Managed Security Services brauchen gutes Management

Managed Security Services brauchen gutes Management

Fast 200 Security Operation Center (SOC) haben die Security-Experten von HPE Security Intelligence and Operations Consulting, heute Teil von DXC Technology, untersucht und hinsichtlich ihres Security-Reifegrads beurteilt. Andreas Wuchner, Chief Technology Officer Security Innovation bei DXC Technology erläutert im Interview mit BVEx die wichtigsten Ergebnisse des Jahresberichts „State of Security Operations“ und erklärt, wie sich Unternehmen sinnvoll gegen Cyberangriffe wappnen.

Advertisement
Herr Wuchner, wie stellt sich die Sicherheitslage in den Unternehmen nach dem vierten Jahresbericht zu den Assessments in Security Operations Center (SOC) dar?

Andreas Wuchner: Wie in fast allen Fällen gibt es auch beim Thema Cyber-Sicherheit in Unternehmen Luft nach oben. Der aktuelle Jahresbericht „State of Security Operations“ zeigt, dass manche Firmen und Branchen in den letzten Jahren erheblich in ihre „Cyber Readiness“ investiert und entsprechend Fortschritte erzielt haben. Gleichzeitig gibt es allerdings eine Vielzahl von Firmen, wo dies absolut nicht der Fall ist und die nach wie vor nach dem Prinzip „Hoffnung“ arbeiten. In diesem Zusammenhang hört man immer wieder: Was will man bei uns schon stehlen? Es gibt doch so viel andere und bei uns ist bisher auch noch nie etwas passiert. Speziell kleinere Firmen und Unternehmen, in denen es nur wenige regulatorische Vorschriften gibt, zeigen häufig fehlendes Verständnis für das wichtige Security-Thema. Erst wenn etwas passiert ist und das Haus in Flammen steht, wachen sie auf und kümmern sich um die Sicherheit. Der Report zeigt auf, dass 26,6 % der untersuchten Firmen nicht einmal den Minimal Level 1 des Security Operations Maturity Model erreichen, das die Cyber Readiness in sechs Klassen einstuft. Immerhin legt der Bericht nahe, dass die Industrie insgesamt dazu lernt. Im Jahr zuvor war der Anteil an Unternehmen in Kategorie 1 noch um ein Prozent höher.

Was wäre der optimale SOMM-Wert für ein Unternehmen?

Wuchner: Der Begriff ‚optimal‘ ist immer etwas schwierig, da in jeder Branche unterschiedliche Risiken vorliegen. Deshalb muss man ‚gut genug‘ abhängig von der Branche definieren. Als Faustformel kann man aber sagen, dass Level 3 für jede Branche ein ziemlich gutes Ziel ist. Es bedeutet, dass Prozesse definiert und dokumentiert sind. Außerdem sind Abläufe geklärt und auch getestet und die Firma ist in der Lage, im Falle eines Cyber-Angriffs die Situation angemessen zu managen.

Managed Security Services sind ein extrem guter Weg, um das vorhandene Potential zu nutzen und das Sicherheitslevel erheblich zu verbessern.
Bei fast 200 Assessments von Security Operation Center haben die Security-Experten Ihres Unternehmens festgestellt, dass viele Firmen auf SIEM verzichten und nur noch auf Threat Hunting setzen. Ist das eine kluge Entscheidung?

Wuchner: Das stimmt leider und es ist keine gute Entscheidung. Es gibt aber auch Autofahrer, die wider besseren Wissens auf das Anlegen des Sicherheitsgurts verzichten oder ihre Kinder während der Fahrt im Auto spielen lassen. Zu einem IT-Sicherheitskonzept gehören in meinen Augen drei Komponenten: Prävention, um vieles zu verhindern, bevor es zu einem Problem kommt. Dazu gehört auch Threat Hunting. Hierfür braucht es aber auch noch Detection, also die Erkennung von Ereignissen, falls doch einmal ein Angriff erfolgreich ist. Keiner möchte aus der Presse oder von einem Kunden erfahren, dass etwas schief gelaufen ist. Last but not least braucht es dann auch noch den Baustein ‚Recover‘, um sicherstellen zu können, dass eventuelle Businessunterbrechungen so gering wie möglich ausfallen. Ich glaube es erklärt sich von selbst, dass heute niemand mehr in der Lage ist, alles zu verhindern. Ich möchte noch einmal eine Parallele zum Autofahren ziehen: Auch wenn man ein guter Fahrer ist, kann man noch immer nicht garantieren, dass alle anderen Fahrer auch alles im Griff haben.


Lesen Sie auch: Cyber attacks are coming


Was machen Unternehmen mit einem höheren SOMM-Level besser als andere?

Wuchner: Firmen mit höherem SOMM-Level haben einen holistischen Blick auf alle wichtigen Security-Komponenten. Holistisch bedeutet in diesem Zusammenhang auch Abdeckung aller Lokationen und Organisationen inklusive externer Partner. Das Gesamtbild ist immer nur so gut wie das schwächste Glied in der Kette. Mir persönlich ist es lieber, wenn ein Unternehmen das Level „gut genug“ in allen Komponenten erreicht, als wenn es ein „sehr gut“ in vielen und ein „sehr schwach“ in einer Komponente schafft.

Kann die Auslagerung der Security bei der Verbesserung des Reifegrads helfen?

Wuchner: Grundsätzlich ja. Für die Mehrzahl der Firmen bringt externe Hilfe in Form eines Managed Security Service den Reifegrad einen großen Schritt nach vorne. Es gibt allerdings auch einzelne Fälle, wo Regularien mehr Komplexität bringen.

