Die Zahl der Cyberangriffe auf Unternehmen nimmt immer weiter zu. Laut einer Umfrage des Allianz Risk Barometers 2022 sind Cyberangriffe die größte Sorge vieler Unternehmen. Hacker entwickeln immer neue Möglichkeiten, um an interne Unternehmensdaten zu gelangen und daraus Profit zu schlagen. Aus diesem Grund müssen CISOs und IT-Fachkräfte immer neue Gefahren auf dem Schirm haben, um die IT Sicherheit in Unternehmen zu gewährleisten. Als aktuelles, brisantes Sicherheitsrisiko gelten digitale Identitäten. Wenn diese nicht richtig gegen Angriffe geschützt sind, bedeutet das einen enormen Schaden für betroffene Firmen. Passend zu dem Thema, ist ein neues Konzept aufgetaucht: Identity Threat Detection and Response (ITDR).
In diesem Artikel erfährst Du, wie Du dein Unternehmen vor Cyberangriffen schützen kannst und was Du über ITDR wissen musst.
IT-Sicherheit in Unternehmen
Maßnahmen zum Schutz vor Cyberangriffen
Aufgrund der Digitalisierung und Anwendungen in der Cloud haben Cyberangriffe auf Unternehmen deutlich zugenommen. Häufig handelt es sich um organisierte Kriminelle, die Unternehmen durch Ransomware Angriffe attackieren. Dabei werden Daten und Software verschlüsselt und Lösegeld erpresst. Der Schaden ergibt sich allerdings nicht aus dem zu zahlenden Lösegeld, sondern aus dem Produktionsstillstand, der daraus resultiert. Unter Umständen kann dieser mehrere Wochen oder sogar Monate dauern, was einen immensen Verlust für das betroffene Unternehmen bedeutet.
Unternehmen sind einer Vielzahl an unterschiedlichen Angriffsmethoden ausgesetzt, die sie tagtäglich abwehren müssen. Allerdings versäumen einige Unternehmen, ihre Schwachstellen ausfindig zu machen und der IT-Security den nötigen Stellenwert einzuräumen. Eine ganzheitliche IT-Sicherheitsstrategie ist heutzutage jedoch für jedes Unternehmen, egal welcher Größe, essenziell.
Grundsätzlich sollte jedes Unternehmen die folgenden Maßnahmen anwenden, um einen Mindestschutz ihrer IT-Sicherheit zu gewährleisten:
- IT-Sicherheit in Unternehmen ist Chefsache: Sie entscheiden, wie viel Budget für Cybersicherheit zur Verfügung steht
- Kombination verschiedener Sicherheitsmechanismen: Schutz der Firewall und der Endpoints
- Back-ups: Back-ups sollten regelmäßig durchgeführt und gesichert werden. Diese müssen auch offline zugänglich sein
- Managen von Risiken: Risiken sollen regelmäßig überwacht und überprüft werden
- Zuständigkeiten klären: Wer ist wann für was verantwortlich? Was wird im Falle eines Angriffs unternommen?
- Schulung für Mitarbeitende: Sie müssen für das Thema sensibilisiert und in neue Software eingearbeitet werden
Identitäten im Visier
Die oben genannten Sicherheitsmechanismen reichen heutzutage leider nicht mehr aus. Hacker haben ein neues Angriffsziel im Visier: Identitäten. Im Zuge von Remote Work und Cloud Computing erlangten digitale Identitäten immer größere Bedeutung. Sie können von überall von unterschiedlichen Geräten auf firmeninterne Netzwerke, Daten und Software zugreifen. Das klingt auch für Hacker sehr verlockend. Mit einer gehackten Identität können Kriminelle unzählige sensible Daten einsehen und großen Schaden anrichten. Deshalb ist die Sicherheit von digitalen Identitäten ein zentraler Punkt der IT-Security und gehört auf die Agenda jedes CISOs.
Passend zu dem Thema hat Gartner einen neuen Trend im Bereich der IT-Sicherheit festgelegt: Identity Threat Detection and Response. Dies soll helfen, digitale Identitäten und Systeme, die sie verwalten, vor Cyberangriffen zu schützen, indem Angriffe führzeitig erkannt und automatische Gegenmaßnahmen eingeleitet werden.
Was ist Identity Threat Detection and Response?
Welche Mechanismen gab es bisher?
Hacker entwickeln immer neue Methoden, wie sie IT-Systeme von Unternehmen angreifen, um Daten zu stehlen und daraus Profit zu schlagen. Cloud Computing, Remote Work und die Digitalisierung bieten immer neue Angriffsmöglichkeiten. Die IT-Sicherheit versucht im Gegenzug dagegen anzukommen und sich mit neuen intelligenten Systemen und verschiedenster Software zu schützen.
