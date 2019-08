1-10-60 als neue Formel in der Cybersicherheit

Geschwindigkeit wird zu einer zentralen Messgröße für Cybersicherheit. Da sich Angriffe immer ausgefeilter geben, lautet die Frage für IT-Verantwortliche nicht mehr ob, sondern wann es ein Angreifer schafft, sich Zugang zum System zu verschaffen. Die Gegenmaßnahmen sollten daher der Formel 1-10-60 folgen: Angriffe innerhalb einer Minute erkennen, innerhalb von zehn Minuten untersuchen und verstehen und innerhalb von 60 Minuten beheben. Dadurch lässt sich die Abwehrbereitschaft der IT-Systeme nicht nur erhöhen, sondern auch messbar machen.

Die Zeit läuft: Bei der Erkennung von Cyberangriffen ist eine schnelle Reaktionszeit gefragt.

Russische Hacker benötigen im Mittel nur 18 Minuten, um sich nach dem Eindringen in einem System auszubreiten. Dies haben die Analysen des aktuellen Global Threat Reports 2019 von CrowdStrike ergeben. Darin werden jedes Jahr die wichtigsten Ereignisse und Trends zur Cybersicherheit des vergangenen Jahres dargestellt, Angriffsfälle und Taktiken – sowohl von staatlichen als auch von e-Crime-Akteuren – analysiert und Empfehlungen abgegeben, wie Unternehmen ihre Cybersicherheit verbessern können. Unter anderem misst der Report die kritische Zeitspanne, die ein Eindringling benötigt, um in weitere Systeme eines Netzwerks vorzudringen, nachdem er den ersten Endpunkt kompromittiert hat (Breakout-Zeit).



Damit lautet die Frage für IT-Verantwortliche also nicht mehr ob, sondern wann ein Angreifer es schafft, sich Zugang zum System zu verschaffen. Und wie lange es dauert, bis er sich Zugang zu einer sensiblen Ressource verschaffen kann. Sobald es dem Akteur nämlich gelingt, ein weiteres Netzwerk zu kompromittieren, weitet sich ein kleines Sicherheitsereignis schnell zu einem unternehmenskritischen Problem aus. Im Schnitt benötigen Angreifer dafür nur knapp zwei Stunden.



Geschwindigkeit ist entscheidend

Administratoren haben also weniger als zwei Stunden Zeit, um einen Eindringling zu erkennen und aus dem System zu entfernen, bevor er von seinem ursprünglichen Einstiegspunkt aus weitere IT-Systeme kompromittiert und enormen Schaden anrichten kann. Denn früher oder später wird es Angreifern gelingen, ins System einzudringen. Deshalb lautet die Frage: Wie schnell müssen ihre Experten handeln, um einen Angreifer zu stoppen, bevor er sein Ziel erreicht?



Dazu führt der jährliche Global Threat Report umfassende Analysen durch, wobei sich eine Zeitspanne herausgebildet hat, in der Gegenmaßnahmen besonders wirksam sind. CrowdStrike hat daraus die so genannte 1-10-60-Regel abgeleitet: Wenn Angriffe innerhalb einer Minute erkannt, innerhalb von zehn Minuten untersucht und verstanden und innerhalb von 60 Minuten behoben werden können, ist die Abwehrbereitschaft der IT-Systeme deutlich erhöht.



Unternehmen, die diese 1-10-60-Regel befolgen, gelingt es häufig, Angreifer zu eliminieren, bevor es diese schaffen, vom Einstiegspunkt ausgehend in das Zielnetzwerk vorzudringen. So verhindern sie negative Auswirkungen bis hin zur Eskalation. Darüber hinaus ist es essenziell, Einblicke in die Netzwerkumgebung zu haben, um heimliche Angreifer zu erkennen, die sich wie Insider verhalten.



Die Formel gibt eine Orientierung und sie sollte für IT-Verantwortliche ein Maßstab sein, mit dem sie das allgemeine Niveau der Sicherheitssysteme evaluieren können. Sind Reaktionszeiten und Maßnahmen zu langsam, muss korrigierend gehandelt werden. Das macht es auch Führungskräften, die keine IT-Experten sind, leichter, die Leistung der IT-Sicherheit innerhalb ihrer Organisation zu verstehen und zu bewerten.