Must-haves einer Sicherheitsstrategie: Deep Observability und Zero Trust

Einer aktuellen Gigamon-Studie zufolge, haben zwischen 2023 und 2024 30 Prozent der Security-Teams in Deutschland erfolgreiche Cyber-Angriffe übersehen. Doch nur weil der Rest die Gefahr rechtzeitig entdeckt hat, heißt das nicht, dass er sicherheitstechnisch besser dran ist. 32 Prozent dieser Unternehmen fanden erst dann heraus, dass sie Opfer einer Cyber-Crime-Kampagne wurde, als sensible Informationen im Dark Web gelandet sind. Oftmals lässt sich auch der Ursprung eines Cyber-Angriffs nicht wirklich feststellen. Im Falle der Erhebung waren es nur 19 Prozent, die sich der Ursache sicher waren.

Je fortschrittlicher Cyber-Bedrohungen werden, desto schwieriger wird es für Unternehmen, sie zu erkennen, bevor sie erheblichen Schaden anrichten. Der Einfluss von generativer KI wirft zusätzliche Variablen in die Gleichung. 85 Prozent der befragten IT- und Security-Entscheider gehen davon aus, dass sich die Risikosituation – insbesondere die Ransomware-Gefahr – durch neue KI-Tools verschärfen wird.

Sichtbarkeit von der Netzwerk- bis auf die Anwendungsebene

Eine grundlegende Methode, um dem wachsenden Cyber-Risiko entgegenzuwirken und die jedes Unternehmen verinnerlichen sollte, ist umfassende Sichtbarkeit – und zwar von der Netzwerk- bis auf die Anwendungsebene, einschließlich des verschlüsselten Datenverkehrs sowie des East-West Traffics. Die gute Nachricht zuerst: Offenbar hat sich innerhalb des letzten Jahres diesbezüglich viel getan. Unternehmen scheinen zu der Einsicht gekommen zu sein, dass Sichtbarkeit eine integrale Rolle in ihrer Sicherheitsstrategie einnehmen muss.

Im Vergleich zu den Ergebnissen der Studie, die Gigamon 2023 durchgeführt hat, berichten 55 Prozent der deutschen IT- und Security-Entscheider in diesem Jahr, dass ihre Sichtbarkeit von der Netzwerk- bis zur Anwendungsebene greift (2023: 28 Prozent). Das hat dazu geführt, dass sich ihre Sicherheitsbedenken verschoben haben. 2023 hatte die Mehrheit (52 Prozent) noch Angst vor gezielten Angriffen auf blinde Flecken. Dieser Wert ist nun auf 31 Prozent gesunken. Stattdessen sorgen sich Unternehmen jetzt mehrheitlich um neue Cybersecurity-Gesetze und Compliance-Vorgaben (43 Prozent).

Kritische Schwachstelle: verschlüsselter Datenverkehr

Und nun die weniger gute Nachricht: Leider existieren noch immer zu viele blinde Flecken, in die Unternehmen kaum bis gar keine Einsicht haben. So stellt verschlüsselter Datenverkehr vielerorts weiterhin eine kritische Schwachstelle dar. Zwar räumen diesem Angriffsvektor 77 Prozent der IT- und Security-Entscheider eine hohe Priorität ein, aber 70 Prozent vertrauen diesen Daten bedingungslos. Mehr als sechs von zehn Entscheidern nutzen ihre Ressourcen nicht zur Entschlüsselung und Analyse dieser Informationen, da es ihrer Meinung nach zu zeitaufwendig und kostspielig sei. Diese Einstellungen führen dazu, dass verschlüsselte Daten gar nicht erst untersucht werden – eine fatale Fehlentscheidung.

Hinzu kommt, dass sich IT- und Security-Entscheider trotz steigender Security-Ausgaben skeptisch gegenüber ihren Tool Stacks zeigen. So glauben 64 Prozent von ihnen, dass ihre Sicherheitslösungen aufgrund mangelhafter Sichtbarkeit nicht den gewünschten Effekt bringen. 29 Prozent befürchten, dass ihre IT-Sicherheit auf zu vielen schlecht integrierten Anwendungen aufbaut. Und 64 Prozent bestätigen, dass ihr Team von der steigenden Menge an Meldungen überwältigt ist, die eine wachsende Security-Tool-Landschaft mit sich bringt.

Zentrale, umfassende Visibility-Plattform

Wer sich der gefährlichen und zugleich dynamischen Bedrohungslandschaft stellen will, kommt demnach nicht um eine zentrale, umfassende Visibility-Plattform – Deep Observability – herum, die sämtliche Bereiche des Stacks – einschließlich aller blinden Flecken – sichtbar macht und Sicherheits-Tools mit allen notwendigen Informationen versorgt.

Beim herkömmlichen Monitoring werden IT- und Security-Teams auf akute Probleme und Anomalien aufmerksam gemacht. Bei Deep Observability hingegen geht es vielmehr darum, den Ursprung dieser Meldungen zu identifizieren. Dafür untersucht die Plattform in Echtzeit und jenseits des traditionellen Metrik-, event-, log- und tracebasiertes Monitorings alle Datenpakete, die sich Zugang zum Netzwerk verschaffen. Network Packet Broker überwachen dabei sämtliche Traffic Access Points (TAPs) und erstellen Duplikate der Pakete. Dieser gespiegelte Traffic dient dem Team dann als Informationsgrundlage, wenn sie im Falle einer Anomalie Gegenmaßnahmen ergreifen müssen.

Implementierung einer Zero-Trust-Architektur

Da Unternehmen mit Deep Observability Sichtbarkeit bis auf Netzwerkebene schaffen, spielt sie bei der Implementierung einer Zero-Trust-Architektur eine wichtige Rolle. Schließlich lassen sich die Richtlinien für ein effizientes Access-Management nur dann festlegen, wenn IT- und Security-Teams genau wissen, wo sich die Daten im Netzwerk befinden, wie sie sich durch das Netzwerk bewegen und welche Anwendungen, Geräte und Nutzer Zugriff darauf haben. Ein umfassender Visibility-Ansatz deckt in Kombination mit einer entsprechenden Lösung jede noch so versteckte Ecke im Netzwerk auf, in der sich Cyber-Kriminelle mit ihrer Malware verstecken könnten. Dieser Ansicht ist auch die Mehrheit der deutschen IT- und Security-Entscheider. Während 2023 nur 29 Prozent der Unternehmen über die für Zero Trust notwendige Sichtbarkeit verfügten, sind es in diesem Jahr satte 71 Prozent.

Kein Allheilmittel gegen Cyber-Kriminalität

Cyber-Kriminelle werden immer neue Mittel und Wege finden, IT-Schwachstellen gezielt anzugreifen, Malware zu platzieren und/oder sensible Daten zu stehlen. Bis Unternehmen mit neuen Tools aufwarten können, um sich immer wieder vor neuen, unbekannten Angriffsvektoren zu schützen, vergeht erfahrungsgemäß viel Zeit. Zwar gibt es kein Allheilmittel gegen Cyber-Kriminalität, aber eine umfassende Sichtbarkeit und eine darauf aufbauende Zero-Trust-Architektur bilden eine gute Grundlage, um bösartige Aktivitäten im eigenen Netzwerk frühzeitig zu erkennen und den Schaden effektiv einzudämmen.

Tiho Saric

ist Senior Sales Director bei Gigamon.