Managed Detection and Response
„Ein IT-Verantwortlicher muss alles im Blick haben“
Forenova hat sich zum Ziel gesetzt, insbesondere KMU umfassenden Schutz gegen Cyberbedrohungen zu bieten und das mittels NDR, MDR und EDR. Was die Lösung genau beinhaltet und leistet und was Unternehmen hinsichtlich Cyberpolicen und NIS-2-Richtlinie beachten sollten – dazu mehr im Interview.
connect professional: Wie sieht Forenovas 360-Grad-Schutz genau aus?
Paul Smit: Für einen umfassenden Schutz muss ein IT-Verantwortlicher alles im Blick haben: Den Datenverkehr mit einer Network Detection and Response und die Endpunkte mit einer Endpoint Detection and Response. Kleinere und mittlere Unternehmen benötigen zudem die Hilfe von Experten (Managed Detection and Response) in einem SOC (Security Operation Center). Effizient lässt sich IT-Sicherheit mit einer KI-basierten Lösung abbilden, welche die legitimen IT-Abläufe erlernt, ihr Wissen permanent optimiert und anomales Verhalten meldet.
Die drei Ansätze entfalten im Zusammenspiel eine umfassende Sicherheit. NDR beobachtet den internen wie externen Datenverkehr zwischen den Endpunkten, die eine IP-Adresse haben und die ein Administrator zentral verwaltet. Sie erkennt die Anzeichen der Angriffe, die auf Endpunkten zunächst nicht oder kaum sichtbar sind und meldet sie an andere Sicherheitslösungen oder auch an das SOC. Sie ermöglicht so die Analyse von Ereignissen, um zukünftige Wiederholungsangriffe zu verhindern. EDR hingegen überwacht den Endpunkt und stoppt lokal die Exekution einer Attacke – zum Beispiel das Verschlüsseln von Daten auf dem Speicher- sowie auf dem Backup-Server. Im Zusammenspiel heißt das: Die Sicherheitsanalysten im SOC profitieren von den Informationen aus NDR und EDR und liefern mit ihrer Expertise für eine bessere Analyse und Abwehr von Angriffen einen wichtigen Mehrwert.
connect professional: Forenova hat sein Portfolio in den letzten Jahren peu à peu auf seine Kunden zugeschnitten. Was genau gab den Ausschlag für die Anpassungen und welche Änderungen hat man daraus folgernd konkret vorgenommen?
Thomas Krause: Wir sind gestartet mit einem Angebot für KI- und Machine-Learning-gestützte NDR. Dieser Ansatz ist auch jetzt noch das Rückgrat unseres Angebots. Doch viele KMUs verlangen zurecht den Schutz von Endpunkten oder Unterstützung durch Cybersecurity-Experten. Das bestärkte unseren schon früh eingeschlagenen Weg hin zu einem umfassenden Plattformangebot.
connect professional: Die Cybercrime-Landschaft hat sich zu einem regelrechten Wirtschaftszweig – Stichwort Ransomware as a Service etc. – entwickelt. Was bedeutet das für Unternehmen und deren IT-Sicherheit? Wird der Cybersecurity seitens der Unternehmen die nötige Bedeutung beigemessen?
Krause: Ein Wirtschaftszweig muss effizient Gewinn erwirtschaften. Das heißt zum einem: Jedes Unternehmen ist für Hacker ein Ziel. Denn hinter jedem Opfer vermuten sie die Mittel, um ein Lösegeld zu bezahlen. Zum zweiten bedeutet dies: eine opportunistische Suche nach Schwachstellen, um im Anschluss die vielversprechendsten Ziele anzugreifen – mit lohnenden Daten oder mit niedriger Gegenwehr. Unternehmen werden sich zunehmend dieses Risikos bewusst.
connect professional: Wie wird sich die Landschaft für Cybercrime und daraus ableitend die für Cybersecurity vor diesem Hintergrund voraussichtlich in der Zukunft entwickeln?
Smit: Langzeitangriffe werden eine wichtige Rolle spielen. Minimalinvasiv versuchen die Hacker der Zukunft, bis kurz vor der Exekution so wenig Spuren wie möglich zu hinterlassen. Das ist oft nur die sporadische Kommunikation zwischen Command-and-Control-Server und infiziertem PC. Angreifer verbringen immer mehr Zeit damit, eine unternehmenskritische Drohkulisse aufzubauen. Sie werden auch Künstliche Intelligenz einsetzen, in Zusammenarbeit mit dem menschlichem Hacker.
connect professional: Apropos Entwicklungen: In den letzten Jahren haben sich Cyberpolicen zunehmend etabliert. Sie werden aber nicht nur immer teurer, neue Abschlüsse unterliegen auch immer strengeren Anforderungen an die IT-Sicherheit der Unternehmen. KMUs sind aber mitunter schon nicht in der Lage, die Basis-Anforderungen zu erfüllen. Wie schätzen Sie vor diesem Hintergrund den Stellenwert von Versicherungen für KMU ein? Wie sinnvoll beziehungsweise wichtig sind Policen dieser Art heutzutage für Unternehmen?
