Die breit angelegte Attacke mit der Erpressersoftware "WannaCry" hat in jüngster Zeit wieder einmal deutlich gemacht, wie anfällig IT-Systeme für Angriffe von Cyber-Kriminellen sind - auch Server, Arbeitsplatzrechner und Mobilsysteme von Unternehmen. "Gerade die Attacken mit Ransomware zeigen, dass zunehmend auch mittelständische Firmen in das Visier der Angreifer geraten", so Tommy Grosche, Director Channel Sales Germany bei Fortinet, einem Anbieter von Produkten für die Netzwerk- und Content-Sicherheit sowie Secure Access. Zusammen mit neun anderen Experten von führenden IT-Sicherheitsunternehmen nahm Grosche am COMPUTERWOCHE-Roundtable zum Thema Security Automation teil.
Eine zentrale Frage, die im Rahmen der Diskussionsrunde erörtert wurde: Ob sich Angriffe auf die IT-Infrastruktur von Unternehmen und öffentlichen Einrichtungen wirkungsvoller abwehren lassen, wenn IT-Security-Systeme automatisch auf solche Attacken reagieren können. Handlungsbedarf besteht in jedem Fall, so Oliver Dehning, Chief Executive Officer von Hornetsecurity, einem Unternehmen, das sich auf Cloud-Security-Services spezialisiert hat: "Ein Faktor, der die Diskussion über IT-Sicherheit und Security Automation voranbringt, sind die verschärften gesetzlichen Vorgaben, vor allem die Datenschutz-Grundverordnung der EU. Solche Regelungen verlangen beispielsweise einen 'Security-by-Design'-Ansatz."
Sicherheit muss integriert sein
Das heißt, die IT-Sicherheitskonzepte von Unternehmen müssen Datenschutz und Informationssicherheit bereits bei Prozessen, Anwendungen, dem Datenmanagement und Produkten berücksichtigen. Das erfordert einen ganzheitlichen Ansatz, so Benjamin Breu, Cyber Security Manager beim Beratungshaus Capgemini: "Wichtig ist, dass IT-Sicherheit ein integraler Bestandteil der Enterprise-Architektur ist." Andreas Süß, Vorstand und Chief Operating Officer der iT-CUBE SYSTEMS AG, eines Full-Service-Providers für IT-Sicherheit, geht noch einen Schritt weiter: "Bereits bei der Software- und App-Entwicklung sollte IT-Security eine zentrale Rolle spielen."
Doch exakt an dieser ganzheitlichen Sicht fehlt es laut Oliver Dehning von Hornetsecurity noch: "IT-Sicherheit ist mittlerweile auch in Branchen wie dem Automobilbau oder der Fertigungsindustrie hoch relevant. Das Problem besteht darin, dass IT-sicherheitsrelevante Aspekte häufig nicht per se in ein Produktdesign integriert werden." Das ist insofern problematisch, als Technologien wie die Vernetzung von "Dingen" (Internet of Things), Industrie 4.0 und Home Automation die Angriffsfläche für Hacker erheblich vergrößern. Daher sind nach Einschätzung der Diskussionsteilnehmer Konzepte wie IT Security Automation künftig unverzichtbar, um Angriffe proaktiv zu erkennen und schnellstmöglich zu unterbinden.
Bewusstsein bei Anwendern schärfen
Doch ehe sie vorhandene IT-Sicherheitsansätze in Richtung Security Automation weiterentwickeln, müssen IT-Abteilungen und Business-Entscheider erst ihre "Hausaufgaben" machen. Dazu zählt, sich generell über die wachsende Bedeutung von IT-Sicherheit klar zu werden. Darüber sind sich alle Teilnehmer des Roundtable einig: "Die 'Awareness' im Bereich IT-Sicherheit ist bei vielen Unternehmen noch ausbaufähig. Derzeit sind viele Unternehmen zu stark darauf fokussiert, Attacken durch externe Hacker abzuwehren. Viele vernachlässigen die Tatsache, dass auch die eigenen Mitarbeiter die Sicherheit der IT gefährden können", stellt beispielsweise Alexander Haugk fest, Senior Consultant und Trainer bei der baramundi software AG. Das Kernprodukt des Unternehmens aus Augsburg ist eine modulare Suite für das Client-Management.
