Standards müssen her
Zu den größten Herausforderungen aus Sicht der Anwender zählt, dass es keine schlüsselfertigen Security-Automation-Lösungen gibt, so Jochen Rummel von FireEye. "Unser Ansatz ist daher, die mühevollen 'händischen' Aufgaben von Security-Analysten zu automatisieren." Durch die Orchestrierung von wichtigen Prozessen von IT-Sicherheitslösungen sei es möglich, die Antwortzeiten und damit die Angriffsfläche zu reduzieren. Eine umgehende Reaktion auf Bedrohungen sei jedoch eine zentrale Anforderung an Security-Automation-Lösungen.
Dieser Ansatz erfordert jedoch, dass IT-Sicherheitskomponenten unterschiedlicher Couleur miteinander "sprechen" können. Doch daran hakt es noch, so die übereinstimmende Meinung der Teilnehmer des Roundtable." Ein Punkt, der sich bei Security Automation als hinderlich erweist, sind 'Silos', die sich im Bereich IT-Sicherheit herausgebildet haben. Es gibt eine große Zahl von Lösungen, die nicht miteinander kommunizieren und nur für spezielle Aufgaben ausgelegt sind", kritisiert beispielsweise Andreas Süß von iT-CUBE SYSTEMS. Ins gleiche Horn stößt Oliver Keizers, Regional Director DACH bei der Fidelis Cybersecurity GmbH: "Viele IT-Fachleute, aber auch Experten von Systemhäusern, denken noch zu sehr in Silo-Strukturen."
Immerhin haben die Anbieter von IT-Sicherheitslösungen die Problematik erkannt: "Ein Problempunkt von Security Automation ist, dass es bislang noch zu wenig herstellerübergreifende Standards gibt. Diese sind noch in Entwicklung", räumt Tommy Grosche von Fortinet ein. Kritik wurde in der Runde jedoch in Bezug auf das Engagement einiger IT-Security-Anbieter laut, was die Mitarbeit an solchen Normen betrifft. "Einige nehmen nur und geben nichts", so eine der Anmerkungen zum Verhalten mancher Mitbewerber.
Der Faktor Mensch
Damit Security-Automation-Konzepte in der Praxis funktionieren, muss allerdings nicht nur Technik mitspielen. Gleiches gilt für den Menschen, also die Nutzer von IT-Systemen, die IT-Administratoren und die Security-Spezialisten. "Ein wesentlicher Punkt ist das Bewusstsein für Sicherheitsrisiken bei den Mitarbeitern. Nach unserer Einschätzung bestehen hier noch große Potenziale", sagt beispielsweise Benjamin Breu von Capgemini. Sich darauf zu verlassen, dass IT-Security-Systeme automatisch Fehler oder das fahrlässige Verhalten von Mitarbeitern "ausbügeln", ist demnach der falsche Weg. "Mitarbeiter müssen verstehen, welch hohen Stellenwert der Schutz von Daten und Anwendungen hat", unterstreicht Joachim Braune von NETFOX.
Ebenso wie einige andere Teilnehmer des Roundtable bietet FireEye zudem weiter reichende Hilfsmaßnahmen: "Um Kunden auf den Ernstfall vorzubereiten, führen wir auf Wunsch 'Trockenübungen' durch", erläutert Jochen Rummel. "In diesen spielen wir den IT-Sicherheitsvorfall durch und überprüfen das Sicherheitsprogramm sowie die Incident-Response-Prozesse." Um die Reaktion auf Sicherheitsvorfälle zu optimieren, kommen laut Rummel auch Security-Automation-Technologien zum Zuge.
Einstieg über Managed Services
Die Erfahrungen, die Anwender mit dem Automatisieren von IT-Sicherheitsmaßnahmen gemacht haben, sind durchaus positiv, so Benjamin Breu von Capgemini: "Mithilfe von Security Automation können Unternehmen ihre Kosten im Bereich IT-Sicherheit um etwa 20 bis 30 Prozent senken; diese Budgets lassen sich dann direkt für Innovationen verwenden."
