Eine Welt ohne Cyberrisiken ist leider ein Wunschtraum. Glücklicherweise können Unternehmen selbst viel Unheil verhindern und, wenn es doch zu einem Angriff kommt, diesen adäquat beheben. Laut der von Conscia in Zusammenarbeit mit dem Marktforschungsunternehmen The Blue Hour durchgeführten Benchmark-Umfrage zur Cybersicherheit sind sich die Unternehmen der Gefahr von Cyberangriffen durchaus bewusst.

So gaben 43% der Befragten an, dass sie den größten Teil ihrer Zeit für die IT-Sicherheit auf die Prävention verwenden. Bei 85% ist "Sensibilisierung und Schulung" eine wichtige Maßnahme zur Verhinderung von Cybersicherheitsvorfällen. Wenn es jedoch zu einem Vorfall kommt, zeigen Untersuchungen, dass es in der Regel mehr als 200 Tage dauert, bis der Vorfall bemerkt wird. Maarten Werff, Solution Consultant Cybersecurity bei Conscia: "Deshalb ist es nach wie vor unerlässlich, neben der Prävention auch Maßnahmen zur Erkennung und Reaktion zu ergreifen, um auch Einblicke in die Angriffe zu erhalten, die nicht durch Präventionsmaßnahmen gestoppt werden. Dies scheint nur ein kleiner Prozentsatz zu sein, kann aber dennoch viel Leid verursachen."

SOC: selbst bauen oder auslagern?

Ein Security Operations Centre (SOC) kann die Lösung sein. Die allgemeine Meinung ist oft, dass ein SOC mit hohen Kosten verbunden ist, viel Zeit, Wissen und Energie der Mitarbeiter erfordert und daher nur für große Organisationen geeignet ist. Aber ist das wahr?

Eine einfache Rechnung: Untersuchungen von Forrester zeigen, dass Unternehmen im Durchschnitt 14 Vollzeitäquivalente an Sicherheitsanalysten benötigen, um ihre eigene SOC-Funktion aufzubauen und zu unterhalten (11 Vollzeitäquivalente für Unternehmen mit weniger als 5.000 Mitarbeitern und 20 Vollzeitäquivalente für Unternehmen mit mehr als 5.000 Mitarbeitern). Dabei wird berücksichtigt, dass die Mitarbeiter Tag und Nacht arbeiten und auch gelegentlich in Urlaub gehen.

Betrachtet man die Kosten eines externen Managed Detection & Response (MDR)-Dienstes mit 24/7-Überwachung für 1.000 Mitarbeiter, so belaufen sich diese auf rund 6.000 Euro pro Monat. Das ist also sogar weniger als 1 VZÄ. Wenn Unternehmen ihr eigenes SOC einrichten, benötigen sie neben den richtigen Mitarbeitern auch eine geeignete Technologieplattform. Dadurch steigen die Gesamtbetriebskosten eines internen SOC auf das Dreifache der Kosten eines ausgelagerten SOC (mit hohen Investitionskosten).

Gewinnung und Bindung von Sicherheitsanalysten

Der Aufbau einer eigenen SOC-Funktion hat aber auch eindeutige Vorteile. Unternehmensspezifische Risiken werden von internen Mitarbeitern schneller und besser verstanden. Auf der anderen Seite ist es schwierig, gute Leute zu finden und zu halten. Und das ist auch nicht die geringste ihrer Aufgaben. Forrester gibt an, dass 96% der Sicherheitsanalysten nach einem Vorfall persönliche Auswirkungen erleben. Denken Sie an lange Arbeitstage, Stress, der mit nach Hause genommen wird, schlechten Schlaf. All das ist das Ergebnis der so genannten "Alert Fatigue".

Unternehmen, die die SOC-Funktion auslagern, sind nicht mit diesem Problem konfrontiert und haben auch nicht die Möglichkeit, ihre Kapazitäten zu erweitern. Die Benchmark-Umfrage zeigt, dass 15% der Befragten die SOC-Funktion bereits ausgelagert haben. In 55% der Fälle erfolgt die Überwachung und Analyse von Sicherheitswarnungen durch das interne IT-Team. Darüber hinaus geben 6% der Unternehmen an, dass sie über ein eigenes SOC verfügen, das während der Geschäftszeiten (3%) oder rund um die Uhr (3%) überwacht und analysiert. Fast ein Viertel der Befragten hat die Erkennung von Sicherheitswarnungen nicht oder auf andere Weise sichergestellt.

Bedrohungslandschaft erfordert anderen Ansatz

Laut Maarten Werff gibt es noch einen weiteren guten Grund, auf MDR umzusteigen: "Im letzten Jahrzehnt haben wir uns hauptsächlich auf das Netzwerk konzentriert, aber mit der sich verändernden Bedrohungslandschaft aufgrund der Zunahme von Heimarbeit, Cloud und Verschlüsselung ist die Sichtbarkeit durch traditionelle Netzwerksicherheitsmaßnahmen viel geringer. Sicherheit erfordert heute einen anderen Ansatz. Wir müssen Sicherheitsmaßnahmen für das ergreifen, was wir schützen wollen: unsere Informationen, unsere Nutzer und unsere Endpunkte."

Derzeit geben 41% der Befragten an, dass sie Maßnahmen zum Schutz der Endgeräte ergriffen haben. Es ist nichts Neues, wenn wir sagen, dass die Mitarbeiter - bei allem Respekt - oft das größte Problem sind. 46% der Befragten geben an, dass sie im Falle eines anormalen Dateizugriffs und verschlüsselter Dateien eine Warnung erhalten. Inzwischen können 21% sehen, welche Dateien von einem Cybervorfall betroffen sind und sie wiederherstellen.

Laut Maarten Werff ermöglichen technologische Entwicklungen wie EDR, SOAR und XDR eine Änderung der Erkennungsstrategie. 15% der Befragten verfügen über EDR und 3% über SOAR. "Wenn man die Identität und den Endpunkt in den Mittelpunkt der Erkennungs- und Reaktionsstrategie stellt, erhält man wesentlich mehr Transparenz bei der Alarmierung und kann schneller eingreifen. Dieser Ansatz konzentriert sich nicht auf die Suche nach der 'Nadel im Heuhaufen' und ist daher auch weniger kostenintensiv."

Quelle: Conscia