständig umgesetzt war. 75 Prozent der befragten Sicherheitsfachleute bestätigen außerdem, dass Automatisierung besonders wichtig sei, um Cyberresilienz zu erreichen.

KI-Anwendungen können beispielsweise so programmiert werden, dass sie Bedrohungen automatisch abwehren oder diese überlisten, indem sie falsche Signale senden, während sie Informationen sammeln. Erscheint eine neue Form von Malware, vergleicht die KI diese dann mit bisherigen Formen in ihrer Datenbank und entscheidet, ob die Malware automatisch abgewehrt werden soll. In Zukunft könnte sich KI dahingehend entwickeln, dass sie beispielsweise Ransomware erkennt, bevor diese Daten verschlüsselt. Oder KI setzt noch früher an und stellt fest, ob eine Website zu einer bösartigen Domain führt.

Wollen Unternehmen Bedrohungen effektiv erkennen, ist die Kombination aus menschlicher und Künstlicher Intelligenz am sinnvollsten. Unternehmen, die bereits KI einsetzen, geben an, dass sie dadurch die benötigte Zeit zur Erkennung von Bedrohungen und Sicherheitsverletzungen um zwölf Prozent reduzieren konnten.[1] Außerdem kann KI die Benutzerauthentifizierung und den Passwortschutz verbessern.

SOAR: Orchestrierung von menschlichem und maschinellem Lernen

Viele Unternehmen setzen auf Security Orchestration, Automation and Response (SOAR). SOAR-Dienste verwenden Daten aus SIEM- und anderen Sicherheitssystemen, um die Reaktion auf Vorfälle zu standardisieren und zu verkürzen. Dafür vereinen sie Orchestrierung, Automatisierung und Bedrohungserkennung sowie menschliches und maschinelles Lernen, um Bedrohungen zu identifizieren und einzudämmen.

Sie analysieren Cyberangriffe und entscheiden, ob automatisch gehandelt werden kann oder ob menschliches Eingreifen erforderlich ist. So können SOAR-Dienste zum Beispiel ein System umgehend isolieren oder herunterfahren, sobald sie bösartige Aktivitäten erkennen. Sie können auch die Ausbreitung von Malware verlangsamen, indem sie Vorgänge wie die Erfassung forensischer Daten und die Suche nach Schwachstellen automatisieren. Laut IBM reduzieren automatisierte, orchestrierte Reaktionen die durch Datenverletzung entstehenden Kosten um durchschnittlich 1,5 Millionen US-Dollar.

Cybersicherheit auslagern oder doch auf geschulte Mitarbeiter setzen?

Wer Cyberangriffe schnell erkennen und bannen will, muss in Technologien und personelle Ressourcen investieren. Das können kleine und mittlere Unternehmen (KMU) nicht immer leisten. Doch gerade kleine Unternehmen, öffentliche Einrichtungen und Gesundheitsdienstleister werden zunehmend von Cyberkriminellen angegriffen, die sich einen größeren Erfolg von diesen weichen, datenreichen Zielen versprechen.

Diese Unternehmen sollten daher zumindest darauf achten, Antivirus- und Anti-Malware-Programme zu installieren und fortlaufend zu aktualisieren. Eine ausreichende Anzahl an gut ausgebildeten Cybersicherheits-Mitarbeitern ist ebenfalls entscheidend, um Bedrohungen schnell zu begegnen.

Viele Unternehmen wollen keine eigenen Teams aufbauen und halten es für die beste Lösung, Sicherheitsdienste auszulagern. Wichtig ist hierbei, einen verlässlichen Anbieter zu wählen. Ungefähr ein Drittel der 2019 von Cisco befragten Unternehmen haben Dienste zur Reaktion auf IT-Sicherheitsvorfälle ausgelagert. Mehr als die Hälfte davon nennt die „schnellere Reaktion auf Vorfälle“ als Hauptgrund.

Sogenannte Managed Detection and Response (MDR) Services werden besonders bei kleineren Unternehmen immer beliebter. Sie sollen helfen, Malware und bösartige Aktivitäten eines Systems zu erkennen. MDR helfen den Unternehmen, schneller zu reagieren und die Bedrohungen zu eliminieren. Typischerweise vereinen MDR-Services den Einsatz von Technologie und externen Analysten. Das Marktforschungsunternehmen Gartner prognostiziert, dass bis 2024 ein Viertel der Unternehmen solche Dienste einsetzen wird. Zum Vergleich: 2019 waren es gerade einmal fünf Prozent.