2023/8 | Fachbeitrag | IT-Sicherheit / Datenschutz

Cybersicherheit: Gute Daten helfen viel

Steigende Datenmengen sind Fluch und Segen zugleich. Einerseits bieten sie Zugang zu einzigartigen Insights, andererseits müssen sie dafür zunächst gesammelt, gespeichert und ausgewertet werden. Aber auch für die IT-Sicherheit spielen Daten eine wichtige Rolle - und überraschenderweise gelten Daten unter diesem Blickwinklel nicht als Problem. Im Gegenteil! Zur Abwehr von IT-Gefahren können Sie gar nicht genug Daten haben - zumindest dann, wenn es sich um sogenannte nützliche Daten handelt. Doch welche Daten und Metriken sind dafür auf Nutzer-, Endpunkt- und Netzwerkebene besonders wertvoll?

Bildquelle: (C) Gerd Altmann / Pixabay

Um die IT eines Unternehmens effektiv zu schützen, müssen Cybersicherheitsteams und Security Operations Center (SOC) diese genau überwachen - dafür benötigen sie Daten und Metriken. EDR (Endpoint Detection and Response)-Tools und SIEM (Security Information and Event Management)-Plattformen versorgen Cybersecurity-Experten mit sicherheitsrelevanten Informationen von der Endpunktebene bis hin zur Nutzer- und Netzwerkebene. MXDR-Experte Ontinue nennt exemplarisch essenzielle Metriken der jeweiligen Sicherheitsebene, die Unternehmen in jedem Fall im Auge behalten müssen.

1. Nutzerebene?

Auf Nutzerebene stellt die User-ID den verlockendsten und zugleich einfachsten Einstiegspunkt für Attacken dar. Phishing ist daher eine der größten Gefahren für die IT-Sicherheit. Durch täuschend echt aussehende, aber gefälschte E-Mails und Webseiten verführen Cyberkriminelle Nutzer dazu, sensible Informationen wie ihre Login-Daten preiszugeben. Um herauszufinden, ob sie erfolgreich waren, benötigen Sicherheitsexperten die IP-Adressen der User - und zwar bei jedem Login. Aus ihnen können sie herauslesen, ob sich der Nutzer an einem ungewöhnlichen Standpunkt aufhält oder einen nicht genehmigten Proxy verwendet. Die meisten Unternehmen führen zudem eine Blacklist für IPs, die sie Hackern und anderen Cyberkriminellen zuordnen können. Sicherheitsexperten benötigen außerdem Daten dazu, ob User eine Multi-Faktor-Authentifizierung (MFA) erfolgreich durchgeführt haben. Ist MFA nicht aktiv und findet ein erfolgreicher Login von einer auffälligen IP-Adresse statt, muss der Benutzer schnellstmöglich blockiert werden. Falls alles außer der IP-Adresse gut aussieht und MFA aktiv ist, sollten IT-Abteilungen auf Endpunkt- oder Netzwerkebene den Grund dafür suchen - möglicherweise haben Cyberkriminelle einen anderen Weg auf das Gerät gefunden.

Auch Daten dazu, ob es Login-Fehlversuche gab, helfen: Eine Vielzahl erfolgloser Login-Versuche deutet auf eine Brute-Force-Attacke hin, bei der Hacker eine Reihe von Passwörtern via Bot ausprobiert haben. Überdies sollten Unternehmen auch Geräteinformationen beim Login tracken: Loggt sich der User immer mit einem Windows-Gerät ein, ist ein Login über MacOS bereits verdächtig.

