Security Automation ist die Zukunft – aber noch mit Vorsicht zu genießen

“Konzerne betreiben längst eigene Security Operations Center (SOCs). Hier fokussieren sich die Mitarbeiter darauf, wie sie ihre Daten und Prozesse vor Manipulationen von außen schützen können. Die Mittelständler würden hier gerne mithalten. Doch selbst wenn sie die finanziellen Mittel dafür aufbringen, macht ihnen der leer gefegte Fachkräftemarkt und der sehr Ressourcen-intensive Aufbau eines SOCs meist einen Strich durch die Rechnung.

Automatisierte Gegenmaßnahmen: zu schön, um wahr zu sein

Stand der Technik auf dem Cybersecurity-Markt bilden Systeme und Verfahren zur Security Orchestration, Automation and Response, kurz SOAR. Sie bieten Werkzeuge für die Analyse von Cyber-Bedrohungen sowie Unterstützung bei der aktiven Bekämpfung von Sicherheitsvorfällen. Darüber hinaus ermöglichen sie, wie der Buchstabe R für „Response“ signalisiert, automatisierte Gegenmaßnahmen.

Das klingt zu schön, um wahr zu sein. Suggeriert es doch: Im Falle des Security Incidents greifen automatisch und dynamisch-implementierte Regeln und stoppen den Angriff schneller, als ein menschlicher Spezialist jemals reagieren könnte. Blitzschnelle automatisierte Gegenmaßnahmen halten angeblich den Angreifer in Schach und das Fehlen von IT-Security-Experten fällt offensichtlich kaum ins Gewicht. Aber wenn etwas zu schön klingt, um wahr zu sein, ist es meist nicht wahr – zumindest nicht uneingeschränkt. Sich allein auf automatische Reaktionen zu verlassen, ist in der Praxis meist nicht empfehlenswert.

Dazu ein Beispiel: Tatsächlich ist eine SOAR-Lösung in der Lage, aus den Ergebnissen der Bedrohungsentdeckung („Detection“) eine Anpassung der Firewall-Regeln abzuleiten – und sie automatisch zu implementieren. Das bedeutet aber eine Operation am offenen Herzen: Während des laufenden Geschäfts würde massiv in den Netzbetrieb eingegriffen. Dabei kann es leicht passieren, dass wichtige Services plötzlich nicht mehr zur Verfügung stehen oder ein kompletter Produktionsstandort ohne Vorwarnung gekappt wird. Der so entstandene Schaden ist unter Umständen größer als der durch den Cyberangriff.

Kleinere Betriebe sind im Nachteil

Die Idee eines automatisierten Gegenschlags mit einer Detection & Response-Lösung ist sicher nicht falsch. Aber die Bedingungen, unter denen er geschieht, und die Maßnahmen, die dabei angewendet werden, müssen sorgfältig abgewogen werden. Die Hoffnung, menschlichen Sachverstand gänzlich durch automatisierte Prozesse zu ersetzen, wird über kurz oder lang enttäuscht. Nach wie vor sind erfahrene Expertinnen und Experten gefragt, die Gefahrensituationen mit all ihren Konsequenzen abschätzen können, geeignete (Re-)Aktionen vorschlagen und die Unternehmensführung miteinbeziehen. Ob ein System vom Netz genommen werden soll, entscheidet in den meisten Fällen dann das Topmanagement.

Wer ein SOC betreibt, wird sich sicher früher oder später mit einer SOAR-Lösung beschäftigen und diese in den SOC-Betrieb integrieren. In letzter Konsequenz wird man auch versuchen, automatische Gegenmaßnahmen zu implementieren. Dabei wird aber in den allermeisten Fällen die Funktion vor Sicherheit gehen. Mit der aktuellen Technik kann das SOC-Team entlastet aber nicht ersetzt werden.

Das Beste aus beiden Welten kombinieren

Doch auch mittelständische Betriebe können von einer solchen Lösung profitieren. Immer mehr Unternehmen nutzen die Dienste eines Managed Security Services Providers (MSSP), der ein virtuelles SOC bereitstellt und Managed Detection and Response, kurz MDR, offeriert. Er übernimmt den Betrieb der SOAR-Umgebung und verknüpft sie mit den kundenspezifischen Log-Quellen. Zudem stellt er die notwendigen IT-Security-Experten und entwickelt Playbooks, an denen sich eine automatisierte Cyberbekämpfung orientiert.

Weil ein MSSP viele Kunden bedient, hat er meist einen guten Überblick über die aktuelle Bedrohungslandschaft und kann im Ernstfall schnell entscheiden, ob und in welcher Form ein Eingreifen sinnvoll ist. Er weiß die optimierten Automatisierungsprozesse zu nutzen, verlässt sich aber nicht alleine darauf, sondern zieht zu gegebenem Zeitpunkt Spezialisten, beispielsweise IT-Forensiker, hinzu. Vor allem aber stimmt er alle Maßnahmen mit den Kunden ab. Im Wechselspiel von Automatisierung und menschlichem Know-how liefert er quasi das Beste aus beiden Welten.”

Roger Homrich

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago