Security Automation

Auf der Schnellstraße zu besserer IT-Sicherheit

29.12.2017 von Gerald Spiegel
IT-Sicherheit kostet Geld und macht sich auch nach gebräuchlichen Kennzahlen wie ROI nicht bezahlt. Aber die Frage nach den Kosten der Sicherheit führt in die Irre - sie sollte ersetzt werden durch die Frage nach dem Preis, den ein Unternehmen zu zahlen hat, wenn seine Sicherheitsmechanismen versagen.

Die Antwort lautet: 3.420.000 Euro. So viel kostet eine durchschnittliche Datenpanne in Deutschland - inklusive Regressforderungen von Kunden und Partnern, Bußgelder sowie schwer zu beziffernder "Imageschäden". Zumindest besagen das die Berechnungen der von IBM gesponserten "Cost of Data Breach"-Studie 2017 des Ponemon-Instituts. Und das ist schon eine gute Nachricht, denn es entspricht einem Rückgang um 5,4 Prozent im Vergleich zum Vorjahr.

Automatisierung: Highway to Security?
Foto: jamesteohart - shutterstock.com

Die vergleichsweise gute Lage führt das Institut darauf zurück, "dass europäische Unternehmen in einem Umfeld arbeiten, in dem Datenpannen strengeren Meldevorschriften unterliegen" als beispielsweise in den USA. Laut Studie hat die Reaktionsschnelligkeit eines Unternehmens im Fall eines Hackerangriffs direkten Einfluss auf die Kosten. Wer zum Beispiel Datenpannen innerhalb eines Monats behob, konnte eine Million US-Dollar einsparen im Vergleich zu Unternehmen, die eine Reaktionszeit von mehr als einem Monat benötigten.

Der Trend zu mehr Datenschutz kommt den Unternehmen hier eindeutig zugute: Regulatorische Vorschriften wie die EU-Datenschutz-Grundverordnung (DSGVO), KRITIS zum Schutz kritischer Infrastrukturen, das IT-Sicherheitsgesetz oder die Mindestanforderungen an das Risikomanagement (MaRisk) tragen dazu bei, dass Unternehmen mehr Anstrengungen in den Schutz von Daten (und IT-Infrastrukturen) stecken – weil sie es müssen und weil es ihnen im härter werdenden Wettbewerb Vorteile und Imagegewinne beschert. Beide Faktoren – Zeit und Kosten – führen zur Notwendigkeit von Security Automation.

Zum Video: Auf der Schnellstraße zu besserer IT-Sicherheit

Was ist Security Automation überhaupt?

Security Automation muss ein fester Bestandteil von Sicherheitsstrategien sein. Der Begriff meint den Einsatz automatischer Systeme zur Erkennung, Bewertung und Verhinderung oder Eindämmung von Cyber-Sicherheitsvorfällen sowie Erkennung, Bewertung und Beseitigung von Schwachstellen oder Non-Compliances. Security Automation adressiert dafür folgende zentrale Handlungsfelder:

• Prävention etwa über automatisiert vorgenommene Sicherheitseinstellungen auf IT-Systemen, in Anwendungen und in Netzwerken,
• Detektion von Anomalien (die auf mögliche Angriffe hindeuten) und tatsächlicher Angriffe,
• automatisierte Bewertung als erste Indikation vor der manuellen (menschlichen) Bewertung – schematisch und standardisiert
• Reaktion zur Wiederherstellung der System-Sicherheit und zur Behebung von Schäden oder automatisierte Reaktion auf Angriffe (Intrusion Response System) sowie die Beseitigung von Malware.

Zu jedem dieser Handlungsfelder gehören eine ganze Reihe von Einzelmaßnahmen technischer und organisatorischer Art. Security Automation kann viele dieser Maßnahmen beschleunigen oder signifikant verbessern im Hinblick auf Qualität und Verlässlichkeit.

