Kennen Sie Ihren aktuellen Risiko-Status?

"Tun Sie das nicht!" In der IT-Security hört man diesen Satz oft genug – zum Beispiel, wenn es heisst: "Verwenden Sie keine Legacy-Systeme", oder "Verzichten Sie auf die Nutzung bestimmter Schnittstellen oder Ports." Auch wenn solche Warnungen häufig durchaus berechtigt sind, lassen sie sich in der Praxis nicht immer befolgen. Das liegt nicht etwa am mangelnden Willen der Verantwortlichen. Vielmehr erfordern die moderne Geschäftsdynamik und der harte Wettbewerb mitunter schnelle Lösungen und neue Architekturen, bei denen Sicherheitslücken auftreten können. Wollte man das vermeiden, ginge es zulasten der Agilität. Und auch, wenn jeder weiss, dass man Cloud-Services schützen muss, passieren im Eifer des Gefechts manchmal einfach Fehler. So kann jedes neue vernetzte Gerät, jeder ausgerollte Cloud-Service und jede Konfigurationsänderung eine potenzielle Sicherheitslücke darstellen. Laufend werden neue Schwachstellen veröffentlicht, und Cyberkriminelle entwickeln immer raffiniertere Angriffsmethoden.

Jedes Unternehmen hat Schwachstellen und ist ­angreifbar

Sicherheitsrisiken lauern oft dort, wo es hektisch zugeht oder man sie nicht sieht. In vielen Organisationen hat sich zum Beispiel eine Schatten-IT entwickelt, weil Mitarbeitende Cloud-­Instanzen und Software ohne Kenntnis der IT-Abteilung nutzen. In einer dynamisch wachsenden IT-Umgebung gelingt es nicht immer, alles sauber zu dokumentieren. Meist fehlt ein zentraler Überblick. So kommt es auch vor, dass ausgemusterte Altsysteme oder verwaiste Cloud-Instanzen weiterlaufen und Schwachstellen unbemerkt bleiben.

Selbst in der Security-Abteilung passieren Fehler, etwa weil man eine Situation falsch einschätzt oder ein System nicht optimal konfiguriert hat. Es wird nie möglich sein, alle Schwachstellen zu schliessen und alle Risiken zu vermeiden. Da hilft der erhobene Zeigefinger nur wenig. Vielmehr benötigen Unternehmen eine Strategie, um ihre Risiken zu managen: Mit manchen kann man leben, mit anderen nicht. Um dies zu entscheiden, muss man die eigenen Risiken zunächst kennen und bewerten. Anschliessend kann man gezielt Massnahmen ergreifen, um die grössten Gefahren zu minimieren.

Interne und externe Quellen berücksichtigen

Um Risiken realistisch einzuschätzen, müssen Unternehmen nicht nur ihre Angriffsfläche kennen, sondern diese auch in Relation mit externen Security-Informationen betrachten. Denn nicht jedes Risiko betrifft jedes Unternehmen gleichermassen. Die berühmte Log4Shell-Schwachstelle, die vor etwa einem Jahr für Aufregung sorgte, ist zum Beispiel nur für Organisationen gefährlich, welche die Log4J-Komponente auch einsetzen.

Ausserdem hängt das Risiko, das von einer Schwachstelle ausgeht, auch immer davon ab, wie häufig Angreifer diese Sicherheitslücke gerade ausnutzen. So kann eine ältere, als wichtig eingestufte Schwachstelle aktuell gefährlicher sein als eine neue kritische, zu der Sicherheitsforscher derzeit kaum oder keine cyberkriminellen Aktivitäten verzeichnen. Je nach ihrer Grösse und Branche stehen Unternehmen zudem im Visier unterschiedlicher Hacker-Gruppen. Fällt das Unternehmen ins Beuteschema aktueller Gruppierungen und hat es Schwachstellen, die gerade häufig ausgenutzt werden? Dann ist das Risiko für einen Cyberangriff hoch.

MSPs können helfen

Das Monitoring und die Bewertung von externen Security-Quellen ist für Unternehmen jedoch fast noch schwieriger als die Analyse der Angriffsfläche. Denn täglich veröffentlichen Security-Unternehmen, Polizeiorganisationen, Regierungsbehörden, Non-Profit-Organisationen und Analysten unzählige Informationen zum cyberkriminellen Geschehen. Sie alle im Auge zu behalten und in der nötigen Detailtiefe zu verfolgen, ist für interne Teams kaum machbar. Mit einem renommierten Security-Anbieter an der Seite können MSPs ihre Kunden bei dieser Herausforderung unterstützen: Indem sie die externen Security-Informationen sammeln, analysieren und ihre Kunden proaktiv über relevante Risiken informieren, helfen sie diesen mit geringem Eigenaufwand bei der Risikobewertung.