Daher ist es nicht verwunderlich, dass viele Unternehmen einen relativ neuen Ansatz wie das Automatisieren von Aktionen im Bereich IT-Sicherheit noch nicht "auf dem Radar" haben. "Automatisierung im Bereich IT-Security wird heute in den wenigsten Unternehmen zielgerichtet eingesetzt. Eigentlich können man sagen, dass diese Technologie noch in den Kinderschuhen steckt", so Matthias Straub, Director Consulting Services bei NTT Security. Das Unternehmen bietet insbesondere Services in den Bereichen Informationssicherheit und Risikomanagement an.
Vor allem bei kleinen und mittelständischen Unternehmen besteht Aufklärungsbedarf, was IT-Security Automation betrifft. "Mittelständische Unternehmen stehen nach unserer Einschätzung in dieser Beziehung ganz am Anfang", bestätigt Joachim Braune, der als Chief Commercial Officer bei der NETFOX AG für die Geschäftsbereiche Cisco und Security zuständig ist. Dies ist Braune zufolge insofern bemerkenswert, als nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) bereits bei 19 Prozent der kleinen und mittelständischen Unternehmen IT-Sicherheitsprobleme zu massiven Störungen der Arbeitsprozesse geführt haben.
Security Automation wird wichtiger
Auch Oliver Dehning von Hornetsecurity sieht eine Diskrepanz zwischen großen und kleinen Unternehmen: "Das Wissen bei IT-Sicherheit im Allgemeinen und speziell bei IT Security Automation ist vor allem bei KMU noch ausbaufähig. Größere Unternehmen sind in diesem Punkt nach unserer Erfahrung weiter." Ein Grund für die zögerliche Haltung ist laut Matthias Straub von NTT Security, dass "zielgerichtete Angriffe fast 20 Jahre lang für die meisten Unternehmen kein Thema waren. Das hat sich nun geändert."
Unternehmen sehen sich mit Attacken konfrontiert, die eine deutlich höhere Durchschlagskraft haben als noch vor einigen Jahren. "Angreifer verfügen heute über erhebliche Ressourcen, und zwar in technischer wie personeller Hinsicht", stellt Jochen Rummel fest, Regional Director der DACH-Region bei FireEye. Das Unternehmen hat sich auf IT-Sicherheitslösungen spezialisiert, die den gesamten Sicherheitszyklus abdecken - vor, bei und nach einem Angriff. Ein Problem, zu dessen Lösung Security Automation beitragen kann, ist Rummel zufolge, "dass es viel zu lang dauert, bis Angriffe erkannt werden - teilweise mehr als 100 Tage".
Ein Grund ist das Datenvolumen, das untersucht werden muss. "Bei der Analyse von Sicherheits-Events besteht das Problem darin, aus der Masse der Informationen die wirklich wichtigen, relevanten Daten herauszufiltern", konstatiert Benjamin Breu von Capgemini. Abhilfe kann eine automatisierte Analyse von sicherheitsrelevanten Daten schaffen, in Verbindung mit neuen Verfahren: "Technologien wie Künstliche Intelligenzhelfen dabei, große Datenmengen auf Spuren von Angriffen hin zu untersuchen", ergänzt Matthias Straub von NTT Security.
Standards müssen her
Zu den größten Herausforderungen aus Sicht der Anwender zählt, dass es keine schlüsselfertigen Security-Automation-Lösungen gibt, so Jochen Rummel von FireEye. "Unser Ansatz ist daher, die mühevollen 'händischen' Aufgaben von Security-Analysten zu automatisieren." Durch die Orchestrierung von wichtigen Prozessen von IT-Sicherheitslösungen sei es möglich, die Antwortzeiten und damit die Angriffsfläche zu reduzieren. Eine umgehende Reaktion auf Bedrohungen sei jedoch eine zentrale Anforderung an Security-Automation-Lösungen.