"An Automatisierung kommt niemand vorbei"

IDG Research hat vor kurzem die Studie "Security Automation 2017" vorgestellt. Zentrales Ergebnis der Untersuchung: An der Automatisierung von Prozessen im Bereich IT-Sicherheit kommt mittelfristig kein Unternehmen vorbei, das schneller und wirkungsvoller auf Angriffe von außen reagieren und gleichzeitig seine Infrastrukturen besser vor Attacken schützen möchte.

Security Automation bietet weitere Vorteile: Es erfüllt die steigenden Erwartungen an Cyber-Security aufgrund der immer komplexeren Bedrohungsszenarien und der ebenfalls zunehmenden Komplexität von IT-Infrastrukturen und Firmennetzen. Zudem nimmt es der IT durch den Rückgang manueller Tätigkeiten bei Kontrolle, Eingriffen und Berichten ein wenig vom immerwährenden Kostendruck, der auf ihr lastet. Schließlich unterstützt die Automatisierung Unternehmen dabei, regulatorische und Compliance-Anforderungen besser zu erfüllen, auch wenn kein Gesetz sie explizit fordert.

Zum Video: Auf der Schnellstraße zu besserer IT-Sicherheit

Voraussetzungen für Security Automation

Unternehmen, die auf Security Automation setzen möchten, sollten die folgenden Voraussetzungen für den Einstieg erfüllen:

  1. Ein firmenweit einheitliches Datenmodell sowie Zugang zu den Daten, die für wirksame Prävention, Detektion und Reaktion nötig sind.

  2. Ein Asset Management für Unternehmensdaten: Wo liegen diese Daten, wer hat Zugriff darauf, welche Daten sind unbedingt, welche weniger schützenswert?

  3. Policies, die den Umgang mit Daten, die Sicherung mobiler Geräte und die Zugriffsrechte von Mitarbeitern verbindlich regeln und ausrollen

  4. Offene Schnittstellen zu Datenquellen unterschiedlicher Provenienz, die es möglich machen, Insellösungen zu vermeiden und Security Automation zu zentralisieren.

Die gute Nachricht: Wer schon bisher wenigstens den gröbsten Teil seiner Hausaufgaben bei der IT-Sicherheit erledigt hat, fängt bei der Security Automation nicht bei null an, sondern kann auf unterschiedlichen Maßnahmen wie SIEM, Vulnerability-Scans, Firewall-Management, Intrusion und Malware Detection aufbauen.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

In jedem Unternehmen gibt es Bereiche und Prozesse, die sich automatisieren lassen, etwa mit der automatischen Provisionierung von Berechtigungen, bei toolgestützten Workflows mit Eskalationsmechanismen oder im Berichtswesen durch die automatisierte Messung von Security-KPIs.

So klappt der Security-Automation-Einstieg

Der Einstieg in Security Automation beginnt für jedes Unternehmen bei den Basics: Security Information and Event Management (SIEM) sorgt dafür, dass Unternehmen sicherheitsrelevante Informationen aus Log-Files, Netzwerken und mobilen Geräten sammeln, korrelieren und auswerten können. Für SIEM gibt es eine Reihe von Standardlösungen, die Gartner 2016 in seinem Magic Quadrant for Security Information and Event Management eingeordnet und bewertet hat.

SIEM - Security Analytics
IP-Filter
Die SIEM-Lösung zeigt unter anderem an, von welcher IP-Adresse aus zu bestimmten Zeiten auf bestimmte Daten (in diesem Fall aus einer IRC-Verbindung) zugreifen.
Gefahrenquellen
Es werden Daten über laufende Programme und Web-Services erhoben.
Art des Traffics
Über welche Protokolle und Web-Services welcher Datenverkehr fließt, lässt sich ebenfalls nachvollziehen.

Auf die Liste der wirksamen Maßnahmen gehören auch so genannte IT-Health-Checks, bei denen der Ist-Stand von sicherheitsrelevanten Systemeinstellungen mit dem in unternehmensweiten Richtlinien (Policies) festgelegten Soll-Zustand abgeglichen und auf Compliance überprüft wird.

