Knapp zehn Millionen Euro kostet eine durchschnittliche Cyberattacke ein Unternehmen. Wie die Studie „Cost of Cyber Crime 2017“ der Unternehmensberatung Accenture und des US-amerikanischen Ponemon-Instituts offenlegt, sind die Ausgaben in den letzten Monaten geradezu explodiert. Weltweit stiegen die Kosten im Vergleich zum Vorjahr um 23 Prozent, wenn man den Blick nur auf Deutschland richtet sogar um 42 Prozent. Im Interview mit GIT SICHERHEIT erklärt Dr. Ulrich Müller, Sprecher der Geschäftsführung des ICT Service Providers Operational Services, wie sich Firmen am besten gegen die zunehmenden Angriffe wehren – und warum ihnen der Einsatz einer Datenanalyse- und Monitoring-Plattform wie „Security Information & Event Management“ (SIEM) auch bei der Umsetzung der europäischen Datenschutzgrundverordnung hilft.

GIT SICHERHEIT: Herr Dr. Müller, wie müssen wir uns die Funktionsweise eines SIEM vorstellen?

Dr. Ulrich Müller: In die analoge Welt übertragen, können Sie sich so ein System wie einen Wachhund vorstellen. Es schlägt Alarm, wenn es verdächtige Vorfälle oder Anomalien wahrnimmt, damit die IT-Verantwortlichen zeitnah eingreifen können, bevor ein großer Schaden entsteht. Dafür sammelt und analysiert das SIEM die Log-Daten möglichst aller IT-Programme eines Unternehmens in einer zentralen Datenbank. Das beginnt bei Security-Lösungen wie Firewalls und Antivirus-Software, umfasst aber genauso sämtliche Server, Router, VPNs und E-Mail-Gateways.

Was sind die Stärken eines SIEM im Vergleich zu anderen Sicherheitslösungen?

Dr. Ulrich Müller: Das Besondere ist die ganzheitliche Sicht. Statt einzelne Systeme isoliert voreinander zu überprüfen, kann die Lösung durch eine zentrale Datenbank Zusammenhänge und Muster erkennen. Auf einer Plattform werden alle sicherheitsrelevanten Zugriffe auf Datenbanken, Log Events und Verbindungen in Echtzeit gesammelt und analysiert. Anschließend gleicht das System den jeweiligen Status Quo mit einer Wissensdatenbank ab, um Korrelationen und Anomalien herauszufiltern. Umso stärker dieser Speicher mit Informationen gefüttert wird, desto besser erkennt das SIEM Unregelmäßigkeiten im System oder auch Spuren, die auf ähnliche Angriffe bei anderen Unternehmen in der Vergangenheit hindeuten. Je nach Konfiguration kann die Plattform in einem solchen Fall aktiv werden und beispielsweise einzelne Ports oder Zugänge sperren, aber auch aktiv einen Alarm auslösen, der die IT-Experten über den entdeckten Vorfall informiert. Über ein webbasiertes Dashboard sehen die Verantwortlichen dann auf einen Blick alle relevanten Informationen zum aktuellen Sicherheitsstatus und können entsprechend reagieren.

Cyber-Angriffe im Vorfeld verhindern kann das System aber nicht?

Dr. Ulrich Müller: Solche Attacken lassen sich nie komplett verhindern. Absolute Sicherheit gibt es leider nicht, aber Unternehmen können und sollten die Risiken so gering wie möglich halten. Die Echtzeitüberwachung von SIEM hilft ihnen bei der Früherkennung möglicher Eindringlinge, sodass die Zeitspanne zwischen der Entdeckung eines Angriffs und seiner Abwehr auf ein Minimum reduziert wird. Zudem hinterlässt jedes Eindringen, jeder Missbrauch von Daten oder Zugängen Spuren. Und an diesem Punkt kommt eine weitere Stärke der Monitoring-Plattform ins Spiel: Jedes Incident wird archiviert, aber auch über ein automatisiertes Reporting analysiert. Die IT-Experten können dadurch den Ursachen eines Vorfalls auf den Grund gehen. Sie bekommen umfangreiche Informationen zu dem vermuteten Angriff, seiner Herkunft, seiner Funktionsweise und den Folgen. Das ist extrem wichtig für Unternehmen, um Schwachstellen auszumerzen und ähnliche Angriffe künftig von vornherein zu durchkreuzen.

Bei allen Vorteilen gilt die Plattform als relativ kostspielig. Halten Sie den Einsatz der Systeme auch bei Mittelständlern und kleinen Unternehmen für notwendig?

Dr. Ulrich Müller: Ja. Wenn Unternehmen sich zukunftssicher aufstellen wollen, dann geht heutzutage nichts mehr ohne moderne IT. Und diese gilt es genauso zu schützen, wie Betriebe früher wichtige Geschäftsunterlagen in den Tresor gesperrt haben. Gerade mit Blick auf die Ausgaben, die Firmen im Schadensfall entstehen würden, rechnet sich die Anschaffung. SIEM ist inzwischen eine zentrale Komponente jeder soliden IT-Security-Strategie. Aktuell fördert die Einführung der europäischen Datenschutzgrundverordnung (DSGVO) das Interesse vieler Organisationen an dem System zusätzlich. Die umfassende Dokumentation aller Zugriffe und Prozesse kommt den Anforderungen des Gesetzeswerks sehr entgegen. Verpflichtungen, wie die zur Meldung von Sicherheitsverstößen binnen 72 Stunden, oder die zur Dokumentation, wer Zugriff auf welche personenbezogenen Daten hatte, erfüllt eine gute Lösung, ohne dass für Unternehmen ein Mehraufwand anfällt. Aber natürlich sollte das nicht der ausschlaggebende Grund sein, um auf die Plattform zu setzen, sondern generell die Absicherung der gesamten IT im Fokus stehen.

Ist die Absicherung denn auch für Großunternehmen ausreichend?

Dr. Ulrich Müller: SIEM ist eine solide Grundlage zum Schutz der Unternehmens-IT, wenn es im richtigen Umfang und in der richtigen Güte umgesetzt wird. Ab einer gewissen Größe oder wenn Firmen in sensiblen Bereichen unterwegs sind, ist aber eher ein vollumfänglicher Schutz durch das Unified Security Management (USM) angebracht. Dadurch werden Unternehmen gegen Angriffe von außen wie von innen abgeschirmt. Das beginnt mit einer Use-Case-Analyse, bei der der Analyseumfang und die zu überwachenden Datenquellen definiert werden und endet im Idealfall bei einem selbständig arbeitenden System, das von der Datenerhebung über Analyse und Filterung bis hin zur Evaluation alle Schritte automatisch abarbeitet. Das funktioniert über die Implementierung von Messpunkten im System, an Servern und Logpunkten. Mitarbeiter des Unternehmens sollten nur noch in vorher definierten Schadensfällen eingreifen müssen, wenn die Technik eine Cyber-Attacke nicht selbständig abwehren kann.