2. Endpunktebene?

Auf Endpunktebene sind EDR-Tools die besten Verbündeten für Cybersicherheitsteams. Sie erstellen eine Reihe von Tabellen, die sie an die SIEM-Plattform weiterleiten. Darin enthalten sind Daten zu bestimmten Vorgängen auf dem Endgerät, also Events. Diese Informationen sind für sich genommen bereits sehr wertvoll, EDR-Tools und SIEM-Plattformen sind allerdings in der Lage, sie zu korrelieren. Dadurch ermöglichen sie eine frühe Erkennung von Gefahren und bieten einen noch tieferen Einblick. Zu den klassischen Events, die ein EDR-Tool loggt, gehören zum Beispiel Datei-Ereignisse, die anzeigen, ob und wann auf einem Endgerät Dateien geöffnet, gelöscht, verändert, verschoben, geschlossen oder verschickt wurden. Auch wie sich Prozesse verhalten, welche Unter-Prozesse sie öffnen, auf welche Daten, IP-Adressen oder Kommandos sie zugreifen, liefert wertvolle Informationen. Wichtig für Security-Experten sind auch Log-on-Events, also Informationen darüber, welche Benutzer-IDs sich mit welchen Daten wann auf dem Endgerät angemeldet haben und ob der Log-on lokal oder remote über ein Netzwerk passierte. Ob Anwendungen ohne gültiges Zertifikat auf Dateien zugreifen, sollte das Tool der Wahl überdies ebenso aufzeichnen wie Registry-Änderungen. EDR-Tools und SIEM-Plattformen analysieren diese Events und Prozesse nach bestimmten Mustern, die auf einen Cyberangriff hinweisen, und geben Warnungen aus. Auch das manuelle Threat Hunting erleichtern diese Tools, da sie alle nötigen Daten vorhalten.

3. Netzwerkebene?

Auf der Netzwerkebene gibt es oft historisch gewachsene Netzwerkumgebungen, die Unternehmen überwachen müssen, viele davon im Bereich der Operational Technology. Für diese, von Benutzer- und Endpunktebene aus nicht sichtbaren Segmente, installieren Unternehmen idealerweise Sensoren, die die Netzwerkkommunikation aufzeichnen und die Definition einer Baseline erlauben. Findet eine kommunikative Abweichung von der Baseline statt, schlägt das System Alarm. Auch Indizien für Malware-Verbreitung sowie auffällige Zugriffe auf interne oder externe Systeme sollten Warnungen auslösen. Da solche Netzwerke in der Regel viele Fremdkomponenten enthalten, die Unternehmen nicht oder nur teilweise verwalten, ist es umso wichtiger, die Alarme von der Netzwerkebene mit zusätzlichen Log-Daten von verwalteten Endpunkten und Perimetern zu korrelieren: Dieser Vorgang gibt den Sicherheitsexperten genaue Hinweise, was passiert ist, und ermöglicht es ihnen, betroffene Systeme zu blockieren.

"Es reicht bei weitem nicht mehr, nur das Netzwerk zu überwachen - die meisten Angriffe sind initial nämlich auf Nutzer- und Endpunktebene zu entdecken", erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. "Daher sollten Unternehmen EDR- und SIEM-Tools einsetzen, um möglichst viele Daten von verschiedenen potenziellen Angriffsebenen zu sammeln. Deren Analyse kann IT-Abteilungen jedoch schnell überlasten, sodass Hacker leichtes Spiel haben. MXDR-Anbieter helfen in diesem Fall, datenbasierte Sicherheitsmaßnahmen durchzusetzen. Sie stellen Unternehmen ein vollständiges und maßgeschneidertes Security Operations Center als Service zur Verfügung, das die internen Experten beim Schutz der IT-Infrastruktur unterstützt."


?Der Autor:

Jochen Koehler ist VP EMEA Sales bei Ontinue, einem Experten für Managed Extended Detection and Response (MXDR) mit Hauptsitz in Zürich. Um die IT-Umgebungen seiner Kunden durchgehend zu schützen, ihren Sicherheitsstatus zu bewerten und kontinuierlich zu verbessern, kombiniert Ontinue KI-gesteuerte Automatisierung undvmenschliches Fachwissen mit dem Microsoft-Sicherheits-Produktportfolio.

(Bildquelle: privat)?

Web: www.ontinue.com

Diese Artikel könnten Sie auch interessieren

Was kann generative KI in Bürgerämtern & Co. leisten?