Zu den fortgeschrittenen Maßnahmen in der Security Automation zählt der Einsatz von SIEM mit Threat Intelligence, die nicht einfach nur auf Basis von Log-Daten vor Auffälligkeiten und Anomalien warnt. Ohne zusätzliche Informationen über die akute Bedrohungslage kann ein SIEM häufig Fehlalarme auslösen, was diese Automatisierungsmaßnahme irgendwann ad absurdum führen würde. Threat Intelligence sucht nicht blind, sondern gezielt nach bestimmten Auffälligkeiten und reduziert so das Risiko von Fehlalarmen, nicht aber die Zahl der entdeckten echten Angriffe.

Intelligenz in der Abwehr von Bedrohungen und Angriffen und für den Schutz von IT-Infrastrukturen wird auch in Zukunft eine wichtige Rolle spielen: Machine Learning hat die Fähigkeit, eigenständig (also automatisch) Muster in großen Datenmengen zu erkennen und zu analysieren. IBM setzt hier zum Beispiel für die intelligente Suche nach Auffälligkeiten und Abweichungen auf seine künstliche Intelligenz Watson, die zudem dafür zuständig ist, in Millionen von Blogs, Online-Foren und Whitepapers nach dem Wissen zu suchen, das die Unternehmens-IT braucht, um Bedrohungen wirksam zu begegnen.

Machine Learning - Technologien und Status quo
Bilderkennung ist wichtigstes Anwendungsgebiet für Machine Learning
Heute kommen Machine-Learning-Algorithmen vor allem im Bereich der Bildanalyse und -erkennung zum Einsatz. In Zukunft werden Spracherkennung und -verarbeitung wichtiger.
Machine Learning im Anwendungsbereich Customer Experience
Heute spielt Machine Learning im Bereich Customer Experience vor allem im Bereich der Kundensegmentierung eine Rolle (hellblau). In Zukunft wird die Spracherkennung wichtiger (dunkelblau).
Machine Learning in den Bereichen Produktion und Prozesse
Unternehmen erhoffen sich im Bereich Produktion/Prozesse heute und in Zukunft (hell-/dunkelblau) vor allem im Bereich Prozessoptimierung positive Effekte durch Machine Learning.
ML im Bereich Kundendienst und Support
Sentiment-Analysen werden eine Kerndisziplin für Machine Learning im Bereich Kundendienst und Support
Auch IT-Abteilungen profitieren
Schon heute wird Machine Learning für die E-Mail-Klassifizierung und Spam-Erkennung genutzt. In Zukunft (dunkelblau) werden Diagnosesysteme wichtiger.
Was Management, Finance und HR von Machine Learning erwarten
Heute und in Zukunft ist in diesem Bereich das Risikomanagement eine vorrangige ML-Disziplin. In Zukunft soll auch das Talent-Management beflügelt werden.
Massive Effekte für Einkauf und Supply Chain Management
Machine Learning wird sich auf verschiedenste Bereiche des Procurements und des Supply Managements auswirken (hellblau = heute; dunkelblau= in Zukunft)
Diese Lernstile sind bekannt
Beim bekanntesten Lernstil, dem Überwachten Lernen (Supervised Learning), werden Bildern oder Dokumenten von Hand eine gewisse Menge an Tags oder Labeln zugewiesen. So werden die ML-Algorithmen trainiert.
Diese Lernstile verwenden Branchen
Während Autobauer eher auf "Semi-supervised Learning" setzen, sammeln andere Branchen mit Supervised Learning Erfahrung.
Machine-Learning-Algorithmen
Die meisten Unternehmen setzen auf einen Mix von Verfahren, um ihre vielfältigen Aufgaben zu lösen.
Einsatz von Machine-Learning-Algorithmen nach Branchen
Neuronale-Netzwerk-Algorithmen finden vor allem im Automotive-Sektor Verwendung - und natürlich in der ITK-Branche selbst.
Diese Programmiersprachen und Frameworks kommen im ML-Umfeld zum Einsatz
Mit knapp 70 Prozent Einsatzgrad ist Java die führende Programmiersprache im Bereich ML. Allerdings holen speziellere Sprachen und Frameworks auf.
Deep-Learning- und Machine-Learning-Packages
DeepLearn Toolbox, Deeplearning4j, das Computational Network Toolkit und Gensim werden auf Dauer die führenden Pakete sein.
Zielinfrastruktur für ML-Workloads
Die Deployments von Machine Learning gehen zunehmend in die Breite und erreichen auch die Cloud und das Internet der Dinge. Auf die Unternehmen kommt mehr Komplexität zu.
Bedenken und Herausforderungen
Datenschutz und Compliance-Themen machen Anwender am meisten zu schaffen, geht es um den Einsatz von Machine Learning. Außerdem vermissen viele einen besseren Überblick über das Marktangebot.
Machine Learning ist Sache der BI- und Analytics-Spezialisten
Die organisatorische Einführung von ML obliegt meistens den BI- und IT-Profis. Viele Anwender holen sich aber auch externe Hilfe.
Wo Externe helfen
Datenexploration, Skill-Aufbau und Implementierung sind die Bereiche, in denen Machine-Learning-Anfänger am häufigsten externe Hilfe suchen.

