Aktive, statt passive Verteidigung

Bildquelle: Banner Adobe Express

Die digitale Verteidigung muss mit einem zuverlässigen Team sichergestellt werden. Am Besten mit einem »Managed Detection and Response« Partner oder einem »Security Operations Center«.

Carl von Clausewitz bringt das heute vorherrschende Dilemma, in digitaler Verteidigung, bereits vor 200 Jahren auf den Punkt. Die Verteidigung wird erfolgreicher, umso aktiver sie gestaltet wird. Es ist unzureichend sich in der digitalen Verteidigung annähernd passiv auf installierte Tools und Systeme zu verlassen.

»So wird man einen großen positiven Erfolg nur durch positive, auf Entscheidung und nicht auf bloßes Abwarten gerichtete Maßregeln herbeiführen. Kurz, man erhält auch in der Verteidigung den großen Gewinn nur durch einen hohen Einsatz.«

Vom Kriege (in Skizzen zum achten Buch, im achten Kapitel), Carl von Clausewitz

Die Überwachung der digitalen Sicherheitssysteme hat auf dieser Grundlage aktiv zu erfolgen. Sobald Alarme auftreten ist sicherzustellen, dass darauf adäquat und professionell reagiert wird. Dies ist prinzipiell mit zwei Modellen denkbar. Entweder in Eigenleistung aus einem kleinen »Security Operations Center« in der eigenen Organisation. Oder mit einem Partner, welcher einen »Managed Detection and Response« Service erbringt und somit ein externes »Security Operations Center« stellt.

Das »Security Operations Center« in Eigenleistung

Um adäquat und professionell mit eigenem Personal auf digitale Angriffe reagieren zu können gibt es grundlegende Voraussetzungen. Das interne Personal muss eine passende Grundausbildung in digitaler Verteidigung absolviert haben. Ein renommiertes Institut hierfür ist beispielsweise das SANS. Tägliche Anwendung oder Übungen des angewendeten Wissen sollten anschließend zu einer Festigung des gelernten beitragen.

Ein weiterer wichtiger Pfeiler ist die verfügbare Zeit des internen Personals. In einem technologieorientierten KMU wird diese Aufgabe höchstwahrscheinlich keine Vollzeitstelle ausfüllen. Deswegen ist darauf zu achten, dass die Priorität des intern eingesetzten Personals bei der digitalen Verteidigung bleibt und sich im Alltag nicht andere Aufgaben dazwischenschieben werden.

Da sich die digitalen Angreifer ständig verändern ist eine fortlaufende und ständige Weiterbildung des internen Personals ebenfalls unabdingbar.

»Managed Detection and Response« mit einem externen Partner

Ein externer »Managed Detection and Response« Partner oder ein externes »Security Operations Center« sollten selbstredend die gleichen Voraussetzungen erfüllen wie ein »Security Operations Center« in Eigenleistung. In der Regel sind die Lösungsanbieter auf Verteidigungs-Software unterschiedlicher Hersteller begrenzt. Somit kann die technische und dienstleistende Lösung als zusammengehörendes Paar betrachtet werden. Es ist darüber hinaus hilfreich, wenn der externe Partner ein Verständnis vom Geschäftsmodell des Kunden hat. Egal ob es jetzt eine Designagentur in einem Büro in der Großstadt ist oder ein bodenständiger Fertigungsbetrieb. Die Schutzziele beider Unternehmen werden ähnlich sein, sich aber trotzdem in einigen Details unterscheiden.

Eine Entscheidung treffen

Es spielt keine Rolle ob man sich für das »Security Operations Center« in Eigenleistung oder in Fremdleistung entscheidet. Den großen Unterschied macht die Entscheidung seine digitale Verteidigung aktiv zu gestaltet.