Das Homeoffice und die Verbreitung des Internets der Dinge haben die IT-Landschaft von Unternehmen revolutioniert. Doch hinsichtlich der Sicherheit kommen damit neue Herausforderungen auf die Verantwortlichen zu. Das dezentrale Arbeiten und die damit verbundene steigende Zahl an Devices im Netzwerk – vom Laptop über AR-Brillen bis zu IoT-Geräten – schaffen potenzielle Einfallstore für Angreifer. Unternehmen sind daher gut beraten, ihre Security-Strategien anzupassen.
Unsere Welt wird immer digitaler: Wir wohnen im Smart Home, nutzen Fitnesstracker oder VR-Brillen beim Gaming. Bürojobs erledigen wir flexibel von zuhause oder von unterwegs aus. Und auch Produktion und Logistik sind – meist über das Internet of Things – zunehmend vernetzt. IoT-Sensoren an Maschinen, Fahrzeugen oder Produkten sammeln kontinuierlich Daten – über Aggregatszustände, Fahrtrouten oder Nutzerverhalten – und senden diese an Rechenzentren oder in die Cloud, wo sie entsprechend analysiert werden. Durch die vielfältige Vernetzung gibt es deutlich mehr Sicherheitslücken, die Cyberkriminelle für ihre Zwecke nutzen können. Aktuelle Botnets offenbaren die Folgen dieser Entwicklung: Während DDoS-Angriffe früher vornehmlich über klassische PCs abliefen, sind über die Hälfte der kompromittierten Endgeräte mittlerweile Smart Devices wie Anlagen, Heizungen, Lampen – oder eben die persönliche Smart Watch.
Um sämtliche Einfallstore zu schließen und sich besser vor Cyberattacken zu schützen, sind effektive Security-Maßnahmen nötig. Das Problem: In vielen Unternehmen fehlen hierfür die erforderlichen Sicherheitsprofis, denn IT-Fachkräfte sind zurzeit Mangelware. Außerdem sind die wenigen verfügbaren Spezialisten für IT-Sicherheit meist sehr teuer und damit gerade für Mittelständler kaum bezahlbar.
Vor diesem Hintergrund stehen wir nicht nur großen Unternehmen, sondern auch Mittelständlern mit unseren Managed Security Services zur Seite. Dabei übernehmen ausgewiesene Security-Experten rund um die Uhr den Schutz ihrer Daten, Nutzer und IT-Systeme. So überwachen etwa mehr als 200 Cybersicherheitsspezialisten im Security Operations Center (SOC) der Deutschen Telekom in Bonn die IT-Infrastruktur zahlreicher Kunden. Durch unser 24/7-Monitoring wissen wir immer, wie sich die globale Sicherheitslage gerade verändert. Daneben bilden sich unsere Experten kontinuierlich weiter, um stets auf dem neuesten Stand zu sein – sei es bei aktuellen IT-Sicherheitstechnologien oder der Bewältigung von Cyberbedrohungen.
Ein wichtiger Baustein unserer Managed Services sind Sicherheitslösungen für das Security Information and Event Management (SIEM). Sie helfen Unternehmen, wirksame Verteidigungslinien aufzubauen und das eigene Sicherheitsniveau auf ein höheres Level zu heben. SIEM-Lösungen können an unterschiedlichste Datenquellen – wie zum Beispiel IoT-Geräte oder Software-Lösungen – angebunden werden. Sie durchforsten Netzwerke und Systeme der Kunden nonstop nach Anomalien und lösen bei Auffälligkeiten einen Alarm aus.
Diese Alarme wiederum werden von unseren Sicherheitsexperten im Security Operations Center (SOC) analysiert und bewertet: Handelt es sich tatsächlich um einen Eindringling? Oder ist es ein Fehlalarm? Mitunter gelangen Dateien ins Firmennetz, die sich verdächtig verhalten, jedoch völlig harmlos sind. Eine wichtige Rolle spielt hierbei das Content Engineering. In einem fortlaufenden Prozess wird hierbei die Erkennung sicherheitsrelevanter Ereignisse auf Basis der SIEM-Daten weiterentwickelt. Die Aufgabe unserer Content Engineers ist es dann, zu überprüfen und zu entscheiden, inwiefern Anomalien für das Unternehmen gefährlich werden können.
Dabei stellt sich zunächst die Frage, was ein Sicherheitsvorfall ist – und was nicht. Dies bewerten bei klassischen SIEM-Lösungen etwa 700 bis 800 vordefinierte Regeln. Doch wendet man beim Kunden alle Regeln an, laufen pro Stunde schnell bis zu 2.000 Alarme auf. Das ist alles andere als zielführend, denn allein aus Zeitgründen kann kein SOC täglich knapp 50.000 Alarme überprüfen. Daher kommt es darauf an, genau zu wissen, was ein Kunde in seiner IT absichern will und anschließend die entsprechenden Regeln zu definieren und anzuwenden. Meist passt zu Beginn nicht alles optimal zusammen. Deshalb starten wir beim Kunden eine mehrwöchige Tuning-Phase, in der wir die Regeln weiter anpassen können. In der Folge behalten wir das Regelwerk kontinuierlich im Blick und berücksichtigen neue Anforderungen an die Sicherheit wie beispielsweise eine veränderte Bedrohungslage oder neue Compliance-Richtlinien.
Die Vorteile von SIEM und SOC im Zusammenspiel: Netz- und Datenverkehr werden transparent, sodass Unternehmen wissen, was in ihren Netzwerken und Systemen vor sich geht. Zwar kann ein SIEM das Eindringen in dezentrale IT-Infrastrukturen oder ins Internet of Things nicht verhindern, es bemerkt aber sofort, wenn etwas ungewöhnlich ist. Löst das SIEM einen Alarm aus, wird dieser in der Regel innerhalb von 10 bis 15 Minuten durch die Analysten im SOC bewertet und bei einem Sicherheitsvorfall unmittelbar die Incident-Response-Prozesse angestoßen. So lassen sich Sicherheitslücken schnell schließen und dezentrale Arbeitsplätze im Homeoffice oder IoT-Lösungen besser absichern.
SIEM und SOC unterstützen Unternehmen aller Branchen dabei, den Schutz ihrer Infrastruktur zu verbessern. Die Lösungen schützen vernetzte Maschinen und Endgeräte an globalen Produktionsstandorten oder die Mitarbeiter von Behörden, Finanzdienstleistern und Versicherungen im Homeoffice.
Ein weiteres spannendes Einsatzfeld ist das Gesundheitswesen. So kommen in Krankenhäusern zunehmend digitale Lösungen zum Einsatz. Man denke an elektronische Patientenakten oder medizinische Gegenstände wie Pumpen und Infusionsgeräte. Werden Updates nicht regelmäßig eingespielt, kann dies die gesamte Infrastruktur schwächen. Dabei ist es insbesondere bei älteren Geräten nicht möglich, aktuelle Patches einzuspielen. Auf diese Weise entstehen kritische Sicherheitslücken, die Cyberkriminelle ausnutzen können. Gerade im Gesundheitswesen geht es nicht nur um Betriebsausfälle, im schlimmsten Fall stehen Menschenleben auf dem Spiel – was den Schutz von Netzwerk und Systemen durch SIEM und SOC noch viel wichtiger macht.