Die Nebenwirkungen der IT-Sicherheits-Automatisierung

Doch auch die Risiken der Automatisierung sollten nicht verschwiegen werden: Wer sich völlig oder zu sehr auf das automatische Entdecken und Beheben eventueller Schwachstellen verlässt, läuft Gefahr strukturelle Fehler und komplexe Schwachstellen in den Systemen erst (zu) spät zu entdecken. Dazu gehören zum Beispiel auch fahrlässiges und vorsätzliches Fehlverhalten von Mitarbeitern. Nicht jeder dieser Bedrohungen lässt sich automatisiert begegnen.

Ferner befreit Security Automation das bestehende IT-Sicherheitspersonal zwar von Standard-Tätigkeiten, dies darf jedoch nicht darüber hinwegtäuschen, dass im Fehlerfall bei einem hohen Automatisierungsgrad oder zur Weiterentwicklung der Automatisierung die Anforderungen an Fähigkeiten, Kenntnisse und Erfahrung des Betriebspersonals deutlich ansteigen. Wer das nicht berücksichtigt, steht bei einem Ausfall am Ende womöglich schlechter da als vorher.

Zum Video: Auf der Schnellstraße zu besserer IT-Sicherheit

Fazit: Automatisierung ist nicht alles, aber ohne geht nicht

Security Automation steht bei den meisten von IDG befragten Sicherheitsverantwortlichen nicht an erster Stelle. "Eine höhere Priorität haben für die Befragten Themen wie der Schutz von mobilen Systemen und Apps, die Absicherung von Cloud-Infrastrukturen und -Anwendungen sowie die Umsetzung der neuen EU-Datenschutz-Grundverordnung", heißt es in der Studie.

Dennoch werden sich die meisten Unternehmen mit Security Automation auseinandersetzen, wohl auch aus dem Bewusstsein heraus, dass sie ihre Fokusthemen über Automatisierung ebenfalls besser in den Griff bekommen als ohne. In Anbetracht der aktuellen Bedrohungsszenarien und unter den genannten Voraussetzungen ist das auch völlig richtig so. Security Automation bietet immenses Potenzial – wenn die Voraussetzungen stimmen.

Dazu gehören eine gestiegene Awareness für das Thema Sicherheit, aber eben auch Maßnahmen zur automatisierten Erkennung und Abwehr von Angriffen. All das wird nicht zu absoluter IT-Sicherheit führen, denn die kann es systembedingt gar nicht geben. Aber es bringt Unternehmen auf den richtigen Weg, um ein optimales Maß an Sicherheit - im Sinne von Kosten und Restrisiko - erreichen zu können.