false
Splunk-Blogs
Splunk-Blogs
Splunk-Blogs
Learn
10. Juli 2023
 | 
17 Minuten Lesedauer

Was ist Sicherheitsautomatisierung?

Von Stephen Watts

Sicherheitsautomatisierung (Security Automation) ist der Prozess der automatischen Erkennung, Untersuchung und Behebung von Cyberbedrohungen mithilfe einer programmgesteuerten, eigens für diesen Zweck entwickelten Lösung. Optional kann dieser Prozess auch menschliche Eingriffe umfassen. Eine Sicherheitsautomatisierungslösung identifiziert, sortiert, sichtet und priorisiert Bedrohungen für das Sicherheitsniveau eines Unternehmens und löst entsprechende Gegenmaßnahmen aus. Sicherheitsautomatisierung trägt wesentlich dazu bei, den Dschungel an Warnmeldungen zu lichten, mit dem sich Security-Teams tagtäglich herumschlagen müssen.

In einem modernen Security Operations Center (SOC) läuft ein Großteil der einfachen Routinearbeit von Sicherheitsanalysten vollautomatisch ab, was die Erkennung, Untersuchung und Behebung von Bedrohungen beschleunigt und verbessert. Teams werden dadurch entlastet, weil sie sich nicht mehr manuell um jede einzelne Warnmeldung kümmern müssen, und haben so mehr Zeit für anspruchsvollere Security-Aufgaben.

Sicherheitsautomatisierung umfasst u. a. folgende Fähigkeiten:

  • Erkennung von Bedrohungen für eine Unternehmensumgebung
  • Anreicherung, Korrelation, Gruppierung und Priorisierung von Warnmeldungen, um Untersuchungen zu beschleunigen
  • Ausführung vordefinierter Aktionen zur Eindämmung und Behebung von Problemen

All dies kann in Sekundenschnelle passieren, ohne jegliches Zutun der Mitarbeiter. Die Sicherheitsautomatisierung nimmt den Sicherheitsanalysten wiederkehrende, zeitraubende Aufgaben ab.

Darüber hinaus kann die Sicherheitsautomatisierung auch zu einer schnelleren Bedrohungserkennung beitragen. Security-Mitarbeiter sehen sich ständig mit einer Flut an Warnmeldungen konfrontiert – häufig mit „Over-Alerting“ als Folge. Einer aktuellen Studie von IDC Research zufolge ignorieren Unternehmen jeder Größenordnung bis zu ein Drittel der Warnmeldungen mit Security-Bezug und wenden für die Untersuchung von False Positives etwa gleich viel Zeit auf wie für tatsächlich sicherheitsrelevante Meldungen.

Die Vorteile einer automatisierten Lösung liegen also auf der Hand: Sie sortiert falsch positive Warnmeldungen aus, reichert Meldungen mit Bedrohungsinformationen an, fasst mehrere ähnliche Warnmeldungen zu wenigen Incidents zusammen und priorisiert diese je nach dem Gefährdungsgrad für das Unternehmen. Dies reduziert das Rauschen und kann die Problemerkennung wesentlich erleichtern. Weniger manueller Aufwand bedeutet auch, dass viele Fehlerquellen durch Over-Alerting und überlastete Security-Teams beseitigt werden.

In diesem Artikel sehen wir uns die Grundlagen der Sicherheitsautomatisierung an, diskutieren ihre Vorteile für Unternehmen aller Typen und Größen und zeigen euch, wie ihr mit einer entsprechenden Plattform durchstarten könnt.

Tortendiagramm Sicherheitsautomatisierung

Security-Teams ignorieren 74 % der Security-Warnmeldungen


Vorteile der Sicherheitsautomatisierung

Laut dem Lagebericht Security von Splunk dauert die Wiederherstellung geschäftskritischer Anwendungen nach einem Ausfall infolge eines Cybersecurity-Incidents im Schnitt 14 Stunden. Ein durchschnittlicher Ausfall kostet 200.000 USD pro Stunde, aufs Jahr gerechnet verlieren Unternehmen dadurch im Schnitt 33,6 Millionen USD. Accenture kommt in seinem Bericht State of Cybersecurity Resilience zu dem Schluss, dass die jährlichen Kosten durch Sicherheitsverstöße bis 2024 von 3 Billionen USD auf mehr als 5 Billionen USD steigen werden.