Krause: IT-Versicherungen sind vielen Geschäftsführern immer wichtiger. Offensichtlich ist, dass die Kriterien der Versicherungsgeber an die potenziellen Versicherungsnehmer steigen. Eine MDR wird zu einer wichtigen Bedingung. Bei der Police sollte man sich aber erkundigen, welche Schäden abgedeckt sind: Manche decken nur den Fremdschaden ab, andere klammern Ransomware-Schäden aus. Und gegen ein zerstörtes Image oder durch Spionage verlorene Wettbewerbsvorteile gibt es sowieso keinen Schutz.
connect professional: Obschon Cyberversicherungen eine wichtige Option für Unternehmen darstellen, sich im Hinblick auf Malwareangriffe abzusichern, sind sie letztendlich kein Allheilmittel. Wo sehen Sie darüber hinaus wichtige Bausteine für einen nachhaltigen Schutz der Unternehmensinfrastruktur?
Smit: NDR und EDR bieten weitreichenden Schutz. Ebenso wichtig sind weitere Technologien, wie etwa Firewalls. In Zeiten des Homeoffice und des mobilen Arbeitens reduzieren sie das Risiko durch private oder externe Router außerhalb der zentralen IT-Administration. Dazu kommt das Identity Access Management. Angriffe starten über das Kapern digitaler Kundenkonten, deren Privilegien die Hacker dann eskalieren. NDR kann die Spuren eines scheinbar legitimen Nutzers als Anomalie erkennen. Aber das Entreißen der Rechte sowie ein Least-Privileg-Management übernimmt die IAM. Nicht zu vergessen ist das Backup als zentraler Bestandteil einer IT-Sicherheit.
connect professional: Doch nicht nur Cyberversicherungen beschäftigen derzeit Unternehmen. Auch die NIS-2-Richtlinie wird nun für einige bestimmend. Welche Unternehmen stehen Ihrer Meinung nach hier vor besonders großen Herausforderungen?
Krause: Allein die Frage, für wen NIS 2 gelten wird, ist nicht einfach zu beantworten. Von geschätzt 3,4 Millionen Unternehmen in Deutschland (Stand 2021)1 ist für rund 3,3 Millionen durch Ihre geringe Größe (unter 50 Mitarbeiter) NIS 2 nicht relevant. Es bleiben aber mindestens rund 90.000 andere Betriebe mit mehr als 50 Mitarbeitern, die in Frage kommen. Laut Ansicht des Gründers und Vorstands von Hisolutions, Timo Kob2, wissen „rund 80 Prozent der Unternehmen nicht, dass sie von NIS 2 betroffen sind.“ Seinem Urteil nach dürften die Vorgaben für zusätzlich 40.000 deutsche Firmen gelten. Im Umfeld der allein von der Betriebsgröße relevanten Unternehmen spielt NIS 2 nach dieser Kalkulation für fast jede zweite Organisation eine Rolle. Vor allem für die Betriebe, die kaum Ressourcen für eine interne IT-Sicherheit auf Höhe der Zeit haben. Und das könnten angesichts des dramatischen Personalmangels fast alle sein.
connect professional: Welche Optionen haben betroffene Unternehmen dem zum Trotz, den Vorgaben doch gerecht zu werden?
Krause: Das ist eine gute Frage, zumal die Vorgaben eventuell unklar sind. Die DSGVO sagte nur wenig Konkretes und auch NIS 2 diktiert wahrscheinlich keinen Einkaufszettel. Ein IT-Sicherheitsgesetz 2.0 beschreibt vor allem viele notwendige Prozesse. Per se gibt es keine IT-Technologie, die Compliance garantieren kann, denn der Mensch und der Umgang mit Daten spielen eine Rolle. Wir geben Unternehmen und Organisationen die Mittel an die Hand, um für die Compliance ihrer IT-Abläufe zu sorgen. Unsere Plattform geht DSGVO-konform mit den Analysedaten um: Diese liegen in unserem eigenen zertifizieren Rechenzentrum in Frankfurt am Main. Unsere NDR zieht nur Metadaten heran, ignoriert aber die Inhalte.
1 https://de.statista.com/statistik/daten/studie/1929/umfrage/unternehmen-nach-beschaeftigtengroessenklassen/
2 https://www.handelsblatt.com/technik/it-internet/it-sicherheit-kaum-zu-bewaeltigen-neue-eu-richtlinie-fuer-cybersicherheit-setzt-unternehmen-unter-zeitdruck/28925008.html#:~:text=IT%2DSicherheit%20%E2%80%9EKaum%20zu%20bew%C3%A4ltigen,Die%20Frist%20ist%20knapp.
Lesen Sie mehr zum Thema