Unternehmen, die trotzt dieser handfesten Vorteile Scheu davor haben, ihre IT-Sicherheitslandschaft in einem Zug auf Security Automation umzustellen, können dies in mehreren Etappen tun: "Automatisierung im Bereich Sicherheit fängt mit einfachen Dingen an, etwa einem effektiven Patch-Management", betont Alexander Haugk von baramundi software. "Häufig werden Updates, die Sicherheitslücken bei Software aller Art schließen, zu spät oder gar nicht eingespielt." Dies war auch im Fall von WannaCry so. Die Schadsoftware nistete sich vorzugsweise auf nicht gepatchten Windows-Rechnern ein.
Eine weitere Option, um von den Vorzügen automatisierter IT-Security-Prozesse zu profitieren, ist die Nutzung von gemanagten Diensten: "Speziell für kleinere und mittelständische Unternehmen sind Managed Servicesim Bereich IT-Security und Security Automation eine Lösung. Sie bieten einen Effizienzgewinn", sagt Matthias Straub von NTT Security.
Auch Oliver Dehning plädiert für einen solchen Ansatz, um Einstiegshürden zu überwinden: "Für Unternehmen und öffentliche Einrichtungen ist es eine Überlegung wert, einen Security-Dienstleister oder Anbieter von Managed Services mit ins Boot zu holen. Dieser verfügt im Gegensatz zu hauseigenen IT-Abteilungen über die Expertise und die technischen Hilfsmittel, um Angriffe frühzeitig zu erkennen und gegebenenfalls zu stoppen", so der CEO von Hornetsecurity.
Fazit
An IT Security Automation kommt mittelfristig kein Anwender vorbei, so die Einschätzung der Teilnehmer des COMPUTERWOCHE-Roundtable. Dies alleine deshalb, weil Hacker-Angriffe schnellstmöglich abgefangen werden müssen, um den Schaden solcher Aktionen zu minimieren. Dennoch werden durch die Automatisierung von IT-Sicherheitsprozessen Experten aus Fleisch und Blut nicht überflüssig. Sie müssen beispielsweise entscheiden, ob unternehmenswichtige IT-Komponenten oder Prozesse abgeschaltet werden können, wenn diese von Hacker-Attacken betroffen sind. "IT-Sicherheit auf Knopfdruck" wird es somit auch weiterhin nicht geben.
Einig waren sich die Experten in einem weiterem Punkt: Das Zusammenspiel der diversen IT-Sicherheitslösungen muss verbessert werden, damit Security Automation in der Praxis funktioniert. Dazu ist es erforderlich, entsprechende Standards zu erarbeiten und in den IT-Sicherheitslösungen zu implementieren.
Doch auch die Anwender haben eine Menge "Hausaufgaben" zu erledigen, so die Expertenrunde. Zum einen müssen sie ihr Bewusstsein für die Risiken schärfen, die mit dem Verlust unternehmenskritischer Daten durch Cyber-Angriffe verbunden sind. Zum anderen gilt es Vorkehrungen gegen solche Attacken zu treffen, inklusive der Nutzung von IT-Security-Automation-Lösungen oder entsprechender Managed Services. Unternehmen und öffentliche Einrichtungen, die das nicht tun, handeln fahrlässig und setzen letztlich ihre Existenz aufs Spiel.
Die Studie
Zum Thema "Security Automation" führt die COMPUTERWOCHE eine Multi-Client-Studie durch, in deren Rahmen IT-Entscheider befragt werden. Die Untersuchung zeigt auf, in welchem Umfang Unternehmen und öffentliche Einrichtungen in Deutschland bereits Lösungen aus dem Bereich IT-Security-Automation einsetzen und welche Erfahrungen sie damit gemacht haben.
Mit einem anderen zentralen Aspekt im Bereich IT-Sicherheit - "Cloud Security" - beschäftigt sich eine weitere Studie, die IDG im vergangenen Jahr erstellte. Sie basiert ebenfalls auf einer umfassenden Befragung von IT-Führungskräften. "Cloud Security 2016" gibt einen umfassenden Überblick über den Stand von Sicherheitsmaßnahmen im Bereich Cloud Security und zeigt auf, wo Unternehmen Handlungsbedarf sehen.
Die Studie "Cloud Security 2016" steht als PDF auf dieser Web-Seite zum Herunterladen bereit: https://shop.computerwoche.de/portal/studie-cloud-security-2016-pdf-download-direkt-im-shop-5677.