Weniger Handarbeit, schnellere Reaktionen und mehr Flexibilität sind die Kernargumente für IT-Automatisierungskonzepte. Und natürlich die Kosten.

Vorbei sind die Zeiten, als sich die Mitarbeiter noch in einem eigenen Security Operations Center (SOC) selbst um das Sammeln und Analysieren von Logdateien kümmerten. Heutzutage erledigen diese Jobs in der Regel automatisierte Prozesse, und zwar nahezu in Echtzeit. Konzepte wie SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response) können die Reaktionszeit nach sicherheitsrelevanten Vorfällen erheblich verkürzen.

Sicherheit ohne Sicherheitsfachleute

Frühere Faustregeln, die etwa besagten, dass auf 100 Angestellte eines Unternehmens ein bis zwei SOC-Mitarbeiter kommen, gelten heute als nicht mehr zeitgemäß. Würde man sich noch daran halten, dann müsste ein Betrieb mit 1.000 Angestellten rund 10 bis 20 Experten beschäftigen, die rund um die Uhr sicherheitsrelevante Vorfälle aufspüren. Abgesehen davon, dass niemand mehr bereit ist, die Kosten einer solchen Personalausstattung zu tragen, wären so viele gut ausgebildete Sicherheitsexperten auch gar nicht auf dem Arbeitsmarkt zu finden.

Nach Angaben des Mannheimer Arbeitsmarktspezialisten Hays wächst die Nachfrage nach Spezialisten für Cybersecurity „stetig und über alle Branchen hinweg“, die Anzahl qualifizierter Kandidaten liegt deutlich unter dem Bedarf. Mit einer Entspannung ist daher nicht zu rechnen, auch wenn die Corona-Pandemie dafür gesorgt haben soll, dass wieder mehr Freelancer den „sicheren Hafen“ Festanstellung angesteuert haben.

Dieser Fachkräftemangel wirkt sich direkt auf die IT-Security-Strategien der Unternehmen aus. So hatte eine noch kurz vor der Aufspaltung von Symantec in zwei separate Einheiten veröffentlichte Studie ergeben, dass nahezu jeder zweite IT-Security-Leiter überzeugt ist, dass Cyberangreifer heute mehr Fähigkeiten mitbringen als seine eigenen Mitarbeiter.

In Deutschland gaben 90 Prozent der Befragten an, dass die bei ihnen zahlenmäßig stark angestiegenen sicherheitsrelevanten Vorfälle nicht mehr zu bearbeiten seien. 91 Prozent hatten zu viele Daten zu schützen, und 89 Prozent beklagten sich darüber, dass zu viele verschiedene IT-Sicherheitsprodukte im Einsatz seien. Drei von vier fühlten sich angesichts der hohen Zahl an Alerts „paralysiert“ und 35 Prozent waren überzeugt, dass es schwieriger geworden ist, ihr Unternehmen vor Cyberangriffen zu schützen. Für 41 Prozent aller Befragten war ein erfolgreicher Einbruch daher nur eine Frage der Zeit. 32 Porzent gingen zudem davon aus, dass ihre IT-Umgebungen „vermeidbare Schwachstellen“ habe, während 26 Prozent einen solchen Vorfall bereits mindestens einmal erlebt hatten.

Automatisierung als Königsweg

In Anbetracht dieser schwierigen Situation verwundert es nicht, dass sich immer mehr Unternehmen für Security-Automation interessieren. So gibt mehr als jeder zweite in einer im Sommer 2020 von IDG Research Services durchgeführten und unter anderem von Microsoft geförderten Studie an, dass man bereits mit der Automatisierung der IT-Security bereits begonnen habe. Weitere 29 Prozent beabsichtigen, dies in den kommenden zwölf Monaten nachzuholen. Nur knapp 13 Prozent haben bislang noch keine Pläne in dieser Richtung.

Mehr als 65 Prozent der Unternehmen, die insgesamt bereits mit Security-Automation arbeiten, nannten die raschere Erkennung von Angriffen als wichtigsten Grund. Etwas mehr als jeder zweite gab den Fachkräftemangel als einen der wichtigsten Gründe an, während sich 50 Prozent eine schnellere Abwehr von Angriffen erhoffen. Für 44,8 Prozent waren niedrigere Kosten ausschlaggebend, und 25,6 Prozent versprechen sich von der Automatisierung ihrer IT-Security-Anstrengungen eine bessere Einhaltung der Compliance-Vorgaben.

Bei der Frage nach dem Teil ihrer IT-Security, der bereits automatisiert ist oder bald automatisiert werden soll, nannten jeweils etwas weniger als 60 Prozent die Bereiche Angriffsmeldung bzw. Angriffsabwehr, gefolgt von Angriffserkennung mit 49 Prozent. 38 Prozent geht es um Schadensbegrenzung, 31 Prozent erhoffen sich erleichterte forensische Untersuchungen, während knapp 26 Prozent den Bereich Threat Hunting automatisiert haben.

Security-Automation as a Service

In der derzeitigen Krise sind fast alle Unternehmen unter Druck geraten und sehen zu, dass sie alles, was außerhalb des überlebenswichtigen Kerngeschäfts liegt, kosteneffizient kappen, optimieren oder auslagern. Das treibt den Markt für IT-Sicherheitsautomatisierung – auch deshalb, weil sich dies gut als Managed Service beziehen lässt. Die beiden relevanten Konzepte sind SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response).