Lange Zeit lag der Fokus vor allem auf der Sicherheit von Systemen, Netzwerken und Geräten, da dies die Hauptangriffsziele von Cyberkriminellen waren. Dazu wurden Mechanismen wie Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) und Network Detection and Response (NDR) entwickelt.
Endpoint Detection and Response (EDR)
EDR dient zur Abwehr von Cyberbedrohungen von Endgeräten wie PCs, Laptops oder Tablets. Die Hardware wird dabei allerdings nicht schlicht auf Viren gescannt. Mithilfe von Machine Learning wird das Verhalten der Geräte einstudiert und analysiert. Ein auffälliges Verhalten deutet dann beispielsweise auf einen Malware- oder Phishing-Angriff hin. Bei einem solchen Fall wird eine automatische Abwehrreaktion des Systems hervorgerufen, die das Gerät isoliert. Somit wird der Angreifer gestoppt und kann keinen weiteren Schaden anrichten. Das sorgt für erhöhte Sicherheit.
Extended Detection and Response (XDR)
XDR ist eine Weiterentwicklung des EDR. Die Grundfunktionen sind ähnlich, aber XDR betrachtet in der Umsetzung zur Gefahrenerkennung nicht nur das Verhalten der Endgeräte, sondern das Verhalten der gesamten IT-Infrastruktur. Darunter fallen Elemente wie Server, Applikationen, Software oder Cloud-Services. Somit werden mehr Bereiche abgesichert, um Bedrohungen frühzeitig zu erkennen und zu bekämpfen. Das stellt ein erhöhtes Sicherheitsniveau der Cybersicherheit dar.
Network Detection and Response (NDR)
Mithilfe von KI und Machine Learning, erkennt NDR normales Verhalten. In diesem Fall liegt der Fokus auf dem Netzwerkverkehr. Dieser wird kontinuierlich analysiert und überwacht. NDR konzentriert sich beispielsweise auf den Fluss von Netzwerk-Metadaten, oder den Datenfluss und Datenpakete von internem und externem Datenverkehr. Bei einer Abweichung vom Normalzustand sendet das System einen Alert und führt einen automatischen Sicherheitsmechanismus aus. Somit lassen sich Sicherheitsbedrohungen schnell erkennen und unterbinden.
Bereit für Dein neues IAM System?
Du hast Fragen rund um Identity und Access Management oder möchtest ein neues IAM System implementieren? Schreib uns einfach ganz unverbindlich eine Nachricht und lass Dich beraten!
Wie funktioniert Identity Threat Detection and Response?
Nun könnte man sich fragen, ob denn noch eine weitere Software gegen Cyberkriminalität benötigt wird. Und die klare Antwort lautet: Ja! Digitale Identitäten sind der neue wunde Punkt der IT-Security. Denn egal wie gut Netzwerke, Geräte und Server geschützt sind, reicht meist ein einziger gehackter privilegierter Account aus, um ein gesamtes Unternehmen zu kompromittieren.
Identitäten benötigen mindestens ein gleiches Maß an Sicherheit und Kontrolle wie andere kritische Stellen in einem Unternehmen. Dementsprechend hat Gartner Identity Threat Detection und Response zum neuen Trend in der IT-Sicherheit gemacht. Mit ITDR wird die Lücke geschlossen und es gibt jetzt eine Möglichkeit Identitäten und Systeme, die diese verwalten, vor Cyberangriffen zu bewahren.
Identitäten zu schützen, ist gar nicht so einfach. Es handelt sich nicht um einen technischen Begriff oder um ein explizites Gerät wie ein Computer. Identitäten sind vielfältig und sehr individuell. Genau wie das Verhalten, was von ihnen ausgeführt wird. Außerdem existieren menschliche und maschinelle Identitäten, die sich im Verhalten und ihren Funktionen teilweise auch stark unterscheiden. Deshalb ist es für die IT-Sicherheit umso wichtiger, dass es nun eine Möglichkeit gibt, Identitäten zu schützen und Angriffe frühzeitig zu erkennen.
ITDR lehnt sich von der Funktionsweise stark an seine Vorgänger EDR, XDR und NDR an. Mithilfe von KI und Machine Learning wird das Normalverhalten der einzelnen Identitäten analysiert und erlernt. Die Identitäten werden die gesamte Zeit überwacht, sodass sie jederzeit geschützt sind. Wenn eine Anomalie im Verhalten erkannt wird, werden automatisch verschiedene Sicherheitsmechanismen aktiviert. Dies kann variabel eingestellt werden.
Bei einer schwachen Abweichung kann beispielsweise ein Alert an einen Systemadministrator geschickt werden, der dann das Verhalten überprüft. Anschließend kann er passende Maßnahmen einleiten. ITDR kann jedoch auch selbst Handlungen ausführen, indem es der Identität gewisse Zugriffsrechte entzieht oder den Account komplett sperrt. Somit können Hackerangriffe sofort erkannt und Schlimmeres verhindert werden.
