Angesichts einer wahren Flut an Warnmeldungen hilft ein neuer Ansatz dabei, der Alarmflut Herr zu werden und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Vor Jahren begannen Sicherheitsexperten weltweit damit, die Effektivität der von ihnen genutzten Sicherheitstechnologien messbar machen zu vollen. Diese Überlegung hat dazu geführt, entsprechende Tools an der Zahl der von ihnen erkannten Bedrohungen zu messen. Je öfter eine Technologie Alarm schlägt, desto besser scheint sie zu arbeiten.
In der Realität bedeutet eine möglichst große Zahl von Warnmeldungen jedoch keineswegs mehr Sicherheit - im Gegenteil: Der Trend, immer mehr Warnmeldungen als Zeichen gut funktionierender Sicherheitssysteme zu betrachten, hat dazu geführt, dass CIOs heute vor einer nur schwer zu überblickenden Flut dieser Meldungen stehen. Zeitnahe Reaktion auf kritische Sicherheitsverletzungen sind so kaum möglich.
False Positives trüben den Blick für ernste Bedrohungen
Die überwältigende Mehrheit der von heutigen Sicherheitstechnologien erzeugten Meldungen sind False Positives - also Fehlalarme. Dennoch müssen sich Sicherheitsverantwortlich mit jeder einzelnen Warnmeldung manuell befassen, um ihrem Ursprung auf den Grund zu gehen. Bei gleichzeitigen personellen Engpässen, die in vielen IT-Abteilungen und Sicherheitsteams herrscht, ergibt sich daraus ein Dilemma mit schwerwiegenden Folgen für den Arbeitsalltag der Verantwortlichen für die Cybersicherheit eines Unternehmens.
In vielen Fällen hat sich schnell eine Art "Alarmmüdigkeit" eingestellt. Bei der großen Zahl von Meldungen geht der Blick für die wirklich wichtigen unter ihnen verloren und kritische Zwischenfälle werden nicht oder viel zu spät bemerkt. Zudem bedeuten mehr Meldungen, dass weniger Zeit bleibt, um jeden Vorfall genau zu untersuchen.
Durch die größere Gefahr, entscheidende Meldungen zu übersehen oder zu lange warten lassen zu müssen, wächst auch die Gefahr enormer Kosten durch Sicherheitsverletzungen. Wird ein erfolgreich auf das eigene Netzwerk durchgeführter Angriff nicht oder zu spät bemerkt, räumt dies den Angreifern Zeit ein, sich unbemerkt im Unternehmensnetzwerk zu bewegen, Daten zu stehlen und großen wirtschaftlichen Schaden anzurichten. Laut dem diesjährigen M-Trends-Report von Mandiant vergehen zwischen einer Sicherheitsverletzung und ihrer Feststellung durchschnittlich 205 Tage, in denen Angreifer unbemerkt ihre Ziele verfolgen und Informationen sammeln können.
Zeitnahe Reaktion wird unmöglich
Moderne Sicherheitstechnologien sind nach wie vor auf die Expertise und Detailanalyse von Experten angewiesen, die sich mit den automatisch generierten Warnmeldungen beschäftigen. Dennoch können selbst große Sicherheitsabteilungen das hohe Tempo der hereinkommenden Meldungen kaum halten. Eine von IDC 2014 durchgeführte Studie zu diesem Thema hat gezeigt, dass in 37 Prozent der Unternehmen weltweit je mehr als 10.000 Warnmeldungen pro Monat von den eingesetzten Sicherheitssystemen erzeugt werden. Besonders in Deutschland hält der Trend laut Studie an: Innerhalb von zwei Jahren war die Anzahl der Warnmeldungen um 53 Prozent gestiegen.
Das zeitnahe Entdecken von Sicherheitsverletzungen ist von großer Wichtigkeit für den Schutz vor Cyberangriffen. Wenn in Zukunft jedoch nicht ganze Armadas von Sicherheitsexperten tagaus tagein mit der Bearbeitung von Warnmeldungsfluten mit hoher Fehlerquote beschäftigt sein sollen, so muss die Zahl der Meldungen sinken. Zeitnahe Reaktion wird andernfalls unmöglich und weicht einer Suche nach der Nadel im Heuhaufen.
Letztlich zählt die Zuverlässigkeit
Immer mehr Unternehmen - auch in Deutschland - werden von Cyberkriminellen angegriffen. Dadurch entstehen Schäden in Milliardenhöhe und auch die Reputation eines Unternehmens wird langfristig in Mitleidenschaft gezogen, wenn ein erfolgreicher Angriff auf das Firmennetzwerk bekannt wird. CIOs sind gefordert, neue Ansätze auszuprobieren, um die gezielten Angriffe zu erkennen und Sicherheitsrisiken zu verringern.
Warnmeldungen sind und bleiben ein elementarer Bestandteil der Cybersicherheit. Doch sie müssen ein zuverlässiger Teil sein, um effektiven Schutz zu ermöglichen. Um die Zuverlässigkeit von Technologien verlässlich einzuschätzen und Tools zu bewerten, sollten sich Sicherheitsverantwortliche Zeit nehmen und einen genaueren Blick auf die erzeugten Warnmeldungen werfen. Am Ende des Tages entscheidet nicht, wie viele Meldungen generiert wurden, sondern ob die Angriffe erkannt und eingedämmt werden konnten, die eine Gefahr für die Geschäftigkeit des Unternehmens darstellen. (bw)