Dieser Ansatz erfordert jedoch, dass IT-Sicherheitskomponenten unterschiedlicher Couleur miteinander "sprechen" können. Doch daran hakt es noch, so die übereinstimmende Meinung der Teilnehmer des Roundtable." Ein Punkt, der sich bei Security Automation als hinderlich erweist, sind 'Silos', die sich im Bereich IT-Sicherheit herausgebildet haben. Es gibt eine große Zahl von Lösungen, die nicht miteinander kommunizieren und nur für spezielle Aufgaben ausgelegt sind", kritisiert beispielsweise Andreas Süß von iT-CUBE SYSTEMS. Ins gleiche Horn stößt Oliver Keizers, Regional Director DACH bei der Fidelis Cybersecurity GmbH: "Viele IT-Fachleute, aber auch Experten von Systemhäusern, denken noch zu sehr in Silo-Strukturen."
Immerhin haben die Anbieter von IT-Sicherheitslösungen die Problematik erkannt: "Ein Problempunkt von Security Automation ist, dass es bislang noch zu wenig herstellerübergreifende Standards gibt. Diese sind noch in Entwicklung", räumt Tommy Grosche von Fortinet ein. Kritik wurde in der Runde jedoch in Bezug auf das Engagement einiger IT-Security-Anbieter laut, was die Mitarbeit an solchen Normen betrifft. "Einige nehmen nur und geben nichts", so eine der Anmerkungen zum Verhalten mancher Mitbewerber.
Der Faktor Mensch
Damit Security-Automation-Konzepte in der Praxis funktionieren, muss allerdings nicht nur Technik mitspielen. Gleiches gilt für den Menschen, also die Nutzer von IT-Systemen, die IT-Administratoren und die Security-Spezialisten. "Ein wesentlicher Punkt ist das Bewusstsein für Sicherheitsrisiken bei den Mitarbeitern. Nach unserer Einschätzung bestehen hier noch große Potenziale", sagt beispielsweise Benjamin Breu von Capgemini. Sich darauf zu verlassen, dass IT-Security-Systeme automatisch Fehler oder das fahrlässige Verhalten von Mitarbeitern "ausbügeln", ist demnach der falsche Weg. "Mitarbeiter müssen verstehen, welch hohen Stellenwert der Schutz von Daten und Anwendungen hat", unterstreicht Joachim Braune von NETFOX.
Ebenso wie einige andere Teilnehmer des Roundtable bietet FireEye zudem weiter reichende Hilfsmaßnahmen: "Um Kunden auf den Ernstfall vorzubereiten, führen wir auf Wunsch 'Trockenübungen' durch", erläutert Jochen Rummel. "In diesen spielen wir den IT-Sicherheitsvorfall durch und überprüfen das Sicherheitsprogramm sowie die Incident-Response-Prozesse." Um die Reaktion auf Sicherheitsvorfälle zu optimieren, kommen laut Rummel auch Security-Automation-Technologien zum Zuge.
Einstieg über Managed Services
Die Erfahrungen, die Anwender mit dem Automatisieren von IT-Sicherheitsmaßnahmen gemacht haben, sind durchaus positiv, so Benjamin Breu von Capgemini: "Mithilfe von Security Automation können Unternehmen ihre Kosten im Bereich IT-Sicherheit um etwa 20 bis 30 Prozent senken; diese Budgets lassen sich dann direkt für Innovationen verwenden."
Unternehmen, die trotzt dieser handfesten Vorteile Scheu davor haben, ihre IT-Sicherheitslandschaft in einem Zug auf Security Automation umzustellen, können dies in mehreren Etappen tun: "Automatisierung im Bereich Sicherheit fängt mit einfachen Dingen an, etwa einem effektiven Patch-Management", betont Alexander Haugk von baramundi software. "Häufig werden Updates, die Sicherheitslücken bei Software aller Art schließen, zu spät oder gar nicht eingespielt." Dies war auch im Fall von WannaCry so. Die Schadsoftware nistete sich vorzugsweise auf nicht gepatchten Windows-Rechnern ein.