ITDR benötigt in der Umsetzung dementsprechend verschiedene Tools und Anwendungen, um Cyberangriffe sicher abzuwehren:
- Echtzeit Monitoring der Identitäten
- Machine Learning und Analyse, um abnormales Verhalten zu erkennen
- Verwaltung von Alerts und Reports
- Bewertung von Risiken
Theorie und Praxis
Identity Threat Detection and Response ist bisher nur ein Konzept, ein Trendwort, was noch in die Realität umgesetzt werden muss. Nur wenige Anbieter haben bisher konkrete Softwarelösungen entwickelt, mit denen Unternehmen ITDR nutzen können. Deshalb wird es häufig so sein, dass sich Firmen ihre eigenen ITDR Systeme bauen. Dann funktionieren sie zwar intern, nutzen jedoch leider nicht der breiten Masse. Wir können allerdings gespannt sein, wie sich die Umsetzung von ITDR in den nächsten Monaten und Jahren entwickeln wird und welche Lösungen dafür gefunden werden.
ITDR und Identity und Access Management Systeme
Wie ITDR IAM Systeme schützt
Identity und Access Management Systeme (IAM) dienen dazu, Identitäten zu verwalten und rollenbasierte Zugriffsreche zu managen. Es wird sichergestellt, dass nur berechtigte Personen Zugriff auf Informationen haben. Somit wird das Risiko unautorisierter Zugriffe stark gesenkt. Dadurch werden auch Datenmissbrauch und andere Cyberangriffe minimiert. Identity und Access Management Systeme sorgen also für eine erhöhte IT-Sicherheit in Unternehmen.
Identity und Access Management, Privileged Access Management oder Identity Governance Administration bieten allerdings allein nicht genügend Sicherheit für Identitäten. Sie legen ihren Fokus eher auf Authentifizierung, Autorisierung und Zugriffsmanagement. ITDR studiert das Verhalten von Identitäten, um Hackerangriffe frühzeitig zu erkennen. In Kombination sind beide Elemente aber sehr wirksam.
Weil IAM Systeme allerdings viel Kontrolle über Identitäten haben, werden sie auch selbst immer häufiger das Ziel von Cyberangriffen. Deshalb ist es umso wichtiger, das IAM System selbst auch mithilfe von ITDR zu schützen.
Identity Threat Detection and Response in der Praxis
ITDR könnte in der Umsetzung z.B. so aussehen:
Ulrike ist Head of Sales in einem Unternehmen. Durch ihre Position hat sie Zugriff auf viele sensible Daten und Informationen zu Kunden, laufenden Geschäften, Verträgen und Budgets. Nach einer Konferenz sitzt Ulrike in ihrem Hotelzimmer und greift über das dortige WLAN auf Kundendaten zu, um sie zu aktualisieren. Durch das schlecht gesicherte Netzwerk gelingt es einem Hacker Zugriff zu Ulrikes Identität zu erlangen. Der Kriminelle beginnt sofort sämtliche Daten zu kopieren.
Das wird allerdings augenblicklich von ITDR als Anomalie festgestellt. Automatisch wird das Konto von Ulrike gesperrt und alle Zugänge verweigert. Der Angreifer kann somit nicht weiter auf die sensiblen Kundendaten zugreifen und diese stehlen. Der Systemadministrator wird durch einen Alert über den Vorfall informiert und kann Ulrike die Situation erklären. Manuell kann er ihre Reiseunterlagen wieder freigeben, damit sie am nächsten Morgen zurückfahren kann.
Nimm den Schutz Deiner Identitäten ernst!
Identitäten geraten immer mehr in den Fokus von Cyberkriminellen, wodurch sie ein großes Sicherheitsrisiko darstellen. Als Lösung dient Identity Threat Detection and Response. Es ist eine neue Methode, um Identitäten und Systeme, die sie verwalten, vor Cyberangriffen zu schützen. Mittels Machine Learning wird das normale Verhalten von Identitäten erlernt und bei Abweichung ein automatischer Schutzmechanismus aktiviert.
Alle CISOs und Cybersicherheitsexperten sollten nun Identitäten als Schwachstelle auf dem Schirm haben und sich um deren Sicherheit bemühen. Eine schlecht gesicherte Identität reicht aus, um großen Schaden in einem Unternehmen anzurichten.
Um zu erfahren, ob Deine Identitäten oder Dein Identity und Access Management System ausreichend gesichert sind, schreib uns gerne an. Wir zeigen Dir mögliche Schwachstellen auf und bieten Dir verschiedene Services für zielführende und sichere Lösungen an. Wir freuen uns auf Deine Nachricht!