Das Risiko Alarmermüdung beeinträchtigt die IT-Sicherheit

Das Ende der persönlichen Unerreichbarkeit ist gekommen

Hat das Zeitalter der Remote-Arbeit das Ende der Abwesenheitszeiten eingeläutet? 60 Prozent der Unternehmen – zum Beispiel in den USA – räumen ein, dass sie Software zur Überwachung ihrer Mitarbeiter einsetzen, was die Befürchtung weckt, dass der Status „nicht verfügbar“ oder „beschäftigt“ in einem Programm Verdacht erregen könnte. Die Unternehmen (insbesondere die Always-on-Dienste) erwarten von den Entwicklern ständige Wachsamkeit. Der Druck wandert von oben nach unten. Bemühungen gegen Hacker sind oft fehlgeleitet, da die Unternehmer von ihren Entwicklern erwarten, dass sie mehr arbeiten und schneller reagieren.

Diese Schaffung einer Kultur der Dringlichkeit, rund um die Uhr, durch eine Überfrachtung mit Meldungen ist schädlich für die Produktivität der Entwickler. In einem Artikel des Journal of Alzheimer's Disease aus dem Jahr 2021 wurde festgestellt, dass eine Verschlechterung der kognitiven Funktionen mit langen Arbeitszeiten zusammenhängt, was die Vorstellung in Frage stellt, dass Entwickler sofort auf jede Benachrichtigung reagieren sollten. Angesichts der vielen anderen Aufgaben, die sie zu erledigen haben, können Entwickler leicht überfordert und ausgebrannt sein, so dass sie den Benachrichtigungen keine Aufmerksamkeit mehr schenken können.

Wenn alles dringend ist, dann ist nichts dringend

Die Auswirkungen von Burnout bei Entwicklern sind weitreichender als nur in Umfragen zur Mitarbeiterzufriedenheit messbar.  Man kann nicht jedem Alarm nachgehen, da dies die Geschwindigkeit und Effizienz der Entwicklung beeinträchtigt. Teams, die mehrere Sicherheitstools nutzen, sind besonders von dieser Herausforderung betroffen. Im 2023 Cloud Security Report fühlten sich 17 Prozent der befragten Nutzer, die ein bis drei Sicherheitstools verwenden, von Warnmeldungen überfordert. Bei denjenigen, die vier bis sechs Sicherheitslösungen nutzen, steigt dieser Satz auf 40 Prozent.

Das Ziel besteht aber darin, auf Bedrohungen zu reagieren, nicht, sie lediglich zu erkennen. Mithilfe von entsprechenden Produkten kann jedoch bereits automatisiert eine Auswahl des Wustes an Alarm-Meldungen getroffen werden, die wirklich von Hand bearbeitet werden müssen. Der Rest wird entweder nach vorher definierten Richtlinien intelligent von der Sicherheitslösung versorgt, oder als unwichtig entlarvt.

Wenn jedoch alles in einer Panikstimmung als dringlich betrachtet wird, dann vergrault man sich die IT-Fachkräfte. Aktuelle Berichte des globalen Personalvermittlers Hays zeigen, dass 95 Prozent der Arbeitgeber mit Qualifikationsdefiziten und einem Mangel an technischen Fachkräften konfrontiert sind. Diese Situation führt zu Schwachstellen aufgrund von Personalengpässen und die Rekrutierung von geeignetem Personal sowie das Prüfen von eigentlich unwichtigen Bewerbungen sind zeitaufwändig und kostspielig. Daher ist es im Interesse aller, diesen Knoten zu lösen.

Die Autoren des Buchs „Site Reliability Engineering: How Google Runs Production Systems“ schlagen ein hierarchisches Alarmsystem vor. Ein Alarm sollte als ein Ereignis kategorisiert werden, das dringend die Aufmerksamkeit von Menschen erfordert. Eine Stufe tiefer als ein Alarm ist ein Ticket, was einen Zwischenfall meint, der nicht dringend ist und in naher Zukunft von einer Person behoben werden kann. Die niedrigste Stufe ist ein Protokoll, das für Diagnosen und die Verfolgung von Zwischenfällen verwendet werden sollte.

Folgt man diesem Vorschlag, dann würden die vielen Warnungen, die das IT-Team trotz ihrer eigentlichen Unwichtigkeit überfordern, zu harmloseren Tickets oder Protokollen werden. Außerdem ließen sich Muster erkennen, wodurch ähnliche Warnmeldungen zusammengefasst werden könnten. Das fördert die Übersicht und spart Arbeitszeit. Sicherheitsanalysten können diese Informationen zudem verwenden, um den Kontext hinter den Warnmeldungen besser zu verstehen und gezielte Strategien zur Reaktion auf Bedrohungen zu entwickeln. So ließen sich die Warnungen wiederum nach Wichtigkeit sortieren. Kritischer Alarm als eine mögliche Kategorie könnte beispielsweise auf Metriken basieren, die negative Auswirkungen auf Kunden, Mitarbeiter und Endbenutzer beachten.