Es versteht sich von selbst, dass Cyberangriffe umso verheerender sind, je länger deren Erkennung, Untersuchung und Behebung dauert. Um die Auswirkungen möglichst gering zu halten, sind schnelle Erkennungs- und Reaktionsfähigkeiten in der heutigen Bedrohungslandschaft unerlässlich.

Alle 39 Sekunden finden Cyberangriffe statt.

Bevor Security-Prozesse im SOC weitgehend automatisiert wurden, bedeutete jede Bedrohung einen hohen manuellen Aufwand. Analysten mussten sich durch zahlreiche Warnmeldungen kämpfen, Bedrohungsinformationen suchen und schließlich entscheiden, ob und welche Eindämmungsmaßnahmen erforderlich sind. Doch mittlerweile hat die Zahl der Warnmeldungen derart überhandgenommen, dass sie manuell nicht mehr zu bewältigen sind.

Was war gleich noch der Unterschied zwischen einem SOC und einem NOC? Die Antwort darauf findet ihr in diesem Artikel.

Und damit nicht genug: Viele Warnmeldungen scheinen auf den ersten Blick Cyberbedrohungen oder böswillige Aktivitäten zu betreffen, entpuppen sich aber bei näher Betrachtung als Fehlalarm. Solche False Positives kosten Analysten viel wertvolle Zeit, halten sie von wichtigeren Aufgaben ab und führen zu Over-Alerting.

Sicherheitsautomatisierung erledigt all dies automatisch und in einem Tempo, mit dem selbst der erfahrenste Security-Mitarbeiter nicht mithalten könnte.

Die Zeitersparnis können Analysten nutzen, um wertschöpfende strategische Arbeit zu erledigen – beispielsweise Planung für das Unternehmenswachstum, proaktive Bedrohungssuche oder tiefgründigere Sicherheitsanalysen. Und genau darin liegt der große Nutzen der Sicherheitsautomatisierung, sowohl für das Security-Team als auch für das Unternehmen als Ganzes.

Was sind Anzeichen dafür, dass ein Unternehmen Sicherheitsautomatisierung benötigt?

Es gibt mehrere Anzeichen, die darauf hindeuten, dass ein Unternehmen Bedarf an Sicherheitsautomatisierung hat oder seine vorhandene Lösung ausbauen und verbessern sollte.

  • Leider erkennen viele Unternehmen den Handlungsbedarf erst, wenn der Ernstfall in Form einer Sicherheitsverletzung bereits eingetreten ist. Eine Befragung von Splunk und der Enterprise Strategy Group ergab, dass 49 % der Teilnehmenden in den letzten zwei Jahren Opfer eines Datenlecks waren – im Vorjahr waren es noch 39 %. Manche dieser Datenpannen sind überschaubar und schnell behoben, andere haben gravierende Folgen. Im Schnitt verursachte ein Datenleck 2022 laut dem IBM Cost of a Data Breach Report Kosten von insgesamt 4,35 Millionen USD. Im Extremfall kann ein einziger Cyberangriff genügen, um ein Unternehmen – je nach dessen Größe und Finanzlage – in den Ruin zu treiben.
  • Die Reaktionszeit bei Incidents ist ein guter Indikator dafür, ob eure Cybersecurity-Vorkehrungen der Herausforderung gewachsen sind. Wenn die Mean-Time-to-Detect und die Mean-Time-to-Remediate steigen, solltet ihr eure vorhandene Security-Lösung unbedingt verbessern.
  • Sollte euer Security-Team mit der Flut an False Positives überfordert sein, ist dies ein weiteres untrügliches Anzeichen dafür, dass euer Unternehmen von Sicherheitsautomatisierung profitieren kann. Wie schwerwiegend eine Warnmeldung wirklich ist, zeigt sich erst nach näherer Untersuchung. Locken Warnmeldungen eure Analysten aber immer wieder auf eine falsche Fährte, ist das nichts weiter als Zeitverschwendung.
  • Und nicht zuletzt: Hört auf euer Security-Team! Dessen Feedback ist vielleicht der wichtigste Gradmesser für Handlungsbedarf – euer Team weiß am besten, ob die Zahl der Warnmeldungen und False Positives aus dem Ruder läuft und ob die vorhandenen Ressourcen ausreichen, um der Lage Herr zu werden.

