Prävention ist nur die halbe Miete
Wenn ein Unternehmen merkt, dass sein Schutzkonzept versagt hat, ist es oft schon zu spät. Was ist zu tun? Das Network Detection and Response (NDR) Konzept bietet ein neues Arsenal für die Cyberabwehr.
Cybersecurity hat sich bisher auf präventive Maßnahmen konzentriert. Ist es einem Angreifer gelungen, diese Maßnahmen zu überwinden, liegt das Unternehmensnetzwerk schutzlos vor ihm. Dank KI-gestützter Netzwerküberwachung können solche Angriffe heute gestoppt werden, bevor es zu spät ist.
Der Schutz von IT-Systemen, sei es vor Cyber-Angreifern von außen oder böswilligen Insidern, ist durch die Digitalisierung und die Herausforderungen der Corona-Krise aktueller denn je. In der Vergangenheit basierte die Cybersicherheit hauptsächlich auf Präventions- und Abschirmungsmaßnahmen. Firewalls, Antivirensysteme, Verschlüsselung oder Zugriffsmanagement sollen Unternehmensdaten, Infrastruktur und Konten der Mitarbeiter vor Angriffen schützen.
Mehr als 200 Tage lang unentdeckt
Die gängige Strategie der Cybersicherheit, das Unternehmen mit präventiven Maßnahmen abzuschirmen, reicht jedoch in vielen Fällen nicht aus. In den Medien wird heute fast täglich über erfolgreiche Angriffe und Datendiebstähle berichtet. Laut einer Studie von IBM werden Cyberangriffe im Durchschnitt erst nach 207 Tagen entdeckt. Wenn ein Unternehmen also merkt, dass sein Schutzkonzept versagt hat, ist es oft schon zu spät.
Die Folgen können verheerend sein: Betriebsunterbrechungen, fehlerhafte Produkte, finanzielle Schäden und Reputationsverluste, aber auch rechtliche Fragen (z.B. Datenschutz). Unternehmen jeder Größe sind von Cyberangriffen betroffen. Selbst digitale Giganten wie Facebook sind trotz enormer Präventionsbemühungen Opfer.
Schnelles Erkennen und Reagieren erforderlich
Die Frage ist nicht, ob ein Unternehmen gehackt wird, sondern wann. Der Schlüssel zur Schadensvermeidung liegt daher darin, Bedrohungen, Angriffe und Datenlecks sofort zu erkennen und Gegenmaßnahmen einzuleiten, bevor ein Schaden entsteht. Dies kann durch eine kontinuierliche Überwachung des Netzes erreicht werden, um ungewöhnliche oder verdächtige Ereignisse sofort zu erkennen und zu melden. Die Überwachung des Netzes zur Erkennung von Leistungsproblemen ist seit langem gängige Praxis. Aber die Überwachung der Sicherheit war bisher praktisch unmöglich: Unternehmensnetzwerke produzieren eine riesige Menge an Protokolldaten. Die Analyse dieser Daten auf verdächtige Aktivitäten war nicht nur extrem zeitaufwändig, sondern auch ineffektiv - bis jetzt.
Mit KI in eine neue Welt der Cybersicherheit
Der Einsatz von künstlicher Intelligenz (KI) bei der Netzwerküberwachung löst dieses Problem. KI kann die vorhandenen Logdaten analysieren, lernen, welche Prozesse im Netzwerk normal sind und so bei Abweichungen schnell Alarm schlagen. Die entsprechenden KI-Modelle können entweder im Vorfeld anhand von Beispieldaten trainiert werden oder die Modelle lernen kontinuierlich das reguläre Verhalten des Netzwerks.
Der Name für diese neue Sicherheitstechnologie ist "Network Detection and Response" (NDR). NDR eröffnet ein neues Feld in der Cybersicherheit und funktioniert wie eine Alarmanlage, die zuschlägt, sobald der Einbrecher das Haus betreten hat - und nicht erst nach 200 Tagen, wenn der Datendieb längst weg ist. Cyber-Kriminelle brauchen eine gewisse Zeit, um sich nach einem Einbruch im Netzwerk zurechtzufinden und die wertvollen Daten zu finden. Je kürzer die Zeit zwischen Angriff und Entdeckung ist, desto geringer ist das Risiko eines Schadens für das Unternehmen.
Der Einsatz von KI in der Cybersicherheit endet nicht bei der Überwachung des Netzwerks. Die Technologie kann die Sicherheitsteams auch bei der oft zeitaufwändigen Untersuchung und Bekämpfung von Vorfällen unterstützen. Dies geschieht zum einen durch die automatische Auswertung und Priorisierung von ausgelösten Alarmen, wodurch Fehlalarme minimiert werden und sich die Sicherheitsteams auf die relevanten Vorfälle konzentrieren können. Andererseits unterstützt NDR die Teams bei der Untersuchung und Bekämpfung von Bedrohungen. Durch die intuitive Visualisierung komplexer Unternehmensnetzwerke und die direkte Bereitstellung von Alarmen mit kontextbezogenen Informationen können Sicherheitsteams gezielter agieren. Auf diese Weise bietet NDR der alten Cybersecurity-Welt der Prävention eine neue Welt der Echtzeit-Reaktion, die sowohl leistungsstark als auch effektiv ist.