Alerts – Echte Hilfe oder mehr Arbeit?

Aktuelles

Stellen Sie sich vor, Sie sitzen arbeitend im Home-Office und… es klingelt. Der freundliche Nachbar zur Rechten teilt Ihnen mit, dass Ihr Garagentor nicht ganz geschlossen ist. Danke, das soll so sein, in der Garage ist ein frisch gestrichenes Möbelstück, dass muss noch trocknen.

Kaum am Arbeitsplatz zurück klingelt es erneut und die Nachbarin von Gegenüber glaubt, dass aus Ihrer Garage ein merkwürdiger Geruch kommt. Danke…..

Schwenk: Sie sind der verantwortliche CISO eines mittelständischen Unternehmens und werden nachts durch eine Alarmierung via SMS geweckt, weil eine unbekannte ausländische IP-Adresse versucht, sich in die Buchhaltung einzuloggen.

Nach unruhigen 30 Minuten stellt sich heraus, dass der Hauptbuchhalter aus dem Ferienhotel heraus versucht, eine vergessene Überweisung zu tätigen. Oder, profaner, Sie bekommen die Information, dass mehrere Monate lang zu später Stunde Log-Ins erfolgen, die weit außerhalb der als „normal“ definierten Kernarbeitszeiten liegen. Auch hier ist die Erklärung möglicherweise schlüssig: die Einführung neuer Software erforderte zusätzliche Arbeiten, idealerweise außerhalb der regulären Arbeitszeiten.

Die Beispiele zeigen, dass es schwer ist, Alert-würdige Situationen eindeutig zu bestimmen.

Cybersecurity-Alarme oder Warnungen sind zwar ein wichtiger Bestandteil der IT-Sicherheit. Sie können dazu beitragen, Bedrohungen zu erkennen und zu verhindern. Allerdings sollten sie nicht als alleinige Schutzmaßnahme betrachtet werden. Es ist wichtig, dass Unternehmen und Organisationen auch andere Sicherheitsmaßnahmen ergreifen, um ihre Systeme und Daten zu schützen.

Und, wie eingehend ausgeführt, gibt es auch Nachteile von automatisierten Cybersecurity-Alarmen. Wenn sie zu häufig oder zu ungenau sind, können sie dazu führen, dass Benutzer sie ignorieren oder abschalten.

Dies kann dazu führen, dass wichtige Warnungen übersehen werden und dass Sicherheitslücken nicht erkannt werden.

Idealerweise starten Sie also nicht mit Systemen, die gleich alles überwachen, eigene „normal-Gruppierungen“ ermitteln und Abweichungen konsequent anmahnen. Lernen Sie lieber Anomalieerkennungs-Systeme in beherrschbaren und systemrelevanten Bereichen an und bauen sukzessive aus.

So manches Unternehmen hat bei der Einführung von Anomalieerkennungs-Systemen erst einmal Personal aufbauen müssen, um alle Fehlalarme konsequent abarbeiten und Schritt für Schritt in sinnvolle Alarmierungsszenarien überführen zu können.

Wie Sie bei der Risikoermittlung in heterogenen Netzen durch sinnvolle Alarmierungen unterstützt werden, zeigen wir Ihnen ab dem 10. Oktober auf der it-sa in Nürnberg. Halle 6 – Standnummer 6-342.

Vorheriger Beitrag
Die Bedrohung wächst
Nächster Beitrag
Lösegeld oder Backup-Konzept?

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien