IT-Forensik
Dem Hacker auf der Spur
Fortsetzung des Artikels von Teil 2
Cyberinsurance und SIEM
In der Praxis erfolgt die Beweissicherung der digitalen Spuren mithilfe der IT-Forensik aus unterschiedlichen Gründen. Einer ist der große wirtschaftliche Schaden, den eine erfolgreiche Cyberattacke verursachen kann. Hier kommen Cyber-Risk-Versicherungen ins Spiel, auch bekannt unter dem Begriff Cyberinsurance. Ähnlich wie bei einer Privatversicherung lassen sich Schäden aus Cyberattacken unter bestimmten Voraussetzungen versichern. Die Versicherer fordern bereits im Vorfeld eine detaillierte Beschreibung der vorhandenen IT-Sicherheitskonzepte sowie der vorhandenen IT-Infrastruktur des Unternehmens. Im Schadensfall dienen die forensischen Ergebnisse als Beweis, dass Schäden – beispielsweise der Ausfall eines Servicecenters – durch einen Cyberangriff verursacht wurden, und nicht durch das falsche Einspielen eines Updates. Cyber-Risk-Versicherungen können zwar die Risiken für finanzielle Schäden mindern, sie ersetzen jedoch keinesfalls ein umfassendes Security-Konzept.
Doch wie können Unternehmen ihre IT-Sicherheitskonzepte laufend an neue Bedrohungen anpassen und zeitnah wissen, welche aktuellen Bedrohungen es gibt und welche davon für die eigene IT relevant sind? Wie bereits erwähnt, dient die Sichtung sowie Sicherung von Indikatoren in erster Linie dem Nachweis, dass eine Attacke vorliegt. Unternehmen können aus den Hintergründen sowie dem Ablauf eines Angriffes aber auch lernen. Die für eine Cyber-Attacke genutzte Malware kann als Werkzeug dienen, um Angriffsmuster anderer Cyberattacken zu analysieren, zu erkennen und drohenden Attacken zuvorzukommen beziehungsweise diesen entgegenzuwirken. Dabei sammeln unternehmenseigene SIEM (Security Information and Event Management)-Systeme Informationen aus den IT-Komponenten (wie Log-Daten), setzen diese zueinander in Beziehung und schlagen Alarm, sobald verdächtige Aktivitäten entdeckt werden. Diese Systeme können allerdings nur Angriffsmuster abgleichen, die zuvor schon einmal das System angegriffen haben. Um die internen Daten proaktiv richtig zu steuern, bedarf es Informationen zu globalen Sicherheitsbedrohungen und Sicherheitslücken. Cyber Intelligence hilft Unternehmen, indem es den für die Sicherheit zuständigen Teams ein umfassenderes Bild zur Bedrohungslage an die Hand gibt und Tools bereitstellt, mit denen eine schnellere und präzisere Identifizierung von Bedrohungen und eine gezieltere Beseitigung dieser möglich sind. Je detaillierter die Informationen (Indicators of Compromise) zu Angriffsszenarien sind, desto besser kann das Unternehmen sie für ihre eigene IT nutzen.
- Dem Hacker auf der Spur
- Digitale Spurensuche und Beweissicherung im Netz
- Cyberinsurance und SIEM
- Wichtige Elemente in der IT-Sicherheitsstrategie
- Expertenkommentar: Die Herausforderungen der Zukunft meistern
- Expertenkommentar: Echtzeitigbetrachung ist notwendig
Lesen Sie mehr zum Thema
