Bei diesen fünf Warnsignalen drohen Sicherheitslecks

​Die IT-Sicherheitslage ist ernst: Ständig tauchen neue Gefahren aus dem Cyberspace auf. Gleichzeitig wächst die Angriffsfläche von Unternehmen mit jedem neuen Endpunkt, Serverknoten oder Standort – für Hacker ein digitales Eldorado. CISOs und ihre oft kleinen Abwehrteams sind meist überfordert, und ein echtes Security Operations Center (SOC) zu unterhalten, ist vielen Unternehmen in der Regel zu teuer. Externe MXDR-Services lösen dieses Dilemma, doch wann genau lohnen sie sich? Bei Ontinue haben wir eine Checkliste mit fünf Punkten vorbereitet, die auf diese Frage eine Antwort liefert.

1. Allgemeine Alarmmüdigkeit macht sich breit​

Die IT protokolliert sämtliche Prozesse in Systemen und Anwendungen. Die Anzahl von Events, die aus verschiedenen Quellen stammen, kann sich allerdings auf hunderte Millionen summieren – jeden Tag. Deren Analyse ist von Menschenhand natürlich nicht zu schaffen, weswegen sich Sicherheitsexperten auf Tools verlassen, die bei Auffälligkeiten warnen. Freilich steckt nicht hinter jeder Meldung ein Hackerangriff, doch die Untersuchung ist in jedem Fall zeitaufwendig. Nach einer Weile setzt bei Alarmen deshalb eine gewisse Müdigkeit ein, und so steigt das Risiko, dass interne Security-Experten kritische Schwachstellen übersehen.

2. Das Team setzt auf zu viele Tools​

Eine Folge der zunehmenden Bedrohungslage ist ein Wildwuchs an Sicherheits-Tools, der in Unternehmen stattfindet. Bei fast einem Drittel sind über 50 im Einsatz, wie eine IBM-Studie von 2021 belegt – die Zahlen dürften im letzten Jahr noch gestiegen sein. Mehr ist in diesem Fall aber nicht gleich besser: Die Verwaltung so vieler Tools stresst die ohnehin schon an der Belastungsgrenze arbeitenden IT-Security-Teams durch unnötige Komplexität. Oft ist nicht einmal mehr Zeit für grundlegende Management-Aufgaben. Ein deutliches Warnsignal.

3. Die Reaktionsgeschwindigkeit sinkt​

Hackerangriffe, mit denen sich Security-Operations-Teams konfrontiert sehen, sind deutlich raffinierter als früher. Viren und Schadsoftware nisten sich gern tief in Systeme ein, verteilen sich über das Netzwerk und warten ab, bevor sie zu einem günstigen Zeitpunkt zuschlagen. Durch Überbelastung, Alarmmüdigkeit und eine unüberschaubare Zahl von Tools sinkt die Reaktionsgeschwindigkeit bei den Attacken. Ist die Mean Time to Respond (MTTR) hoch, also braucht das Team lang, um eine Bedrohung ausfindig zu machen und Lücken zu schließen, schadet das dem Unternehmen auf sämtlichen Ebenen – und zeigt, dass externe Unterstützung nötig ist.

4. Die Kommunikation zwischen SecOps und IT leidet​

Ein weiterer Indikator für eine Schieflage der IT-Sicherheit ist mangelnde Kommunikation zwischen dem SecOps- und dem IT-Team. In der Regel ist ein zu großer Workload der Grund dafür, dass es an dieser Stelle hapert. Die Folge ist, dass Teams sich Informationen zu Schwachstellen oder Auffälligkeiten kontextlos und ohne Priorisierung einfach zuspielen. Darunter leidet nicht nur die Stimmung zwischen den Teams, sondern auch die Sicherheit, denn je mehr Arbeit das SecOps-Team in die Recherche stecken muss, desto länger sind kritische Sicherheitslücken offen und Gefahrenlagen akut.

5. Niemand definiert messbare Erfolgsindikatoren​

Ohne die nötigen Key Performance Indicators (KPIs), also Erfolgsindikatoren, ist es unmöglich, die Effizienz der eigenen Sicherheitsinfrastruktur zu messen. IT-Security-Teams können zudem gar nicht erfassen, an welchen Stellen Nachholbedarf besteht, wodurch sie praktisch auf der Stelle treten. Die Definition solcher KPIs ist nicht trivial und erfordert einen Blick über den Tellerrand, denn selbst wenn ein Unternehmen seine MTTR kennt, weiß es nicht unbedingt, ob der Wert gut genug ist. Diese Analyseaufgaben erfordern viel Zeit – die gerade bei IT-Sicherheitsexperten bekanntlich Mangelware ist.