WISSENplus
7.000 unbesetzte Stellen, bis zu acht Wochen Wartezeit, null Erreichbarkeit: Wer in Berlin einen Reisepass beantragen möchte, braucht vor allem eines - Geduld. Echtzeit-Lösungen und Self-Service? Fehlanzeige. Höchste Zeit, die Bürgerorientierung in der Verwaltung neu zu denken. Künstliche Intelligenz (KI) wird bereits als Heilsbringer gelobt. Der Berliner Senator Stefan Evers spricht sogar von ko...

Weiterlesen

7 Best Practices gegen GenAI-Wildwuchs im Unternehmen

Generative KI nimmt Mitarbeitern viele zeitraubende Tätigkeiten ab und macht sie effizienter. Kein Wunder, dass sie die praktischen Helfer im Arbeitsalltag nutzen wollen und oft loslegen, ohne auf offiziell vom Unternehmen eingeführte Tools zu warten. Dadurch entstehen allerdings erhebliche Risiken: Es drohen nicht nur Datenschutzverletzungen und der Abfluss sensibler Firmendaten, sondern auch unfai...

Weiterlesen

M365 zum Managementsystem ausbauen: Geht das?

WISSENplus
Spätestens seit der Corona-Pandemie hat der Stellenwert der mobilen Arbeit in vielen Unternehmen zugenommen. Firmen werben mit der Möglichkeit von Homeoffice und mobilen Arbeitsplätzen, um so ihre Attraktivität am Arbeitsmarkt zu steigern und Fachpersonal zu finden. Hierbei kommt der Microsoft 365 Cloud in vielen Unternehmen eine tragende und effizienzsteigernde Rolle zu. Doch auch Managementsyste...

Weiterlesen

Effizientes Wissensmanagement im Maschinenbau

WISSENplus
Die Bedeutung von Wissensmanagement in der Industrie hat in den letzten Jahren enorm zugenommen. Insbesondere im Maschinenbau, der stark auf Präzision und Effizienz angewiesen ist, spielen optimierte Datenströme und Prozessautomatisierung eine zentrale Rolle. Dabei kann der Maschinenbau von der Telekommunikationsbranche lernen, wie eine durchdachte Struktur für den Umgang mit Daten aussehen sollte....

Weiterlesen

Die nächste Generation des Lernens

WISSENplus
Künstliche Intelligenz wird bereits in vielen Bereichen genutzt, in der Bildung und Weiterbildung jedoch nur vereinzelt, und dann vor allem zum Übersetzen oder Erstellen von Inhalten. Die Technologie kann aber noch viel mehr und könnte das Lernen geradezu revolutionieren....

Weiterlesen

Einführung von M365 bei Demeter e.V.

WISSENplus
Die Reise von Demeter zur Einführung eines Intranets begann 2019, vor der Corona-Pandemie. Ursprünglich wollte der Verband nur den Abteilungswechsel einer Kollegin kommunikativ begleiten und eventuellen Wissensverlusten vorbeugen. Doch aus dieser individuellen Herausforderung wurde im Handumdrehen ein unternehmensweites Projekt. ...

Weiterlesen

Wie Sie in 7 Schritten einen digitalen Klon erstellen

WISSENplus
Ein digitaler Klon ist ein neuer, innovativer Kommunikationskanal. Er eröffnet heute schon die Möglichkeit einer zusätzlichen virtuellen Interaktion mit (potenziellen) Kunden, Partnern und Mitarbeitenden. Für Fach- und Führungskräfte aus den Bereichen Wissensmanagement, Personalentwicklung, Organisation, Informationstechnologie, Support, Qualitätsmanagement, Dokumentation und Kommunikation erge...

Weiterlesen

To-Dos für die Digital-Agenda: 9 wichtige Punkte, die Sie jetzt in Angriff nehmen sollten!

WISSENplus
Ob Künstliche Intelligenz, hybride Cloud-Lösungen oder nachhaltige IT: In den nächsten Monaten dürften einige Trends, die sich bereits länger am Horizont abzeichnen, an Fahrt aufnehmen. Unternehmen müssen sich damit beschäftigen, wollen sie nicht vom Wettbewerb abgehängt werden. Doch welche Entwicklungen sind zu erwarten? Und welche Maßnahmen sollten Unternehmen in Sachen Digitalisierung im A...

Weiterlesen