Sicherheitsautomatisierungslösungen

Eine Sicherheitsautomatisierungslösung oder -plattform ist eine einheitliche Software-Lösung, die alle Security-Anforderungen eurer gesamten Organisation stemmen kann. Sie sollte u. a. folgende Funktionen aufweisen:

Standardisierte Workflows: Playbooks bestimmen, wie die Lösung in einem bestimmten Szenario reagieren soll, und sorgen so für einen konsistenten, wiederholbaren und überprüfbaren Prozess. Standardisierte Maßnahmen sind u. a.:

  • Löschen oder Isolieren möglicherweise mit Malware infizierter Dateien
  • Durchführen eines Geolokalisierungs-Lookups an einer bestimmten IP-Adresse
  • Suche nach Dateien an einem bestimmten Endpunkt
  • Blockieren einer URL auf Perimetergeräten
  • Isolieren eines Geräts aus dem Netzwerk

Nahtlose Integration in andere Security-Systeme: Sicherheitsautomatisierungsprodukte lassen sich nahtlos in eure anderen Security-Ressourcen integrieren, wie z. B. Firewalls, Endpunktprodukte, Reputationsmanagement-Services, Sandboxes, Directory Services, Ticketsysteme und SIEM-Lösungen. Durch Einbindung anderer Tools sind sie in der Lage, Maßnahmen über mehrere Angriffsvektoren hinweg zu orchestrieren.

Sicherheitsautomatisierung lässt sich in Firewalls, Endpunktlösungen und andere IT-Produkte in eurer Umgebung integrieren.

Entwicklung der Sicherheitsautomatisierung

Die Sicherheitsautomatisierung hat sich zu einem hochaktuellen Thema für Unternehmen und Security-Teams entwickelt, was zum Großteil auf den exponentiellen Anstieg von Cyberangriffen zurückzuführen ist. Die überwältigende Anzahl von Bedrohungen machte eine automatisierte Incident Response notwendig, damit Cyberangriffe oder Sicherheitsverletzungen schneller identifiziert und abgewehrt bzw. behoben werden konnten.

Die automatisierte Incident Response war bei Security-Problemen zwar hilfreich, letztlich musste jedoch ein proaktiverer Ansatz her. So entstand die Sicherheitsautomatisierung und -orchestrierung, wobei letztere die Verknüpfung von Security-Tools und Workflows ermöglicht.

Heute stellen Anbieter SOAR-Systeme (Security Orchestration, Automation and Response) zur Verfügung, die sowohl Reaktionen als auch Korrekturmaßnahmen in einer komplexen Infrastruktur automatisieren. Dadurch sinkt das Potenzial für menschliche Fehler – mitunter sogar auf null. (Hier solltet ihr beachten, dass Anbieter zur Beschreibung ihrer Tools oft unterschiedliche und inkonsistente Terminologie verwenden. Ihr solltet also genau wissen, welche Funktionen ihr von einer Plattform zur Sicherheitsautomatisierung benötigt, bevor ihr nach Anbietern sucht.)

Tools zur Sicherheitsautomatisierung bieten eine Dashboard-Ansicht mit Incidents, Reaktionsmetriken und mehr.

Automatisierung und Orchestrierung

Sicherheitsautomatisierung dient vor allem dazu, Sicherheitsprozesse effizienter und effektiver zu gestalten. Sicherheitsorchestrierung soll sicherstellen, dass alle eure Security-Tools miteinander kommunizieren und im Verbund auf Warnmeldungen und Security-Vorfälle reagieren, auch wenn die dafür erforderlichen Daten auf verschiedene Systeme und Tools in eurer Umgebung verstreut sind.

Oft werden die Begriffe Sicherheitsautomatisierung und Sicherheitsorchestrierung austauschbar verwendet, da sie vieles gemeinsam haben. Allerdings gibt es auch erhebliche Unterschiede: Während Sicherheitsautomatisierung eben auf die Automatisierung bestimmter Security-Aufgaben ausgelegt ist, soll Sicherheitsorchestrierung die verschiedenen automatisierten Prozesse und Tools zusammenführen, damit sie besser ineinandergreifen.

