KI-gestützte Netzwerküberwachung
Angriffe entdecken, bevor Schaden entsteht
Sicherheitslücken schnell und zuverlässig zu finden, ist in komplexen Netzwerken mit riesigen Datenmengen manuell kaum möglich. KI-gestützte Netzwerküberwachung kann dies allerdings ändern – und Bedrohungen schnell entdecken und eliminieren.
Der Schutz von IT-Systemen – sei dies nun gegen Angreifer von außerhalb oder böswillige Insider – ist nicht nur aufgrund der aktuellen Corona-Krise mit ihrem Push zu verstärkter Digitalisierung ein aktuelles Thema. Für die Absicherung gegen solche Attacken setzen Unternehmen bislang vor allem auf Prävention und rein abschirmende Maßnahmen. Dieser klassische, rein präventive Weg der Cybersicherheit reicht allerdings in vielen Fällen nicht mehr aus. Dies wird in der zunehmenden Anzahl erfolgreicher Angriffe, die immer öfter auch mit Datenverlusten verbunden sind, deutlich – so dauert es im Durchschnitt über 200 Tage, bis solche Angriffe überhaupt entdeckt werden.
Sobald ein Unternehmen feststellt, dass sein Schutzkonzept versagt hat, ist es also oftmals zu spät. Die Folgen können verheerend sein: Betriebsunterbrechung, fehlerhafte Produkte, finanzielle Schäden und Reputationsverluste sowie rechtliche Konsequenzen – etwa beim Thema Datenschutz. Die Frage ist dabei nicht, ob ein Unternehmen gehackt wird, sondern viel mehr wann, und zwar gleich, welcher Größenordnung. Selbst digitale Riesen wie Facebook bleiben davon nicht verschont, trotz ihrer enormen Anstrengungen. Besonders oft kommt es dabei gegenwärtig zu so genannten Ransomware-Erpressungen, bei welchen Angreifer die Systeme verschlüsseln und Lösegeldforderungen stellen.
Der Zeitfaktor ist entscheidend
Entscheidend für die Schadensverhütung ist deshalb, Bedrohungen, Angriffe und Datenlecks sofort zu entdecken und Gegenmaßnahmen einzuleiten, bevor der Schaden überhaupt erst entstehen kann. Hacker benötigen viel Zeit, um sich durchs Netzwerk zu arbeiten, und finden die wirklich wertvollen Daten häufig erst nach Wochen oder gar Monaten. Üblicherweise wird zuerst eine Schadsoftware installiert und Kanäle nach außen etabliert, bevor die Hacker Daten verschlüsseln, stehlen oder Unternehmen erpressen können. Dies lässt sich am Beispiel Cobalt Strike illustrieren, eine eigentlich legal lizensierbare Software, die von Firmen für Penetrationstests eingesetzt wird. In den letzten Jahren machte eine abgeänderte Version als Malware Schlagzeilen – Hacker konnten diese leicht erwerben und einsetzen.
Für einen Angriff wurde diese Malware zuerst "ausgeliefert", zum Beispiel mittels Phishing-Emails. Nach erfolgreicher Infiltrierung etabliert die Malware dann über den Webverkehr einen sogenannten Command-&-Control-(C&C-)Kanal, über den dann die weitere Steuerung durch den Hacker erfolgt, der sich mit Hilfe dieses Werkzeugs auf die Suche nach den "Kronjuwelen" des Unternehmens begibt – Kundendaten, Patente oder kritische Systeme, die keinesfalls ausfallen dürfen. Hat er diese gefunden, kann der Hacker über den bereits etablierten Kommunikationskanal die Daten herunterladen – oder auch verschlüsseln, falls er einen Erpressungsversuch starten möchte. Da sich solche Vorgänge aber wie schon beschrieben über Wochen oder Monate hinziehen, könnten sie also entdeckt werden, bevor der eigentliche Schaden entsteht.
- Angriffe entdecken, bevor Schaden entsteht
- Sicherheit ebenso wichtig wie Performance
Lesen Sie mehr zum Thema
