Im Durchschnitt sieht Cybersicherheit im Jahr 2022 so aus: Ein Unternehmen hat 47 Cybersecurity-Lösungen im Einsatz, die täglich 10.000 Alarmmeldungen ausgeben. Verschafft sich ein Threat-Actor Zugang, dauert es 280 Tage, bis das Datenleck behoben ist – allein dieses eine Ereignis kostet fast vier Millionen Euro. Durch die internationale Krisenlage, besonders seit dem russischen Angriffskrieg auf die Ukraine, verschärft sich die Lage noch weiter: Angriffe auf IT-, aber auch auf cyberphysische Systeme nehmen zu, die Quelle sind immer diversere und immer professioneller organisierte Threat-Actors.
Traditionelle Cybersicherheit-Ansätze verlieren ihren Biss
Wie können Unternehmen reagieren?
Mehr Personal einstellen? Das ist schwierig, über die Hälfte aller Unternehmen klagt über mangelndes Fachpersonal, 2021 blieben etwa 3,5 Millionen Cybersecurity-Stellen unbesetzt.
Noch mehr Tools kaufen? Fast 70 Prozent aller Unternehmen stecken schon jetzt mehr Zeit in die Verwaltung ihrer Sicherheitslösungen als in die Abwehr von Bedrohungen.
Noch stärker den Überwachungsfokus einschränken? Das reduziert die Zahl der Alarme, erhöht aber das Risiko, eine Cyberattacke zu übersehen – mit potenziell teuren Folgen.
Keine dieser herkömmlichen Herangehensweisen eignet sich, um die heutigen Erfordernisse zu bewältigen.
Ist Automatisierung die Lösung? Jain.
Wo Verwaltungsaufwand überhandnimmt und es an Fachkräften mangelt, setzt man zurecht auf Automatisierung als Lösung. Das bietet sich auch in der Cybersecurity an – sofern man die Automatisierung nachhaltig und zielführend gestaltet, denn sonst kann auch diese die Probleme weiter verstärken.
Ad-hoc-Automatisierung in Form spezifischer Scripts, die Mitarbeiter:innen in Eigenregie schreiben, um Aufgaben zu automatisieren, sind natürlich nichts Neues – und fallen in die letztere Kategorie von Automatisierung, die zu Problemen führen kann. Denn verlässt der Mitarbeitende, der das Script verfasst hat, das Unternehmen, geht mit hoher Wahrscheinlichkeit auch das spezifische Know-how dahinter. Gibt es ein Update für ein betroffenes Tool oder eine Änderung am Datenfluss, bricht das individuell gescriptete System zusammen – und man steht wieder ganz am Anfang.
Und auch SOAR-Plattformen, die sich seit einigen Jahren verbreiten, verbessern die Lage nicht immer: Will man dafür Playbooks entwickeln, ist eine Menge an Code fällig – und genau dafür mangelt es bei vielen Unternehmen an Know-how, Zeit oder beidem. Erschwerend hinzu kommen begrenzte und unflexible Anwendungsfälle, starre Funktionalität und spärliche Analytik und Berichterstattung.
Low-Code-Automation ist die Zukunft…
Die nächste Stufe in der Evolution der Security Operations erfordert daher, dass Lösungen zwei Bedingungen erfüllen müssen:
- Sie müssen Informationen aus der Vielzahl an Datenquellen in Unternehmen bündeln.
- Mitarbeiter müssen automatisierte Workflows selbstständig entwickeln und modifizieren können.
NTT DATA setzt daher bereits heute auf Swimlane. Erstens geht die Security-Plattform über herkömmliche SOAR-Systeme hinaus, indem sie auch schwer zugängliche Telemetriedaten erfasst, alle Informationen an einem Ort zusammenführt und die Aktionsmöglichkeiten über das üblicherweise geschlossene Extended Detection and Response (XDR)-Ökosystem hinaus erweitert. Zweitens bietet sie mit dem Low-Code-Studio einen einfach zu bedienenden Workflow-Builder, mit dem Mitarbeiter auf einer anschaulichen Nutzeroberfläche flexibel und mit wenigen Klicks Playbooks für sicherheitsrelevante Ereignisse anlegen können. Auch Berichte können sie mit einem Klick automatisiert erstellen und sich ein Dashboard nach ihren Bedürfnissen einrichten – ohne dass sie dafür Spezialwissen brauchen.
…auch jenseits von SOAR
In der Zusammenarbeit implementiert NTT DATA Swimlane-Lösungen in seine eigenen Services und liefert Playbooks, die auf der langjährigen Erfahrung unserer Cyber-Security-Expert:innen sofort wirksam Sicherheit schaffen – aber eben mit der Option, dass Unternehmen auch ohne einschlägiges Fachpersonal die Workflows stets selbstständig anpassen können.
Swimlane und NTT DATA sind sich einig, dass der Low-Code-Ansatz die Zukunft ist – auch jenseits von SOAR. So könnten sich Unternehmen auch etwa beim Zertifikats-Management, Schwachstellen-Management oder der Vermeidung von Datenverlusten mit solchen Lösungen absichern. Das ist umso wichtiger, da abzusehen ist, dass ein gewisser Automatisierungsgrad zur Pflicht werden könnte, um gesetzliche Vorgaben einhalten zu können. Wie das aussehen kann, zeigen US-Vorgaben zum Thema Zero Trust, die ohne Automatisierung nicht umsetzbar wären.
Ob privatwirtschaftliches Unternehmen oder staatliche Behörde, Automatisierung ist meist der einzige Weg, wie sie ihre heutigen Anforderungen bei Sicherheit und darüber hinaus erfüllen können. Falls nicht schon geschehen, ist ein Einstieg heute schwer zu empfehlen – und dank Low-Code-Plattformen ist die Hürde für den Einstieg so niedrig wie nie zuvor.