Management und Wissen eine erfolgreiche Reduzierung der Angriffsfläche eines Netzwerkes zulassen. Unternehmen erhalten durch diese Analysen zugleich eine Bewertung über den Erfolg ihrer Security-Maßnahmen. Zusätzlich leisten diese Analysen wertvolle Dienste bei der Prozessoptimierung. „CSM bildet die IT-Landschaft vollständig ab und liefert ein Lagebild des Security-Status in Echtzeit“, betont Agnes Graf, Geschäftsführerin von AMPEG. „Die IT kann damit mögliche Abweichungen von Vorgaben sowie Sicherheits- lücken proaktiv behandeln“, ergänzt sie und hebt hervor: „Mit CSM entdecken wir ein Problem, bevor daraus ein Incident wird“. Continuous Security-Monitoring (CSM) oder kontinuierliche Sicherheitsüberwachung beschreibt ein Konzept, das die Security-Kontrolle aller Systeme im Unternehmensnetz anhand verschiedener Quellen von Sicherheitsinformationen automatisiert. Zentraler Aspekt ist das Echtzeit-Monitoring, das permanent einen aktuel- len Überblick über die Sicherheitslage des Unternehmens erlaubt. Dafür sind herstellerunabhängige, übergreifende Analysen notwendig. So wird der Schutz vor Cyberatta- cken, Fehlkonfigurationen und anderen Gefahrenquellen optimiert. Diese Funktionalität umfasst On-Premises- Systeme, virtuelle Umgebungen sowie Cloud-Instanzen. Dirk Ossenbrueggen, Security-Chef beim Glas- spezialisten Schott, beschreibt die Ausgangslage vor der Installation eines CSM-Systems folgendermaßen: „Wir hatten keinen tieferen Einblick in unser Netz, wussten nicht, wie wir aufgestellt sind und wie das Sicherheitsni- veau überhaupt ist“. Die anschließend offenbarte Realität ist oft überraschend: „In gewisser Weise waren die Daten ernüchternd, denn wir hatten gedacht, mit unserer IT- Sicherheit schon weiter zu sein“, resümiert Ossenbrueggen und stellt zugleich den Wert dieses Ergebnisses heraus: „Allerdings, und das war ja das Positive daran, wussten wir nun, welche Defizite wir hatten.“ Den Einsatz des CSM beurteilt er so: „Das ist in der Tat ein zentraler Vorteil des Tools: Es macht unmissverständlich deutlich, welche Baustellen bearbeitet werden müssen.“ US-Behörden verlangen CSM Ein weiteres Einsatzszenario ist mit der automa- tischen Erstellung von Analysen und Berichten gegeben, die nicht nur gegenüber dem Management oder der Geschäftsleitung dienlich sein können, sondern auch für Compliance-Anforderungen. In den Vereinigten Staaten verlangen inzwischen einzelne Behörden entsprechen- de CSM-Tools: „In den USA gibt es etwa den NYCRR 500 Standard des New Yorker Departments of Financial Services. Er schreibt bestimmte Penetrationstests und Schwachstellenscans vor, wenn in einem Unternehmen noch kein CSM-Programm aufgebaut wurde“, berichtet das Online-Magazin ComputerWeekly[3]. Dazu Agnes Graf: „Die Ermittlung der technischen Compliance, also Erfüllung von betrieblichen Sicherheitsvorgaben, wird mit einem differenzierten, individuell anpassbaren Re- gelwerk unterstützt“. Dafür sind keine umfangreichen Anpassungen erforderlich, Security Lighthouse bringt von Haus aus über 400 verschiedene Auswertungen mit. Individuelle Anpassungen seien dennoch möglich, jedoch selten notwendig, womit sehr geringe Kosten für individuelle Anpassungen entstünden, erklärt Graf. „Die unternehmensweite Beurteilung der IT-Sicherheitslage ist mit geringem Aufwand weltweit über alle Standorte hinweg möglich“, ergänzt sie. Beiläufig erwähnt sie an- schließend ein außergewöhnliches Highlight: „Besonders bei komplexen IT-Infrastrukturen schätzen Kunden die Möglichkeit, den Wert für einen Enterprise Security Level Score zu ermitteln und diesen auch zwischen unterschied- lichen Geschäftsbereichen abzugleichen; so lässt sich das Sicherheitsniveau mit einem Wert abbilden.“ Lagebild in Echtzeit CSM-Systeme sind in der Lage, zahlreiche Auf- gaben zu automatisieren, die ansonsten von Security- Spezialisten manuell erledigt werden müssten. Doch die manuelle Zusammenstellung der benötigten Informa- tionen sowie deren Auswertung ist fehleranfällig. CSM- Systeme erhöhen somit zugleich die Zuverlässigkeit der Ergebnisse und bieten dauerhaft einen verlässlicheren Überblick. Auch in der Produktions-IT existiert die An- forderung nach mehr Security-Transparenz und einem permanenten Monitoring des Sicherheitszustands. Der Bedarf für mehr OT-Sicherheit ist also vorhanden: „Wir haben das Security Lighthouse im Moment nur in der Office-IT. Wir sehen aber schon jetzt auch einen Teil von der Produktions-IT, nämlich da, wo zum Beispiel eine End- point-Protection-Lösung in place ist, die eigentlich hinter der Firewall ist, aber eben mit der Zentrale telefoniert“, beschrieb der Security-Chef vom Glasspezialisten Schott seine Anforderungen. Als weitere Vorstellung äußerte er: „Unsere Überlegungen gehen dahin, die Produktion möglicherweise auch tiefergehend in das Monitoring einzubeziehen“. ■ AMPEG auf der it-sa: Halle 7A, Stand 7A-110 Literatur [1] TÜV-Verband, „TÜV Cybersecurity Studie“, www.all- about-security.de/studien/tuev-cybersecurity-studie/ [2] Deloitte, „Deloitte Cyber Security Report 2021“, www2. deloitte.com/content/dam/Deloitte/de/Documents/risk/ Deloitte_Cyber%20Security%20Report%20Teil%202.pdf [3] ComputerWeekly, „Wichtige Gründe für ein kontinuier- liches Security-Monitoring“, 2019, www.computerweekly. com/de/tipp/Wichtige-Gruende-fuer-ein-kontinuierliches- Security-Monitoring 28 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Markt, Oktober 2021