Sie sind hier: HomeTelekommunikation

Interview zu Continuous Monitoring: "Es ist an der Zeit einzusehen, dass Prävention scheitern wird"

Prävention allein ist gescheitert. Continuous Monitoring dagegen soll in der Lage sein, einem Erfolg des Angreifers selbst nach dem Einbruch zuvorzukommen. Bryan Simon, Certified Instructor beim SANS Institut, erklärt im funkschau-Interview wie genau das funktioniert.

Bildquelle: © Photographee.eu - fotolia

funkschau: Was genau ist Continuous Monitoring – wie sehen die Aufgaben und Möglichkeiten aus?

Bryan Simon: Continuous Monitoring ist kein neuer Aspekt der Cyber-Security. Trotzdem spielt es eine zunehmende Rolle in unserem Verständnis davon, was effektive Sicherheit eigentlich ausmacht. Bevor ich eine Definition von Continuous Monitoring gebe, lassen Sie mich zunächst klarstellen, was es nicht ist: es ist keine kontinuierliche Überwachung von Protokollen, bei der man Abertausende Zeilen durchsiebt. Das tun wir aktuell schon und letztendlich sind wir damit gescheitert. Continuous Monitoring, wie wir es verstehen, ist das Überwachen, Verstehen und Entschlüsseln unserer Umgebung und zwar so, dass wir Schwachstellen "rechtzeitig erkennen" und "rechtzeitig reagieren".

funkschau: Wie baut man eine effiziente Sicherheits-Architektur auf? Welche Rolle spielt hier Continuous Monitoring?

Simon: Eine effiziente Sicherheitsarchitektur zu erklären, würde den Rahmen sprengen. Worauf ich aber in jedem Fall aufmerksam machen will, ist, dass wir heutzutage eine unzureichende Definition von effektiver Sicherheit haben: Wenn es um unser Sicherheitskonzept geht, konzentrieren wir uns fast ausschließlich auf Prävention. Es ist an der Zeit einzusehen, dass Prävention scheitern wird. Das heißt nicht, dass man keine Präventivmaßnahmen ergreifen sollte. Trotzdem müssen wir einsehen, dass wir hauptsächlich auf Prävention geachtet haben und das hat uns letztendlich geschadet. Wenn wir Statistiken lesen, die besagen, dass neun Monate vergehen, bis ein Einbruch in ein Unternehmensnetzwerk entdeckt wird, zeigt das einmal mehr, dass die rein präventive Ausrichtung unserer Sicherheitskonzepte falsch ist. Die neue Definition von Prävention ist, einem Erfolg des Angreifers zuvorzukommen – nach dem Einbruch. Wenn wir den Kampf mit Prävention nicht 100-prozentig gewinnen können, ist es wesentlich effektiver, den Angreifer aufzuhalten, nachdem er in das System eingedrungen ist. Continuous Monitoring gibt uns die Möglichkeit dazu, weil es rechtzeitig erkennt und rechtzeitig reagiert. Genau das ist der Schlüssel, den Erfolg der Angreifer zu stören und ihnen zuvorkommen.

funkschau: Wie können die Ergebnisse des Continuous Monitoring verwendet werden, um Schaden zu reduzieren?

Simon: Continuous Monitoring kann zu effizienterem Vorgehen in Verbindung mit rechtzeitigem Erkennen und rechtzeitigem Reagieren führen. Auf diesem Weg kann der Gesamtschaden eines Unternehmens erheblich begrenzt werden. Es kommt sehr selten vor, dass Hacker nach dem Eindringen in ein Unternehmensnetzwerk direkt Zugang zu dem haben, was sie brauchen, um ihr Endziel zu erreichen. Normalerweise sind ausgedehnte Bewegungen im Unternehmen nötig, um zu diesem Ziel zu gelangen. Dieses Manövrieren verursacht digitales Rauschen und genau dieses Rauschen wird durch Continuous Monitoring aufgespürt. Indem wir die Präsenz des Eindringlings früh entdecken, können wir ihn davon abhalten, sein Endziel zu erreichen – welches auch immer es sein mag. Wenn wir ihn daran hindern können, dieses Ziel zu erreichen oder es uns zumindest gelingt, den Prozentsatz des erreichten Ziels zu minimieren, ist der Gesamtschaden begrenzt: Alles, was unter 100 Prozent liegt, ist ein Gewinn.