Eine weitere Option, um von den Vorzügen automatisierter IT-Security-Prozesse zu profitieren, ist die Nutzung von gemanagten Diensten: "Speziell für kleinere und mittelständische Unternehmen sind Managed Servicesim Bereich IT-Security und Security Automation eine Lösung. Sie bieten einen Effizienzgewinn", sagt Matthias Straub von NTT Security.
Auch Oliver Dehning plädiert für einen solchen Ansatz, um Einstiegshürden zu überwinden: "Für Unternehmen und öffentliche Einrichtungen ist es eine Überlegung wert, einen Security-Dienstleister oder Anbieter von Managed Services mit ins Boot zu holen. Dieser verfügt im Gegensatz zu hauseigenen IT-Abteilungen über die Expertise und die technischen Hilfsmittel, um Angriffe frühzeitig zu erkennen und gegebenenfalls zu stoppen", so der CEO von Hornetsecurity.
Fazit
An IT Security Automation kommt mittelfristig kein Anwender vorbei, so die Einschätzung der Teilnehmer des COMPUTERWOCHE-Roundtable. Dies alleine deshalb, weil Hacker-Angriffe schnellstmöglich abgefangen werden müssen, um den Schaden solcher Aktionen zu minimieren. Dennoch werden durch die Automatisierung von IT-Sicherheitsprozessen Experten aus Fleisch und Blut nicht überflüssig. Sie müssen beispielsweise entscheiden, ob unternehmenswichtige IT-Komponenten oder Prozesse abgeschaltet werden können, wenn diese von Hacker-Attacken betroffen sind. "IT-Sicherheit auf Knopfdruck" wird es somit auch weiterhin nicht geben.
Einig waren sich die Experten in einem weiterem Punkt: Das Zusammenspiel der diversen IT-Sicherheitslösungen muss verbessert werden, damit Security Automation in der Praxis funktioniert. Dazu ist es erforderlich, entsprechende Standards zu erarbeiten und in den IT-Sicherheitslösungen zu implementieren.
Doch auch die Anwender haben eine Menge "Hausaufgaben" zu erledigen, so die Expertenrunde. Zum einen müssen sie ihr Bewusstsein für die Risiken schärfen, die mit dem Verlust unternehmenskritischer Daten durch Cyber-Angriffe verbunden sind. Zum anderen gilt es Vorkehrungen gegen solche Attacken zu treffen, inklusive der Nutzung von IT-Security-Automation-Lösungen oder entsprechender Managed Services. Unternehmen und öffentliche Einrichtungen, die das nicht tun, handeln fahrlässig und setzen letztlich ihre Existenz aufs Spiel.
Die Studie
Zum Thema "Security Automation" führt die COMPUTERWOCHE eine Multi-Client-Studie durch, in deren Rahmen IT-Entscheider befragt werden. Die Untersuchung zeigt auf, in welchem Umfang Unternehmen und öffentliche Einrichtungen in Deutschland bereits Lösungen aus dem Bereich IT-Security-Automation einsetzen und welche Erfahrungen sie damit gemacht haben.
Mit einem anderen zentralen Aspekt im Bereich IT-Sicherheit - "Cloud Security" - beschäftigt sich eine weitere Studie, die IDG im vergangenen Jahr erstellte. Sie basiert ebenfalls auf einer umfassenden Befragung von IT-Führungskräften. "Cloud Security 2016" gibt einen umfassenden Überblick über den Stand von Sicherheitsmaßnahmen im Bereich Cloud Security und zeigt auf, wo Unternehmen Handlungsbedarf sehen.
Die Studie "Cloud Security 2016" steht als PDF auf dieser Web-Seite zum Herunterladen bereit: https://shop.computerwoche.de/portal/studie-cloud-security-2016-pdf-download-direkt-im-shop-5677.