Was muss man konkret beachten?

Wuchner: Die Nutzung von Managed Security Services kann viel verschiedene Vorteile bringen: Aspekte wie Kosteneinsparungen, Innovation oder operationale Exzellenz sind Beispiele dafür. Je nachdem, wie das Anforderungsprofil genau aussieht und was die Firma erreichen möchte, ist die Auswahl des richtigen Servicepartners fundamental wichtig. Managed Security Services ist kein Technologie-Thema. Es geht vielmehr um Servicequalität, etablierte Prozesse, qualifizierte und zertifizierte Mitarbeiter und die Fähigkeit, zu reagieren und zusammen zu wachsen. Daher ist es sehr wichtig darauf zu achten, dass man gut zusammen arbeiten kann, ähnliche Standards nutzt und die Interfaces passen. Und man muss die Service Provider angemessen managen.

Aber fehlt es nicht vielen Unternehmen an eben den Kenntnissen, die eine solche Lenkung der Service Provider braucht?

Wuchner: Service Management ist wie eine Beziehung daheim. Sie funktioniert nur dann, wenn beide Partner als ein Team agieren und gemeinsame Ziele verfolgen. Wann immer es einen Gewinner gibt, gibt es auch mindestens einen Verlierer. Will man Managed Security Service erfolgreich realisieren, braucht es Engagement von beiden Seiten. Es gibt nicht nur den Alles-oder-nichts-Ansatz. Unternehmen, die ihre Sicherheit mit Managed Security Services erhöhen wollen, aber nicht über das entsprechende Personal verfügen, sollten über einen Hybrid-Ansatz nachdenken.

Was soll man sich unter dem Hybrid-Ansatz vorstellen?

Wuchner: Hybridlösungen kombinieren die operativen Fähigkeiten eines Service Providers mit den intern vorhandenen Kenntnissen über die Security & Business-Prozesse und -Anforderungen. Eine gute Mischung aus Outtasking operationeller Tätigkeiten an einen erfahrenen Partner plus Wissen und Verständnis über vorhandene Risiken und Businessaktivitäten innerhalb des Unternehmens schafft eine gute Basis für eine erfolgreiche Partnerschaft.

Häufig wird eine Automatisierung der Security-Prozesse als Alternative gehandelt, wenn den Unternehmen Personal oder Know-how für den Betrieb von Sicherheitslösungen fehlt. Ist das in Ihren Augen ein gangbarer Weg?

Wuchner: Für den Anwender sollte Security einfach nur da, aber nicht sichtbar sein. Er sollte dem System und den bereitgestellten Daten vertrauen können. Um dies zu erreichen, ist ein gewisses Maß an Automation notwendig und auch sinnvoll. Im Backend hat es in der Vergangenheit immer wieder Versuche gegeben, Abläufe zu automatisieren und Systeme entscheiden zu lassen, welche Sicherheit jetzt gerade gebraucht wird. Data Leakage Prevention DLP ist dafür ein sehr gutes Beispiel. Ich kenne aber keine einzige Firma, die ein solches Konzept vollumfänglich und erfolgreich umgesetzt hat. Mit der Weiterentwicklung bei Themen wie Künstliche Intelligenz (AI) wird man das sicher nochmal überdenken müssen. Dann wird es in Zukunft wahrscheinlich sehr viel mehr Sinn machen, Security-Abläufe zu automatisieren. Stand heute ist Automation aber nur in einem eng abgegrenzten Rahmen erfolgversprechend. Man sollte nur dort automatisieren, wo es Sinn macht und einen Mehrwert verspricht. Der Mensch und seine Intelligenz sind heute noch unersetzbar, wenn es um Incident Response und Detection geht.

Was raten Sie zusammenfassend den Verantwortlichen, die die Sicherheit ihres Unternehmens verbessern möchten?

Wuchner: Das Thema Cyber Security ist real. Nicht umsonst beschäftigen sich Organisationen wie das World Economic Forum WEF mit den Risiken und den Bedrohungen durch Cyber-Attacken. Den Kopf in den Sand zu stecken, ist die falsche Lösung. Es gibt Partner und Lösungen, welche schnell und unkompliziert den vorhandenen Sicherheitslevel ermitteln und verbessern können. Managed Security Services sind ein extrem guter Weg, um das vorhandene Potential zu nutzen und das Sicherheitslevel erheblich zu verbessern.


Über den Jahresbericht „State of Security Operations“

Der vierte Jahresbericht „State of Security Operations“ fasst die wichtigsten Erkenntnisse zusammen, die HPE Security Intelligence and Operations Consulting (SIOC), heute Teil von DXC Technology, seit 2008 während 183 Assessments zu den Fähigkeiten und der Reife von 137 Security Operations Center (SOC) gewonnen hat. Die SOCs befinden sich auf allen Kontinenten in 31 verschiedenen Ländern, und decken alle Industriebranchen sowie Unternehmen, die öffentliche Verwaltung und Service Provider für managed Services ab. Der Bericht nährt sich aus der weltweit größten Datenbasis zum Zustand der Cyber-Abwehr und der Sicherheit in Unternehmen.


Andreas Wuchner ist Chief Technology Officer Security Innovation bei DXC Technology. Mit seiner über zwanzigjährigen Erfahrung in den Bereichen Information Security, IT-Security & Information Risk Management unterstützt er DXC-Kunden auf der ganzen Welt mit seinem Wissen. Sein Augenmerk gilt vor allem hochregulierten Branchen wie die Biowissenschaft und die Finanzbranche.