In dem Film Apollo 13 geht es um drei Astronauten, die zur Erde zurückkehren, ohne sich im Klaren darüber zu sein, wie gefährlich ihr Wiedereintritt ist. Zurück in Houston bei Mission Control äußert sich der Leitende Flugdirektor Gene Kranz (gespielt von Ed Harris) zu diesen unglücklichen Ereignissen: „Können die Astronauten denn irgendetwas dagegen tun?“
Niemand wagte es, zu antworten.
„Dann sollten sie nicht Bescheid wissen.“
Wäre Kranz in der IT-Sicherheit tätig, hätte er wahrscheinlich einiges über verwertbare Informationen zu sagen – darüber, wie es manchmal zu wenig und oft viel zu viel davon gibt.
In diesem Artikel zeige ich Ihnen, wie Sie mit Hilfe von Automatisierung die richtigen Informationen nutzen können, um Maßnahmen zu ergreifen und so Cyberangriffe abzuwehren, Risiken zu minimieren, die Compliance zu gewährleisten und die Produktivität zu steigern.
Das größte Sicherheitsrisiko für Unternehmen sind dauerhafte Schäden, die durch den Verlust oder Diebstahl von Daten entstehen. Es wird erwartet, dass das weltweite Datenaufkommen zwischen 2020 und 2025 180 Zettabytes übersteigt. Weltweit fehlen derzeit etwa 3,4 Millionen Cybersecurity-Fachkräfte, es gibt also schlichtweg nicht genügend hochqualifizierte Mitarbeiter. Daher ist es sehr wichtig, dass Automatisierungsmaßnahmen nicht einfach nur Engpässe verschieben, indem neue oder komplexe Personalanforderungen entstehen.
Den Angreifern ist klar, dass Sie Ihre Cloud-Infrastruktur zwar wiederherstellen oder einen Laptop ersetzen können, dass sich jedoch Daten nicht „entstehlen“ lassen. Daher machen sie Ihre digitalen Assets zu einem Angriffspunkt und drohen damit, sie preiszugeben oder zu verschlüsseln, wenn Sie nicht bezahlen. Motivierte Angreifer finden immer wieder neue Wege, um Verteidigungssysteme zu umgehen. Durch die Pandemie und zunehmend verbreitete hybride Arbeitsplätze, Cloud-Dienste und Remote-Geräte ist außerdem die Angriffsfläche stark gewachsen. Einige böswillige Akteure haben sogar gelernt, wie sie aus Mitarbeitern Insider-Bedrohungen machen können – und diese sind am gefährlichsten.
Bei einer derart großen und veränderlichen Angriffsfläche wird es immer mindestens ein Konto, einen Mitarbeiter oder ein System geben, das kompromittiert ist – selbst wenn Unternehmen alles Mögliche tun, um Geräte und Anwendungen rechtzeitig zu patchen.
Wenn die Edge der Angriffsfläche immer größer wird, wandern die Daten in Richtung riesiger, zentralisierter Cloud-Datenspeicher und -Datenbanken.
Dieser Trend wird sich wahrscheinlich fortsetzen, da zentralisierte Cloud-Datenspeicher dazu beitragen können, dass alle Benutzer, Geräte und Dienste miteinander verbunden und für geographisch weit verteilte Teams verfügbar sind. Ohne durchgehende und regelmäßige Verbindungen wäre eine verteilte Belegschaft isoliert und viel weniger produktiv.
Durch die Zentralisierung von Daten konzentrieren wir aber auch den Großteil des Risikos. Wenn solche Datenspeicher gut kontrolliert werden, können wir die negativen Auswirkungen eines einzelnen kompromittierten Benutzers oder eines Geräts erheblich reduzieren. Wir müssen alles Mögliche tun, um die Edges sicher zu halten und alle besorgniserregenden Signale, die davon ausgehen, zu überwachen. Es ergibt jedoch keinen Sinn mehr, knappe Ressourcen dort einzusetzen, wo sich nicht der Großteil des Risikos befindet.
Wenn Sie nicht wissen, aus welcher Richtung ein Angriff kommen wird, aber genau wissen, was sein Ziel sein und wo er Schaden anrichten wird, dann sollten Sie Ihre Ressourcen genau dort einsetzen. Logischerweise haben viele Sicherheitsteams damit begonnen, sich mehr und mehr auf diese zentralisierten Datenspeicher zu konzentrieren und nach Automatisierungsmöglichkeiten zu suchen, um besser zu verstehen, wie sie sich konfigurieren, verwenden und kontrollieren lassen.
Fangen wir mit grundlegenden Fragen an, beispielsweise: „Werden wichtige Daten dort gespeichert, wo sie gespeichert werden sollen?“ und „Sind die Anwendungen korrekt konfiguriert?“
Solche Fragen kann man mithilfe von Automatisierung beantworten, aber die Antworten führen in der Regel zu neuen Fragen und unvorhergesehenen Engpässen. Wenn beispielsweise sensible Daten entdeckt werden, stellt sich die Frage, ob sie korrekt gesichert sind, wie sie verwendet werden und wie lange sie gespeichert werden sollten – sofern sie denn überhaupt gespeichert werden sollten. Fehlkonfigurationen müssen sicher behoben werden, damit sie die Produktivität nicht beeinträchtigen.
Arbeitsabläufe, Projekte und Berufe ändern sich im Laufe der Zeit. Korrekte Konfigurationen sind sechs Monate später womöglich nicht mehr korrekt. In hochgradig kollaborativen Umgebungen, in denen Benutzer Daten ohne Unterstützung oder Kontrolle durch die IT-Abteilung austauschen, sollte man davon ausgehen, dass vieles falsch gemacht wird. Oft teilen Benutzer zu viele Daten mit den falschen Personen, die dann auf unbestimmte Zeit Zugriff haben.
Wie kann man die richtige Sicherheitsautomatisierung auswählen?
Die Automatisierung sollte Ihre Belastung verringern und nicht erhöhen. Wenn Sie Zeit und Mühe in die Sicherheitsautomatisierung investieren, muss diese auch Ergebnisse liefern und sollte Ihnen keine neue Arbeit aufbürden, für die Sie nicht genug Personal haben. Wenn Sie hochspezialisiertes Fachwissen benötigen, um die Automatisierung zu implementieren oder auf der Grundlage der daraus erhaltenen Informationen Maßnahmen zu entwickeln, dann müssen die Produktivitätssteigerungen die zusätzlichen Personalkosten und die Suche nach Fachkräften mit diesen spezifischen Qualifikationen rechtfertigen.
Da das Volumen und der Wert von Daten zunehmen, wird es immer schwieriger, sie zu schützen. Menschliche Verstärkung kommt nicht schnell genug nach, sodass man diese massiven Datenspeicher auch durch Automatisierung nicht davor bewahren kann, Ziel eines Angriffs zu werden.
Dieser Artikel wurde ursprünglich in Forbes veröffentlicht.