Defense in depth: Klingt gut, aber ist es das auch?
Wie viele Cybersecurity-Tools Unternehmen im Einsatz haben, ist für hohe Sicherheit und Resilienz nicht entscheidend – klingt komisch, ist aber so. Die auf Managed Extended Detection and Response spezialisierte Ontinue gibt drei konkrete Beispiele, warum Unternehmen den Schutz ihrer IT-Infrastruktur nicht nur an ihrer Software festmachen sollten.
Auf dem Papier sieht die Cybersecurity-Strategie Defense in depth so gut aus wie kaum ein anderes Sicherheitskonzept: Aus unterschiedlichen Tools und Verfahren setzt sich Schicht um Schicht ein engmaschiger Schutz rund um die IT-Infrastruktur von Unternehmen zusammen. Neu ist dieser Ansatz nicht, allerdings zeigt sich laut Ontinue in der Praxis immer mehr, dass er nicht sinnvoll ist, denn auch die beste Firewall, der feingranularste DNS-Filter, ein holistisches EDR (Endpoint Detection and Response)-Tool, der elaborierteste Cloud Access Security Broker (CASB) und weitere „Best of Breed“-Sicherheitslösungen allein reichen nicht. Der Faktor Mensch spielt, wie die folgenden drei Beispiele von Ontinue verdeutlichen, in Sachen Cybersecurity eine essenzielle Rolle.
1. Das Konfigurationschaos ist kaum zu beherrschen
„Viel hilft viel“ ist im Kontext der Cybersicherheit ein zweischneidiges Schwert: Viele Tools helfen nur, wenn auch entsprechendes Fachpersonal bereitsteht, dass sie implementieren, konfigurieren, verwalten und warten kann. Das ist jedoch in den wenigsten Unternehmen der Fall und selbst wenn ein grosses IT-Team vorhanden ist, ist die schiere Anzahl an Tools, die Unternehmen einsetzen, viel zu gross. Verschiedene Studien bestätigen, dass in Organisationen im Durchschnitt mehr als 40 Sicherheitslösungen zum Einsatz kommen. Diese Softwareflut ist von KMU und auch von Konzernen selten beherrschbar.
2. Es droht „Alert Fatigue“
Ein weiteres Problem einer sehr grossen Anzahl an Sicherheits-Tools sind die ständigen Alarmmeldungen und Warnungen: Wer im Internet surft und einen Pop-up-Blocker einsetzt, kennt die vielen Warnmeldungen, auch der typische Virenscanner für das Betriebssystem blinkt quasi ununterbrochen – und das sind Tools für einen einzigen User. Skaliert auf die Mitarbeitenden eines Unternehmens und die Vielzahl an zusätzlichen Tools sowohl der Endnutzer als auch der Sicherheitsteams steigt die Anzahl an Warnmeldungen schnell auf ein nicht zu bewältigendes Mass. Was dann folgt, ist die sogenannte „Alert Fatigue“. Sie sorgt dafür, dass IT-Teams kritische und unkritische Warnungen kaum mehr voneinander unterscheiden können und Lücken in der Verteidigung gegen Hacker entstehen.
3. Selbst unter besten Umständen sind Security-Teams überlastet
Selbst wenn das IT-Team das umfangreiche Tool-Set und die Benachrichtigungseinstellungen perfekt konfiguriert hat, ist das Ende der sprichwörtlichen Fahnenstange noch nicht erreicht. Die Bedrohungslage spitzt sich von Jahr zu Jahr zu: Allein die schiere Masse an Cyberattacken nimmt zu und generative KI erweitert die technologischen Möglichkeiten für Hacker weiter. Infolgedessen müssen Security-Teams viel tiefer und intensiver gegen die Flut von Angriffen ankämpfen – das so wichtige Ergreifen präventiver Massnahmen und das Betreiben von Threat Intelligence bleiben dann oft auf der Strecke.
Fazit
„Unternehmen müssen begreifen, dass mehr Tools nicht zwangsläufig mehr Sicherheit bedeuten“, warnt Jochen Koehler, VP EMEA Sales bei Ontinue. „So sicher Defense in depth in der Theorie auch aussehen mag, ohne massiven personellen Aufwand können die allerwenigsten Unternehmen diesen Ansatz praktisch und vor allem erfolgreich umsetzen. Sie sollten sich daher genau überlegen, ob es nicht sinnvoller ist, das ohnehin oft knappe Budget nicht lieber in eine Externalisierung zu investieren, die ihnen höchsten Schutz sowie grösstmögliche Resilienz bei minimalem Personal- und Softwareanschaffungsaufwand bietet.“
