Möglichkeiten für Security-fokussierte Channel-Partner

Intelligenz- und risikobasierte Cybersicherheit für den Mittelstand

01.03.2022 von Christian Moorse
Neue Sicherheitstechnologien kommen oft zuerst bei Großunternehmen zum Zuge. Bei Threat Intelligence machen sich die Vorteile jedoch besonders bei KMU bemerkbar. Resellern bieten sich hier attraktive Optionen zur Portfolioerweiterung.
Threat-Intelligence-Lösungen helfen Channel-Partnern, für ihre Kunden eine proaktive Abwehrstrategie zu entwickeln und diese auch effektiv zu betreiben.
Foto: Maddas - shutterstock.com

Kleine und mittlere Unternehmen (KMU) hinken bei der Bedrohungsabwehr oft hinterher. Aufgrund unzureichender Budgets oder mangelnder fachlicher Kompetenzen ist die Cybersicherheitsstrategie vielerorts nicht gerade optimal aufgestellt. Eine robuste Bedrohungsabwehr, proaktive Bedrohungserkennung und gezielte Reaktionsmöglichkeiten sind für KMU jedoch gleichermaßen bedeutend wie für große Unternehmen.

Hier können Channel-Partner einen enormen Mehrwert liefern. Durch die Zusammenarbeit mit den richtigen Anbietern können sie zu zuverlässigen Partnern avancieren, um Cyberrisiken zu mindern und einen zeitgemäßen intelligenzbasierten Sicherheitsansatz umzusetzen.

Risiken in den Griff bekommen - aber wie?

Kleinere Unternehmen haben nicht die notwendigen Ressourcen, um ihre IT-Systeme zufriedenstellend zu schützen. Häufig fehlt auch das Budget für eine dedizierte IT-Rolle oder gar einen Sicherheitsexperten. IT-Tätigkeiten werden oft ausgelagert oder Freiwillige aus anderen Abteilungen springen ein. Eine nicht durchdachte oder schlicht fehlende Sicherheitsstrategie kann jedoch negative Auswirkungen zur Folge haben, wie ein geringes Sicherheitsbewusstsein, was Unternehmen anfällig für Cyberangriffe macht.

ChannelPartner-Workshop IAM/PAM, Ende 2020
Der ChannelPartner-Workshop IAM/PAM ...
... fand Ende 2020 digital statt.
Doris Fiala, Channel Sales Manager DACH bei Wallix:
"Die Zusammenarbeit mit den Systemintegratoren ist für uns essentiell.“
Michael Kleist, Regional Director DACH bei CyberArk:
"Welche Identitäten haben welchen Zugriff auf welche Ressourcen?"
Patrick Schmidt, Distribution Account Manager bei RSA:
"Alle neuen digitalen Identitäten stellen im Prinzip eine Bedrohung dar."
Stefan Rabben, Area Sales Director DACH und Osteuropa bei Wallix:
"Access Management – die sichere Verknüpfung zwischen Usern und Systemen."
Manfred Koller, Channel Manager DACH bei CyberArk
"Software kann den Systemadministrator sinnvoll unterstützen."
Sebastian Ganschow, Director Cybersecurity Solutions Germany bei NTT
"Eine zentrale Identity- und Access-Management-Plattform für die Schulen."
Werner Schwarz, Vice President Corporate Strategy & Innovation bei Cancom
"Wir müssen die Sicherheitsanforderungen unserer Kunden priorisieren."
Christian Schwaller, ACP:
"Der Erfolg von Microsoft Office 365 macht es uns vor."
Carsten Dibbern, Solution Manager bei Computacenter
"Access Management in der Cloud."
Ivan Vukadin, Solution Advisor Security & Data Management bei Software One:
"Als Systemhaus ist es unsere Aufgabe festzustellen, wo die Risiken tatsächlich liegen."
Pascal Kube, Geschäftsführer bei Mahr EDV:
"Fast nie eine direkte Anfrage von IAM-Lösungen."
Thomas Bursy, Team Manager Solution Sales – Security bei Software One:
"Bei unseren Kunden finden wir keine grüne Wiese, sondern ein Sammelsurium verschiedener Systeme vor."
Andreas Schmidt, Sales Security-Manager bei SoftwareOne:
"Die größte Herausforderung besteht in der klaren Kommunikation."
Peter Marwan, ChannelPartner:
"Integration ist essentiell."
Ronald Wiltscheck, ChannelPartner:
"Ständig steigende Zahl von digitalen Identitäten - und das auch noch im Homeoffice."