Eine Schlüsselrolle spielt dabei Extended Detection and Response (XDR). Viele Managed Service Provider setzen diese Technologie bereits ein, um MDR-Services (Managed Detection & Response) anzubieten. XDR sammelt Informationen aller angeschlossenen Security-Systeme über alle Vektoren der IT-Umgebung hinweg – von Cloud-Instanzen über Server und Netzwerke bis hinab zu Endpunkten und E-Mails. Die Daten werden KI-gestützt analysiert, die relevanten Meldungen erkannt und zu verwertbaren Warnungen korreliert, wobei globale Threat Intelligence mit berücksichtigt wird.

So gelingt aktives Cyber-Risiko-Management

XDR kann jedoch nicht nur reaktiv, sondern auch proaktiv unterstützen: Da auf der Plattform ohnehin umfassende interne und externe Security-Informationen zusammenlaufen, kann sie kontinuierlich Risiken für das Unternehmen ermitteln und bewerten. Die Daten werden übersichtlich in einem Dashboard aufbereitet, sodass MSPs auf einen Blick sehen, wo die aktuell grössten Gefahren des Kunden lauern und wo dringender Handlungsbedarf besteht. Sie können den Kunden dann proaktiv warnen und ihn dabei unterstützen, diese Risiken zu mindern.

Besonders effizient wird Risikobewertung im Zusammenspiel mit Managed XDR. Spezialisierte Security-Analysten des Lösungsherstellers übernehmen dann das Monitoring und die Auswertung der Meldungen auf der XDR-Plattform. Sie entlasten die IT-Teams von Partnern und Kunden und erhöhen die Sicherheit zusätzlich, indem sie kundenübergreifende, globale Erkenntnisse und Erfahrungen mit einbringen. Ausserdem stehen sie bei Fragen mit ihrer Expertise bereit und geben Rückhalt.

XDR als Baustein für Zero Trust

Die XDR- und Threat-Intelligence-gestützte Risikobewertung ist zudem ein wichtiger Baustein für die Umsetzung einer Zero-Trust-Strategie. Diese umfasst technische und organisatorische Massnahmen, um Angriffsrisiken zu mindern. Zero Trust bedeutet: Vertraue niemandem. Durch umfangreiche interne und externe Security-Kontrollen gilt es, sicherzustellen, dass nur autorisierte Nutzer auf Systeme, Anwendungen und Daten zugreifen können. Ein umfassendes Zero-Trust-Modell umzusetzen, ist jedoch sehr aufwendig und kann Jahre dauern. In der Regel müssen Unternehmen dafür ihre Netzwerke weitreichend umstellen. XDR lässt sich dagegen in wenigen Wochen einführen und ermöglicht sowohl eine proaktive Bewertung als auch Minderung von Risiken. Die Technologie sammelt und korreliert Telemetriedaten und Warnmeldungen aller angeschlossenen Security-Systeme und analysiert sie KI-gestützt unter Berücksichtigung globaler Threat Intelligence. Dadurch können Unternehmen Zero-Trust-Massnahmen ganz gezielt dort umsetzen, wo ihre grössten Risiken liegen. Im Falle eines Cyberangriffs ermöglicht XDR zudem eine schnelle Erkennung und Reaktion.

Fazit

Cybervorfälle sind heute das grösste Geschäftsrisiko für Unternehmen weltweit. Die Bewertung und das Management von Cyberrisiken sind für sie daher unverzichtbar. Es wird immer Risiken geben, mit denen man leben muss. Entscheidend ist, die individuell grössten Gefahren zu priorisieren und dann mit gezielten Massnahmen die Eintrittswahrscheinlichkeit und den möglichen Schaden zu reduzieren. Da sich sowohl die interne als auch externe Sicherheitslage dynamisch verändert, muss Risikomanagement kontinuierlich erfolgen.

Managed Service können dabei Unterstützung bieten: Mithilfe von XDR-Technologie lässt sich Risikobewertung einfach und effizient etablieren. MSPs können diese wahlweise eigenständig oder gemanagt gemeinsam mit Security-Herstellern anbieten. Sie profitieren dabei von fundierten Analysen und sind in der Lage, Gefahren schnell zu erkennen und zu mindern. So werden sie ihrer ­Rolle als Trusted Advisor gerecht und helfen ihren Kunden bei der Abwehr von Cyber­angriffen.