Best Practices für die Sicherheitsautomatisierung

Es gibt zahlreiche Möglichkeiten, Mehrwert aus der Sicherheitsautomatisierung zu generieren. Dazu gehören die Festlegung von Prioritäten für ihren Einsatz, die Entwicklung von Playbooks und die Schulung von Mitarbeitern. Mit diesen Best Practices könnt den größtmöglichen Nutzen aus eurer Investition in Sicherheitsautomatisierung ziehen:

  • Geht nicht davon aus, dass Sicherheitsautomatisierung Arbeitskräfte ersetzt: Die Technologie ist gut für die Ausführung einfacher Aktionen geeignet, aber für komplexere Probleme, die Entscheidungsfindung und anspruchsvolle Problemlösungen erfordern, benötigt ihr weiterhin erfahrene Sicherheitsanalysten. Die Automatisierung nimmt den Analysten bestimmte Aufgaben ab, sodass diese mehr Zeit für wichtige Probleme haben.
  • Definiert Prioritäten: Um aus der Sicherheitsautomatisierung das Maximum herauszuholen, solltet ihr euch fragen, wie es um euer Cybersicherheitsniveau insgesamt bestellt ist und welche Probleme am dringlichsten sind. Sobald ihr die Prioritäten klar festgelegt habt, könnt ihr Anwendungsfälle und Potenziale für die Automatisierung von Sicherheitsabläufen ermitteln. Dabei solltet ihr alle, die in eurem Unternehmen an Security-Aufgaben beteiligt sind, mit einbeziehen. Das Zusammenstellen einer größeren Arbeitsgruppe mag zwar zunächst seine Zeit dauern, erspart euch aber später Nachfragen. Außerdem wird euch eine frühzeitige Prioritätensetzung beim späteren Erstellen von Playbooks sehr stark weiterhelfen.
  • Setzt die Automatisierung nach und nach ein: Die meisten Unternehmen können nicht alles auf einmal automatisieren, und das sollten sie auch nicht. Wie bei jedem Pilotprojekt solltet ihr dort anfangen, wo Sicherheitsautomatisierung am schnellsten den größten Nutzen bringt – ausgehend davon könnt ihr dann entsprechende Anwendungsfälle definieren. Wenn ihr die Automatisierung nach und nach einführt, könnt ihr die Auswirkungen und Effektivität schrittweise beobachten und bei Bedarf Anpassungen vornehmen.
  • Entwickelt Playbooks: Dokumentiert eure aktuellen Schritte für die Behebung von Incidents und stellt sicher, dass ihr robuste Workflows habt, bevor ihr sie automatisiert. Ganz wichtig ist, dass ihr bei der Automatisierung von Security-Maßnahmen das gesamte im Unternehmen vorhandene Wissen nutzt.
  • Schult eure Mitarbeiter: Damit der Übergang von manuellen zu automatischen Incident-Response-Maßnahmen gelingt, müsst ihr euer gesamtes Security-Team, von jungen Analysten bis zur erfahrenen Teamleitung, umfassend schulen. Jedes Teammitglied sollte genau wissen und verstehen, was eine Lösung zur Sicherheitsautomatisierung leisten kann und was nicht, d. h., an welcher Stelle ein manuelles Eingreifen gefragt ist.
  • Nutzt die gewonnene Zeit: Die Automatisierung macht Security-Teams produktiver und eröffnet ihnen Möglichkeiten, mehr für das Unternehmen zu tun. Plant wertschöpfende Aufgaben für eure Analysten, die dem Unternehmen zugutekommen – zum Beispiel eine gründliche Untersuchung, warum ihr ständig Phishing-Angriffe abwehren müsst. Darüber hinaus kann euer Team die eingesparte Zeit nutzen, um ein Modell zur kontinuierlichen Verbesserung für die Entwicklung, Implementierung und Optimierung der Automatisierungslogik zu entwickeln.
  • Führt eure Sicherheitstools und -abläufe zusammen: Wenn ihr zusätzlich zur Sicherheitsautomatisierung auch Sicherheitsorchestrierung einführt, könnt ihr komplexe Sicherheitsabläufe über mehrere Cloud-Umgebungen hinweg koordinieren. Dies verbessert die Kommunikation und Zusammenarbeit, steigert die Effizienz, beseitigt Fehler und verkürzt die Reaktionszeiten.

