Der IT-Sicherheit droht ein Burnout

Wie können Unternehmen und IT-Fachleute die zunehmenden Anforderungen an die IT-Sicherheit erfüllen, ohne dabei zu verbrennen?

Image by Gerd Altmann from Pixabay

Die Anzahl der Angriffe auf die Sicherheit der Unternehmen steigen kontinuierlich. Daher ist es kein Wunder, dass sich einige IT-Sicherheitsexperten zunehmend überlastet fühlen. Aber nicht nur die allgemeine Zunahme der Angriffe, sondern auch der Umgang mit den Sicherheitswarnungen erfordern eingehende Untersuchungen der jeweiligen Ursachen. Dieser Trend hat sich durch die Einführung der Datenschutzgrundverordnung  (DSGVO) in Europa noch verstärkt, da diese Vorschrift alle Unternehmen, die sich nicht an die Sicherheits- und Datenschutzbestimmungen halten, mit erheblichen Geldstrafen belegen kann.

In einem jetzt veröffentlichten Report mit dem Titel „The Impact of Security Alert Overload“ (https://www.criticalstart.com/wp-content/uploads/CS_MDR_Survey_Report.pdf) beschreibt das Unternehmen Critical Start die derzeitige Situation. Der Bericht wurde auf Basis von Umfrage in 50 Sicherheitszentren (SOC) entwickelt, welche über den Zeitraum des vergangenen Halbjahrs 2019 gesammelt wurden. Der Report kommt zu dem Schluss, dass SOC-Analysten weiterhin jeden Tag mit einer enorm hohen Anzahl von Alarmen konfrontiert sind und die Analyse und die Lösung von Sicherheitsproblemen immer länger dauert.

Auswirkungen auf Sicherheitsanalytiker

Falsche Alarme verbrauchen unnötigerweise Ressourcen und produzieren folglich keine Ergebnisse. Die Analysten in den Unternehmen werden durch viele Fehlalarme gezwungen, die für die reguläre Untersuchung der Warnmeldungen erheblich zu reduzieren. Dies hat jedoch den Nachteil, dass die Arbeitslast immer weiter ansteigt und unter Umständen in Kündigung des dringend benötigten IT-Sicherheitspersonal führt. Die untersuchten SOC-Abteilungen wiesen in den vergangenen 12 Monaten folgende Fluktuationsraten auf:

  • 20 Prozent der SOCs verloren weniger als 10 Prozent des Personals.
  • 45 Prozent der SOCs verloren 10-25 Prozent des Personals.
  • 29 Prozent der SOCs verloren 25-50 Prozent des Personals.
  • 6 Prozent der SOCs verloren mehr als 50 Prozent des Personals.

Ein weiterer Teil des Reports befasst sich mit der Anzahl an Alarmen, die eine Person täglich bearbeitet:

  • 30 Prozent bearbeiteten  bis zu 10 Alerts/Tag.
  • 35 Prozent bearbeiteten zwischen 10-20 Alarme/Tag.
  • 14 Prozent bearbeiteten zwischen 20-40 Alarme/Tag.
  • 14 Prozent bearbeiteten zwischen 40-50 Alarme/Tag.
  • 7 Prozent bearbeiteten zwischen 50 oder mehr Alarme/Tag.

Der Report gibt auch eine Übersicht über die Dinge, die einem SOC-Mitarbeiter widerfahren:

  • 79 Prozent der befragten Teilnehmer müssen jeden Tag mehr als 10 Sicherheitswarnungen bearbeiten. Dies entspricht gegenüber dem letztjährigen Report einer Steigerung von mehr als 45 Prozent.
  • Bei 74 Prozent der Befragten beträgt die für die Untersuchung eines Alarms benötigte Zeit etwas mehr als 10 Minuten. Dies stellt gegenüber dem letzten Jahr einen Anstieg von 64 Prozent dar.
  • Falsche (false-positive) Warnungen stellen weiterhin ein Problem dar. Fast die Hälfte der Befragten gibt eine False-positive-Rate von mehr als 50 Prozent an.
  • Wenn zu viele Alarme verarbeitet werden müssen, schalten 38 Prozent der Befragten entweder die umfangreichen Alarmfunktionen ab oder versuchen mit mehreren Analysten die Probleme zu bewältigen.
  • Trotz mobiler Kommunikation stellt die E-Mail (73 Prozent) immer noch das vorherrschende Mittel für die Kundenkommunikation.

Minderung der Belastung durch Alarme

Den Unternehmen stehen jedoch eine Reihe von Möglichkeiten zur Verfügung, um das Problem der zu vielen Warnungen zu beheben:

  • Lernen mit dem Problem zu leben und hoffen, dass die Fluktuation der Sicherheitsspezialisten nicht ansteigt. Diese Herangehensweise hat sich in der Praxis wenig bewährt, da diese mehr auf Hoffnungen und nicht auf realen Maßnahmen beruht.
  • Die Einstellung neuer Sicherheitsanalytiker kann schwierig sein, da man gegen eine Flut von offenen Stellen ankämpft und ein erheblicher Mangel an möglichen Kandidaten besteht.
  • Vorhandenen, bisher nicht in sicherheitsrelevanten Bereichen eingesetzte IT-Mitarbeiter – die das Unternehmen bestens kennen – werden als Sicherheitsanalytiker ausgebildet und zertifiziert.
  • Das Budget für Sicherheitsinstrumente lässt sich immer erhöhen. Vielleicht sind die Werkzeuge der KI bald so ausgereift, dass diese zur Abwehr von False-positive-Meldungen nutzen kann.
  • Ein Teil oder auch der gesamte Alarmprozess kann an einen externen Dienstleister (MSSP) ausgelagert werden. Ein großes Problem bei der Nutzung von MSSPs ist die Transparenz. Dem Report zufolge berichten 57 Prozent der Befragten, dass MSSPs ihren Kunden keine Einsicht in ihre Ergebnisse oder die den Ergebnissen zugrunde liegenden Daten bereitstellen.

Fazit

Mathias Hein, Consultant, Buchautor, Redakteur

Die IT-Infrastrukturen werden immer komplexer und vielfältiger und werden inzwischen als Cloud-Dienste bereitgestellt. Die Zunahme ausgeklügelter Bedrohungen in Verbindung mit dem angespannten Arbeitsmarkt für Cybersicherheitsexperten erfordert ausgefeilte Werkzeuge, um die unzureichende Anzahl von Sicherheitsspezialisten zu erhöhen. Dies führt zu höheren Investitionen in Sicherheitswerkzeuge, um den Expertenmangel auszugleichen, sowie zu mehr Weiterbildung, welche wiederum ein erhöhtes IT-Budget erfordert.

  burnoutCISOCritical StartCybercrimeCyberdefenseCybersecurityInfosecIT-SecurityIT-SicherheitITSECSecurity-Operations-CenterSecurityanalysenSicherheitsanalytikerSicherheitszentraleSOCStudieThreat-HunterTroubleshooting