Echtzeit-Sicherheit für Unternehmen mit Observability-Plattformen : Observability und Cyberresilienz verschmelzen
Cyberangriffe nehmen weiter zu, die Unternehmen müssen reagieren. Observability-Plattformen können die nötige Transparenz liefern, um Cyberbedrohungen frühzeitig zu erkennen, meint unser Autor.
2024 war wieder ein Wachstumsjahr bei Cyberangriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet die IT-Sicherheitslage in Deutschland weiterhin als angespannt und stellt einen Anstieg der Schadprogramm-Varianten um 26 Prozent gegenüber dem Vorjahr fest. Der Digitalverband Bitkom beziffert die entstandenen Schäden auf rund 266 Milliarden Euro – ein neuer Höchststand.
Kein Wunder, dass Unternehmen verstärkt über Cyberresilienz diskutieren. Der Begriff beschreibt die Fähigkeit, Cyberangriffe nicht nur abzuwehren, sondern auch deren Auswirkungen zu minimieren und nach einem Vorfall schnell wieder arbeitsfähig zu sein. Cyberresilienz geht über klassische IT-Sicherheit hinaus: Sie umfasst technische, organisatorische und personelle Maßnahmen und verfolgt einen ganzheitlichen Ansatz.
Ziel ist es, den Geschäftsbetrieb auch unter widrigen Bedingungen aufrechtzuerhalten. Das umfasst eine Kombination aus Prävention, Erkennung und Reaktion, um langfristig widerstandsfähig zu bleiben. Dieser Ansatz lässt sich aber nur verwirklichen, wenn jederzeit und möglichst in Echtzeit alle Parameter und Statusdaten der IT-Infrastruktur bekannt sind. Denn bei einem Cyberangriff bleibt nur eine sehr kurze Zeitspanne für eine Reaktion, die Datenverluste und Systemausfälle vermeidet.
Observability als Grundlage
Das wichtigste Konzept dafür ist die sogenannte Observability (Beobachtbarkeit). Damit ist die Fähigkeit eines Systems gemeint, seinen internen Zustand durch die von ihm erzeugten Daten zu verstehen. Das Mittel dafür sind Observability-Plattformen. Sie haben Zugriff auf alle physischen und logischen Komponenten innerhalb einer IT-Infrastruktur sowie sämtliche dort entstehenden Daten.
Im Gegensatz zu herkömmlichen Security-Information-and-Event-Management-(SIEM)-Lösungen, die hauptsächlich auf Log-Daten basieren, bezieht Observability ein umfangreicheres Informationsset in die Analyse ein, etwa Metriken, Events und Traces. Gerade in komplexen Infrastrukturen mit hybriden Clouds, Containerisierung und Microservices wird dieser ganzheitliche Überwachungsansatz immer wichtiger. Durch eine Observability-Plattform behalten Unternehmen ihre gesamte IT-Infrastruktur im Blick – über Anwendungen, Netzwerke und Komponenten hinweg. Dieser umfassende Ansatz geht über klassisches Monitoring hinaus und verbessert die Cyberresilienz nachhaltig.
Echtzeit-Daten für mehr Sicherheit
Ein entscheidender Faktor für frühzeitige Bedrohungserkennung ist Transparenz durch Echtzeit-Daten. Observability-Plattformen überwachen kontinuierlich die Bedrohungslage, um Risiken zu bewerten und Maßnahmen zu ergreifen – wahlweise automatisch oder mit einem „Human-in-the-Loop“-Ansatz, bei dem Maßnahmen zunächst genehmigt werden.
Schlüsseltechnologien für Echtzeitanalysen sind Machine-Learning-Algorithmen. Sie analysieren große Datenmengen aus SIEM-Systemen. Im Anschluss zeigen sie Zusammenhänge zwischen Sicherheitsproblemen und betrieblichen Abläufen auf. Sie überwachen die Bedrohungslage kontinuierlich, bewerten Risiken und bereiten Abwehrmaßnahmen vor. Damit können Unternehmen Cyberangriffe verhindern, bevor sie auftreten und Sicherheitslücken automatisch schließen.