Einstieg in die Sicherheitsautomatisierung

Für den Einstieg in die Sicherheitsautomatisierung müsst ihr eure Anforderungen ermitteln, Anwendungsfälle definieren und gründliche Recherchen zu Anbietern betreiben. Wenn ihr dann bereit seid, findet ihr hier einige Möglichkeiten, wie ihr die Suche nach der richtigen Sicherheitsautomatisierungsplattform angehen könnt.

  1. Definiert zuerst eure Anforderungen. Wie die Sicherheitsautomatisierung euch helfen kann, welche Tools ihr einsetzt und welche Prozesse ihr implementiert, hängt vom Cyberrisikoprofil eures Unternehmens, aber auch eurer gesamten Branche ab: Im Einzelhandel kann es ganz anders aussehen als im Gesundheitswesen, in der Fertigung, im Finanzdienstleistungsbereich oder im öffentlichen Sektor.

    Einzelhändler haben beispielsweise in noch nie dagewesenem Maß mit Ransomware und Phishing-Angriffen zu kämpfen. Automatisierung kann hier Fehlalarme und sich wiederholende Angriffe vermeiden, sodass Sicherheitsanalysten solche Fälle eingehender untersuchen und eine langfristige Lösung finden können.

    Setzt euch vor der Auswahl von Anbietern mit eurem IT-Team und anderen Führungskräften im Unternehmen zusammen, um die Probleme zu identifizieren, die gelöst werden müssen. Mit den folgenden Fragen könnt ihr das Gespräch voranbringen:

    • Hat das Security-Team mit Over-Alerting zu kämpfen? Wie viele Benachrichtigungen erhält es pro Tag und auf wie viele kann es reagieren? Wie viele davon sind Wiederholungen oder False Positives?
    • Was ist eure Dwell Time (die Zeitdauer, in der eine aktive Bedrohung unentdeckt bleibt) und Reaktionszeit?
    • Welche Aufgaben sind wiederholbar und klar definiert? Wie könnte die Automatisierung die Durchführung dieser Aufgaben beschleunigen?
    • Was sind die drei wichtigsten Ziele des Unternehmens (z. B. Wachstum, schlanke Prozesse, Reduzieren ineffizienter Abläufe)? Welche Sicherheitsprioritäten müsst ihr festlegen, damit das Unternehmen diese Ziele erreichen kann?

  2. Definiert Anwendungsfälle. Erstellt auf der Basis eurer branchenspezifischen und unternehmerischen Ziele eine Liste, wie ihr die Sicherheitsautomatisierung nutzen wollt. Nehmt euch für diesen Schritt Zeit, denn er bestimmt die Suche nach Anbietern, die eure Anforderungen erfüllen, und ist am Ende auch für die Erstellung von Playbooks von Bedeutung.

  3. Sucht geeignete Anbieter. Sobald ihr eure Ziele, Prioritäten und Anwendungsfälle definiert habt, könnt ihr euch auf die Suche nach einem Anbieter begeben. Die folgenden Kriterien können euch helfen, das Angebot einzugrenzen:

    • Wenig Programmieraufwand: Code für die Bereitstellung eines neuen Tools zu schreiben, ist sehr zeitaufwendig. Mit der Lösung solltet ihr im Idealfall wenig oder gar nichts programmieren müssen, um Playbooks zu erstellen.
    • Integration von Drittanbietern und Plugin-Unterstützung: Überprüft alle eure Apps und Tools, um sicherzustellen, dass jeder zur Auswahl stehende Anbieter euren vorhandenen Tool-Stack unterstützt.
    • Benutzerfreundlichkeit und Flexibilität: Wählt eine Cloud-Plattform, damit ihr nichts warten müsst. Findet heraus, wie viele Anpassungen ihr vornehmen könnt, um eure unmittelbaren und langfristigen Anforderungen zu erfüllen.
    • Dauer der Bereitstellung: Wenn ihr sofortigen Nutzen erzielen möchtet, fragt ganz direkt bei den Anbietern nach, wie lange es dauern wird, bis ihr loslegen könnt – von der Konfiguration über die Integration bis hin zur Schulung der Mitarbeiter.
    • Technischer Support: Findet heraus, welche Art von Support ihr vom ersten Tag an erwarten könnt (z. B. 24/7-Support; Support per Telefon, E-Mail oder Webchat).