Im Moment stellen Ransomware und Business E-Mail Compromise (BEC), also gefälschte Geschäfts-E-Mails, die größten Sicherheitsrisiken für KMU dar. Um solche Risiken in den Griff zu bekommen, müssen die Mitarbeiter zum Schutz gegen mehrere Arten von Angriffen geschult werden. Dies gilt unter anderem für die Abwehr von Phishing- und BEC-Versuchen, Prozesse zur doppelten Prüfung von gefälschten Zahlungsanforderungen, das zeitnahe Patchen von Schlüsselsystemen, die Verwendung von Multi-Faktor-Authentifizierung bei RDP (Remote Desktop Protocol) und anderen öffentlich zugänglichen Internetdiensten.

Aufgrund mangelnder interner Fachkenntnis ist die Cybersicherheitsstrategie jedoch oft starr und schwach. KMU konzentrieren ihre Anstrengungen auf Compliance-Anforderungen oder darauf, bestimmten Bedrohungen spezifische Abwehrmaßnahmen zuzuordnen. Angesichts der Volatilität aktueller Bedrohungen ist ein intelligenzbasierter Ansatz sinnvoller. Dadurch bekommen Sicherheitsverantwortliche ein Verständnis dafür, welche Bedrohungen zu welchem Zeitpunkt das höchste Risiko darstellen, bevor sie einen Plan zur Abwehr des Risikos erstellen. Sie können damit erstmalig die Kosten beziffern und mit den Kosten vergleichen, die entstehen würden, wenn sie keine Maßnahmen ergriffen hätten.

Intelligenzbasierte Lösungen als Säule der Sicherheitsstrategie

Eine wichtige Säule einer modernen Cybersicherheitsstrategie sind Threat-Intelligence-Lösungen. Bei Threat Intelligence handelt es sich um Bedrohungsinformationen, die dazu dienen, böswillige Aktivitäten zu verstehen, wenn ein Unternehmen angegriffen wurde, angegriffen wird oder es Hinweise darauf gibt, dass ein Angriff unmittelbar bevorsteht. Diese Informationen sind vor allem nützlich, um sich auf gängige Bedrohungen vorzubereiten, sie zu verhindern und zu identifizieren, bevor sich die Angreifer Zugang zu vertraulichen Unternehmensdaten verschaffen.

Eine auch für KMU geeigente, Saas-basierende Threat-Intelligence-Lösung wie von Recorded Future kann entscheidend dabei helfen, Security-Vorfälle zu bewerten und zu priorisieren. Sie nimmt IT-Dienstleistern mit Security-Fokus so einerseits Arbeit ab und hilft ihnen gleichzeitig, höherwertige Dienstleistungen anzubieten.
Foto: Recorded Futur

Gezielte Bedrohungen erfordern gezielte Abwehrmaßnahmen. Mit ??Threat-Intelligence-Lösungen können Channel-Partner eine proaktive Abwehrstrategie für ihre Kunden optimal umsetzen. Eine entsprechende Plattform identifiziert und priorisiert Bedrohungen, um die relevantesten Informationen zu liefern, statt eine Flut an Warnmeldungen zu produzieren, die zu "Alarmmüdigkeit" führen. Threat Intelligence liefert alles Wissenswerte über die wichtigsten Bedrohungen und aktuell aktiven Gruppen von Bedrohungsakteuren, um diese priorisieren zu können. Die Bedrohungsanalyse berücksichtigt den Geschäfts- und Branchenkontext, um zu verstehen, wer das Unternehmen des Kunden wahrscheinlich ins Visier nimmt und wie die Angreifer dabei voraussichtlich vorgehen.