Künstliche Intelligenz erkennt Muster in den verschiedenen Metriken, Logs und Devices. Dadurch werden IT-Teams frühzeitig gewarnt und sind in der Lage, einem Cyberangriff zu begegnen. Ein konkretes Beispiel ist die Netzwerküberwachung: Selbstlernende Algorithmen entdecken Anomalien wie ungewöhnlichen Datenverkehr oder potenzielle Cyberangriffe, bevor sie kritische Systeme beeinträchtigen. Dies ist besonders wichtig bei Ransomware, wo rasches Handeln den Schaden begrenzen kann.
Effiziente Reaktion durch Automatisierung
Trotz aller Präventionsmaßnahmen sind Sicherheitsvorfälle nicht vollständig auszuschließen. Daher ist eine effiziente Incident-Response wichtig, um die Ausfallzeiten zu verringern und den normalen Betrieb schnell wiederherzustellen. Auch hier spielen KI-gestützte Prozesse eine zentrale Rolle, da sie Vorfälle schneller erkennen und analysieren können. Sie leiten automatisch entsprechende Maßnahmen ein oder geben IT-Teams Handlungsempfehlungen.
Durch die Auswertung von Vorfällen und erkannten Mustern können die Unternehmen ihre Sicherheitsstrategien anpassen. Sie vermeiden dadurch in Zukunft ähnliche Probleme, und die Cyberresilienz der IT-Umgebung steigt. Der Einsatz von Erkennungsverfahren mit KI und Automatisierung senkt die Reaktionszeit auf Bedrohungen. Die IT-Teams werden von Routinetätigkeiten entlastet und können sich auf strategische Aufgaben konzentrieren.
Zusätzlich bewältigen Unternehmen damit Compliance-Probleme. Sie sehen sich heute einer Vielzahl an Regulierungen wie DSGVO, DORA oder NIS-2 ausgesetzt, die alle Berichts- und Meldepflichten enthalten. Eine Observability-Plattform erzeugt einen stetigen Informationsfluss aus der IT-Infrastruktur, der die Grundlage für die jeweiligen Berichte und Meldungen bildet. Dadurch verringern Unternehmen die redundante Datenerfassung.
Sicherheitsrisiko Drittanbieter
Ein wichtiger Aspekt der Cyberresilienz ist die Überwachung von Drittanbieter-Lösungen. Unternehmen nutzen Technologien und Anwendungen von unterschiedlichen Anbietern. Sie erhöhen die Angriffsfläche, da Sicherheitslücken bei diesen Drittanbietern häufig auch die eigene IT-Sicherheit betreffen. Bestimmte Arten von Cyberattacken greifen sogar die Drittanbieter-Lösungen direkt an und können damit Schadprogramme einschleusen.
Eine moderne Observability-Plattform bietet deshalb auch ein integriertes Drittanbieter-Monitoring. Damit können Unternehmen diese Risiken kontinuierlich überwachen und sind in der Lage, rechtzeitig auf Schwachstellen zu reagieren. Durch Lösungen wie Runtime Vulnerability Analytics werden potenzielle Sicherheitslücken bei Drittanbietern in Echtzeit identifiziert und priorisiert. Dies senkt die Abhängigkeit von extern bereitgestellten Sicherheitsinformationen und stärkt die Gesamtsicherheit.
So zeigt sich, dass Observability-Plattformen eine hohe Bedeutung für Cyberresilienz haben. Da diese Plattformen in der Regel Cloud-Dienste und häufig sogar Managed Services sind, können auch kleinere Unternehmen sie nutzbringend einsetzen. Damit sind Organisationen in der Lage, sich vor bekannten Bedrohungen zu schützen und zugleich auch auf neuartige Angriffsmethoden zu reagieren. Kurz: Sie erhöhen ihre Cyberresilienz.
Autor
Roman Spitzbart ist VP Solutions Engineering EMEA bei Dynatrace.