Prävention ist nur die halbe Miete

Cybersecurity fokussierte bis anhin auf präventive Massnahmen. Waren diese einmal ausgehebelt, so lag den Angreifern das Firmennetzwerk schutzlos zu Füssen. Dank KI-gestützter Netzwerküberwachung können auch solch unentdeckte Angriffe gestoppt werden.

Der Schutz von IT-Systemen, sei dies nun gegen Cyber­angreifer von ausserhalb oder böswillige Insider, ist wegen der Digitalisierung und den Herausforderungen der Coronakrise aktueller denn je. Für die Cybersecurity wurde in der Vergangenheit vor allem auf Prävention und abschirmende Massnahmen gesetzt. Firewalls, Antiviren-Systeme, Verschlüsselung oder Zugriffsmanagement sollen Firmen­daten, Infrastruktur und die Accounts der Mitarbeitenden vor Attacken schützen.

Der klassische Weg der Cybersicherheit durch Abschirmung des Unternehmens mit präventiven Massnahmen reicht allerdings in vielen Fällen nicht aus. Wie die Medien fast täglich berichten, kommt es immer wieder zu erfolgreichen Angriffen und Datendiebstahl. Laut einer Studie von IBM werden Attacken im Durchschnitt erst nach 207 Tagen erkannt. Wenn ein Unternehmen feststellt, dass sein Schutzkonzept versagt hat, ist es also oftmals schon zu spät.

Die Folgen können verheerend sein: Betriebsunterbrechung, fehlerhafte Produkte, finanzielle Schäden und Reputationsverluste sowie rechtliche Fragen (etwa beim Thema Datenschutz). Von solchen Cyberattacken betroffen sind Unternehmen aller Grössenordnungen. Selbst digitale Riesen wie Facebook bleiben davon nicht verschont, trotz ihrer enormen Präventionsanstrengungen.

Die Frage ist nicht, ob ein Unternehmen gehackt wird, sondern wann. Der Schlüssel zur Schadensverhütung liegt deshalb darin, Bedrohungen, Angriffe und Datenlecks sofort zu entdecken und Gegenmassnahmen einzuleiten, bevor Schaden entsteht. Dies lässt sich bewerkstelligen, indem man das Netzwerk kontinuierlich überwacht, um ungewöhnliche oder verdächtige Vorgänge sofort zu erkennen und dann Alarm zu schlagen. Die Überwachung des Netzwerks, um Performance-Probleme zu erkennen, ist bereits seit Langem Standard. Doch eine sicherheitstechnische Überwachung war bislang kaum möglich: Firmennetzwerke produzieren eine Unmenge an Logdaten. Diese auf verdächtige Aktivitäten hin zu untersuchen, ist manuell nicht nur extrem aufwendig, sondern auch wenig effektiv – wie die Vergangenheit zeigt.

Der Einsatz künstlicher Intelligenz (KI) in der Netzwerküberwachung löst dieses Problem. KI kann die bestehenden Logdaten analysieren, lernen welche Vorgänge im Netzwerk normal sind und so bei Abweichungen schnell Alarm schlagen. Die entsprechenden KI-Modelle können ent­weder anhand von Beispieldaten im Voraus trainiert werden oder die Modelle können kontinuierlich das reguläre Verhalten des Netzwerks lernen.

Der Name für diese neue Sicherheitstechnik lautet «Network Detection and Response» (NDR). NDR eröffnet ein neues Feld in der Cybersecurity und funktioniert dabei wie eine Alarmanlage, die anschlägt, sobald der Einbrecher ins Haus gelangt ist – und nicht erst nach 200 Tagen, wenn sich der Datendieb längst aus dem Staub gemacht hat. Cyberkriminelle brauchen eine gewisse Zeit, um sich nach einem Einbruch im Netzwerk zurechtzufinden und die wertvollen Daten ausfindig zu machen. Je kürzer die Zeit zwischen Attacke und Entdeckung, desto kleiner ist das Risiko, dass für das Unternehmen ein Schaden entsteht.

Der Einsatz von KI in der Cybersecurity endet nicht bei der Überwachung des Netzwerks. Die Technik kann die Security-Teams auch bei der oftmals zeitintensiven Unter­suchung und Bekämpfung von Vorfällen unterstützen. Sie tut dies zum einen, indem ausgelöste Alarme automatisch bewertet und priorisiert werden, womit sich Fehlalarme minimieren lassen und die Security-Teams sich auf die relevanten Vorfälle konzentrieren können. Zum anderen greift NDR den Teams bei der Untersuchung und Bekämpfung von Bedrohungen unter die Arme. Indem komplexe Firmennetzwerke intuitiv visualisiert und Alarme direkt mit Kontext­informationen geliefert werden, können die Security-Teams zielgerichteter agieren. So stellt NDR der alten Cybersecurity-Welt der Prävention eine neue Welt der Reaktion in Echtzeit zur Seite, die ebenso schlagkräftig wie effektiv ist.