Angreifern einen Schritt voraus sein

Incident-Response- und SOAR-Plattformen (Security Orchestration, Automation and Response) sowie SIEM-Systeme (Security Information and Event Management) können mit Threat Intelligence verknüpft werden. Ereigniswarnungen aus einer Vielzahl von Tools lassen sich mit kontextbezogenen Daten anreichern, die dazu beitragen, Fehlalarme zu vermeiden und die tatsächlich kritischen Vorfälle zu identifizieren. In automatisierten Plattformen werden potenzielle Indikatoren aus einem SIEM-Alert automatisch überprüft.

Generell bieten moderne Threat-Intelligence-Lösungen Vorteile insbesondere in der Erkennungs- und Reaktionsphase. Der Zugriff auf angereicherte Datensätze und einzelne Datenpakete verkürzt die Zeit erheblich, die Sicherheitsanalysten benötigen, um bösartige Aktivitäten und seitliche Bewegungsmuster zu erkennen.

Threat-Intelligence-Daten dienen auch dazu, Echtzeit-Bedrohungskarten zu erstellen, die sich auf bestimmte Anwendungsfälle für die Netzwerküberwachung aufschlüsseln lassen. Hierzu zählen Informationen darüber, wer ein kompromittiertes Gerät verwendet (oder verwendet hat) und wo es sich befindet. Die ebenfalls erfasste Kommunikationshistorie des manipulierten Systems trägt dazu bei, die Ursache und den Grad der Gefährdung zu bestimmen. Die vollständige Erfassung von Datenpaketen ermöglicht es, auf der Zeitleiste direkt zu den kritischen Momenten eines Vorfalls "zurückzuspulen", um die Netzwerkkommunikation im Detail zu analysieren.

Channel-Partner und MSPs liefern willkommene Unterstützung

Durch die Zusammenarbeit mit zuverlässigen Anbietern für intelligenzbasierte Lösungen können Channel-Partner kosteneffektive Dienste bereitstellen, die über das Markenimage hinausgehen und strategische Beratung bieten. Das ist der Schlüssel zu einer proaktiven, anpassbaren Internetsicherheit, die Bedrohungen fernhält, auch wenn die Cyber-Bösewichte ihre Strategien kontinuierlich erneuern. Dies wird für die Channel-Unternehmen zu einem zunehmend wichtigen Unterscheidungsmerkmal, da ihre Kunden bessere Möglichkeiten zur Erkennung und Verwaltung von Cyberrisiken benötigen.

Die meisten KMU sind sich mittlerweile im Klaren darüber, dass ein massiver Cyberangriff zu folgenschwerem Datenverlust und Betriebsausfällen führen kann, die auch wirtschaftlich eine existenzielle Gefahr darstellen. Für KMU geht es darum, wertvolle Einblicke in die aktuellen Bedrohungen zu gewinnen, effektive Abwehrmaßnahmen aufzubauen und die Risiken zu minimieren, die dem Geschäftsergebnis und der Reputation schaden könnten. Intelligenz- und risikobasierte Sicherheitsstrategien sind heute dafür unabdingbar. Für Unternehmen, denen es an Zeit, Budget oder Ressourcen für ein schlagkräftiges Sicherheitsteam mangelt, werden spezialisierte Channel-Partner und Managed Security Provider (MSPs) eine zunehmend wichtige Rolle spielen.

Weitere interessante Beiträge:
Network Detection and Response für KMU
Zero Trust verstehen und umsetzen
Braucht Windows zusätzliche Security-Suiten?