Fazit: Im Kampf gegen dynamische Cyberbedrohungen ist Sicherheitsautomatisierung unerlässlich

Sicherheitsautomatisierung ist kein nettes Extra mehr. In den heutigen komplexen Umgebungen ist sie unerlässlich geworden. Potenzielle Bedrohungen und Cyberangriffe treten immer häufiger auf und richten immer mehr Schaden an. Gleichzeitig herrscht ein Mangel an hochkarätigen Sicherheitsexperten. Die Automatisierung maximiert die Zufriedenheit und das Engagement eurer besten Sicherheitsanalysten, da langweilige, repetitive Aufgaben automatisiert werden.

Mit der Sicherheitsautomatisierung könnt ihr die Untersuchung und Behebung von Incidents drastisch beschleunigen und habt bei Bedrohungen die Nase vorn. Aufgaben, die früher Stunden oder sogar Tage dauern konnten, lassen sich auf wenige Sekunden verkürzen. Das bedeutet, dass ihr Bedrohungen schneller beseitigen und eure Kundschaft besser schützen könnt, während ihr gleichzeitig den Ruf und den Gewinn eures Unternehmens sichert.

 

Ihr habt einen Fehler entdeckt oder eine Anregung? Bitte lasst es uns wissen und schreibt eine E-Mail an ssg-blogs@splunk.com.

 

Dieser Beitrag spiegelt nicht zwingend die Position, Strategie oder Meinung von Splunk wider.

 
Stephen Watts Picture
Stephen Watts

Stephen Watts works in growth marketing at Splunk. Stephen holds a degree in Philosophy from Auburn University and is an MSIS candidate at UC Denver. He contributes to a variety of publications including CIO.com, Search Engine Journal, ITSM.Tools, IT Chronicles, DZone, and CompTIA.

Ähnliche Artikel

Learn 17 Minuten Lesedauer

Service-Bereitstellung für IT und Business
In diesem Blogbeitrag werfen wir einen eingehenden Blick darauf, wie Service-Bereitstellung in der IT und im Geschäftsleben allgemein eingesetzt wird.
Learn 11 Minuten Lesedauer

Management von Cyberrisiken: 5 Schritte zur Risikobewertung
Beim Risikoprofil sind Ratespiele fehl am Platz – es braucht eine klare Bewertung! Hier erfahrt ihr mehr über das Management von Cyberrisiken und darüber, wie ihr den Prozess in 5 Schritten zu einer fortlaufenden Praxis macht.
Learn 23 Minuten Lesedauer

Was ist Verfügbarkeit?
In diesem Blogbeitrag betrachten wir Verfügbarkeit, Verfügbarkeitsüberwachung und die geschäftskritische Bedeutung von Hochverfügbarkeit genauer.

Über Splunk

Weltweit führende Unternehmen verlassen sich auf Splunk, ein Cisco-Unternehmen, um mit unserer Plattform für einheitliche Sicherheit und Observability, die auf branchenführender KI basiert, kontinuierlich ihre digitale Resilienz zu stärken.

 

Unsere Kunden vertrauen auf die preisgekrönten Security- und Observability-Lösungen von Splunk, um ihre komplexen digitalen Umgebungen ungeachtet ihrer Größenordnung zuverlässig zu sichern und verbessern.
Wiedergabe Light
Erfahrt hier mehr über Splunk
UNTERNEHMEN
UNTERNEHMEN
PRODUKTE
PRODUKTE
SITES
SITES
KONTAKT
KONTAKT
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS

© 2005 - 2025 Splunk LLC All rights reserved.

Rechtliche Hinweise
Datenschutz
Sitemap
Cookies
Nutzungsbedingungen

© 2005 - 2025 Splunk LLC All rights reserved.