Alle Artikel

Warum es nie genug Verwalter-Augen gibt und warum man ihnen helfen soll

22.03.2018 | 3 min Software

Wenn der Arzt Diagnose bei Gesundheitsproblemen feststellen möchte, allerding ohne alle möglichen relevanten Informationen. Anhand von Amercian Journal of Medicine werden 10 bis 15 Prozent Diagnosen der allgemeinen Ärzte falsch bewertet. In einer ähnlichen Situation befinden sich die Verwalter der Computer Netze, oder Spezialisten für IT Sicherheit. Sie alle kämpfen mit erhöhter Anzahl der Angriffe und Drohung. Die Angriffe sind immer mehr anspruchsvoll, und ähnlich wie bei der Medizin, lassen sich nicht immer nach erstem Symptom erkennen.

Ľuboslav Tileš, Sales manager ANASOFT

Vielleicht ist es Ihnen, oder jemandem von Ihrer Umgebung auch passiert. Wenn der Arzt Diagnose bei Gesundheitsproblemen feststellen möchte, allerding ohne alle möglichen relevanten Informationen. Falls ihm etwas Wichtiges verheimlicht bleibt, bewertet er die Situation und setzt die Diagnose falsch. Oder wird der Gesundheitszustand nicht so ernst genommen und somit der Patient  unnötigem Risiko ausgestellt. Anhand von Amercian Journal of Medicine werden 10 bis 15 Prozent Diagnosen der allgemeinen Ärzte falsch bewertet..

In einer ähnlichen Situation befinden sich die Verwalter der Computer Netze, oder Spezialisten für IT Sicherheit. Sie alle kämpfen mit erhöhter Anzahl der Angriffe und Drohung, da anhand von Studie der Beratungsfirma PwC die Anzahl der Inzidente in 2015 weltweit um 38 Prozent anstieg. Die Angriffe sind immer mehr anspruchsvoll, und ähnlich wie bei der Medizin, lassen sich nicht immer nach erstem Symptom erkennen. Ähnlich wie bei den Ärzten, fehlt den Verwaltern das komplexe Bild.

Einige Ereignisse, oder Aktivitäten scheinen von sich selbst harmlos zu sein, können allerdings im breiteren Kontext ein Mosaikwerk ergänzen. Kein Netz-Verwalter kann seine Augen überall haben, alle Systeme und Geräte überwachen – von Servern, Speicherungen, Firewalls, Netzelementen, über Datenbanken und verschiedene Applikationen, bis zum Anwesenheitssystem.

Zum Beispiel, eine Verwalter-Anmeldung auf kritischen Server vom außergewöhnlichen Ort muss nicht automatisch verdächtig sein. Wenn allerdings diesen Server in selber Zeit ungewöhnlich viel zu viele Daten verlassen, kann es eine verdächtige Aktivität signalisieren, die man untersuchen, bzw. aufhalten mag

Genauso Virus-Angriff auf einen der im Netz liegenden Computer ist ein ziemlich üblicher Vorfall, der in größeren Unternehmen von Zeit zu Zeit unbedingt passiert. Dessen Ausspionieren und Beseitigen gehört heutzutage zur Routine. Den Augen verbergt kann genauso bleiben, wenn in einigen Tagen sich die Speicher-Ordner ändern, da Angestellte ja mit den Daten im Firmennetz normalerweise arbeiten.

Der Verwalter muss so keinen Zusammenhang zwischen einem Virus-Angriff und Daten-Änderungen beobachten. Dabei kann es sich um ein Virus handeln, das unauffällig die Daten verschlüsselt, das dann zur Erpressung des Unternehmens für Datenschlüsselung dienen kann.

Derartige Szenarien kann man endlos finden. Dadurch ist es heutzutage immer mehr wichtig auf die Informationssicherheit mit Ansicht von oben zu schauen, die Augen gleichzeitig auf mehreren Stellen zu haben, um die Zusammenhänge umgehend auswerten können.

Beim holistischen Auftreten benutzen heutzutage Firmen die SIEM-Instrumente (Security Information and Event Management), die nicht nur die Daten der Vorkommnisse (sgn. Logs) von mehreren Quellen gleichzeitig erfassen, sondern sie auch gleich auswerten und analysieren. So erniedrigen sie das Risiko, dass einige der Ereignisse den Verwaltern zwischen den Fingern fließen. System sortiert und bereinigt sogfältig alle Drohungen, und meldet nur eine kleine Anzahl der relevanten Drohungen. Die Verwalter kümmern sich so nur um die kritischen Risiko-Fälle.

Fall Sie bislang kein SIEM benutzen, heißt es nicht automatisch, dass Ihr Netz unsicher ist und Ihre Daten in Drohung stehen. Eine kluge Sicherheit kann mit zwei Alternativen erzielt werden. Zum Ersten, mit einer vollkommenden Einstellung jedes Teiles der Technologie-Infrastruktur. Und zum Zweiten, mit genügend Spezialisten, die alle Merkmale nicht nur sorgfältig  beobachten werden, sondern sich gegenseitig über Inzidente, bzw. verdächtigte Ereignisse informieren und zwischen ihnen mögliche Zusammenhänge suchen.

Falls Ihr Unternehmen beide der Kriterien erfüllt, und gleichzeitig es für effektiv hält, gibt es nichts zum Überlegen. Für alle anderen stellt sich die Frage, ob man den Augen der Verwalter doch nicht mit SIEM-Instrumenten helfen möchte, die fähig sind höhere Ansprüche auf Sicherheits-Ereignisse zu klären, und gleichzeitig die Zusammenhänge wahrzunehmen.

Weitere Artikel

Ako sa ochrániť pred útokmi formou phishingu

Unterliegen Sie nicht der Illusion der Sicherheit