Ein Meldesystem schaffen

Es gibt mehrere Möglichkeiten, um der Flut von täglichen Benachrichtigungen im Posteingang Herr zu werden. Einige Beispiele sollen das verdeutlichen. 

Die Führungskräfte müssen festlegen, was kritisch für sie bedeutet. Es handelt sich nicht um eine Fangfrage, sondern um die Kernfrage schlechthin. Um den Teufelskreis der Alarm-Ermüdung zu durchbrechen, müssen die IT-Entscheider sich hier einigen und strategische Abhilfemaßnahmen einführen. Bezogen auf das erwähnte Buch, sollte ein Alarm nur dann auftreten, wenn ein Mitglied der Sicherheitsabteilung sofort Maßnahmen ergreifen muss. Alles, was dem nicht entspricht, kann in ein Ticket oder Protokoll umgewandelt, automatisiert bearbeitet oder sogar gelöscht werden.

„IT-Entscheider sollten die Möglichkeiten von Automatisierung, KI und maschinelles Lernen nutzen und alle Tools auf weniger Plattformen konsolidieren, um redundanten Meldungen zu vermeiden.“

Thomas Boele, Check Point Software Technologies

Um den Zeitaufwand und die mögliche Zeitverschwendung bei der Untersuchung von Benachrichtigungen zu reduzieren, sollten diese automatisch validiert und mit dem richtigen Kontext angereichert werden.

Dabei hilft:

• Verschiedene Kanäle für verschiedene Projekte verwenden.
• Projekte, Alarme und Benachrichtigungen farblich kennzeichnen und E-Mail-Filter nutzen, um Warnmeldungen zu sammeln und zu filtern.
• Tags zur Kennzeichnung verschiedener Warnmeldungen verwenden.
• Prioritätsstufe, den Zeitrahmen und die Abhilfestrategie für jede Warnung kennen.

Außerdem muss klar sein, wer verantwortlich ist. Wenn alle im Team beschäftigt sind, denkt oder hofft man leicht, dass jemand anders die neue Benachrichtigungen prüft oder auf sie reagiert. Wenn jeder so denkt, bleiben viele Benachrichtigungen unbeachtet. Teilt man zusätzlich die Verantwortung zwischen verschiedenen IT-Abteilungen, wie Sicherheit, IT und DevOps, dann gibt es ein Durcheinander. Stattdessen sollte die Bearbeitung der Meldungen in der Hand einer Experten-Gruppe liegen und darin muss deutlich definiert werden, welcher Mitarbeiter für welcher Art von Ereignis zuständig ist. Dabei hilft es, sich an den folgenden drei Schritten zu orientieren:

1. Definierte Prozesse: Das Unternehmen sollte über klare Strategien zur Risikominderung verfügen. Sicherheitskräfte können ihre Fähigkeiten und ihr Verständnis durch Übungen verbessern.
2. Standardisierung: Trainings können helfen, einen konsolidierten Ansatz für gute Praktiken zu entwickeln. Es ist hilfreich, einen Leitfaden zu schreiben. Dieser gibt neuen und bestehenden Angestellten klare Anweisungen, wie und wann ein Alarm ausgelöst werden sollte, und trägt dazu bei, Abhängigkeiten aus architektonischer und organisatorischer Sicht zu reduzieren.
3. Regelmäßige Auswertung: Analysen der Meldungen, die das Team über einen Zeitraum von mehreren Jahren erhalten hat und übersichtliche Aufbereitung der Ergebnisse, sind ein guter Weg, um selbst den Überblick zu behalten und zusätzlich das Management auf die Alarm-Ermüdung aufmerksam zu machen.

IT-Entscheider sollten die Möglichkeiten von Automatisierung, KI und maschinelles Lernen nutzen und alle Tools auf weniger Plattformen konsolidieren, um redundanten Meldungen zu vermeiden. Der Einsatz von Tools, die kontextbezogene Analysen und umsetzbare Informationen liefern, sowie SOAR-Tools ((Security Orchestration Automation and Response), die das Handling einer exorbitanten Anzahl gleichartiger Alarme (zum Beispiel von IPS) KI/ML-gestützt automatisieren, erleichtern den SoC-Alltag massiv. So können sich die Security Analysten auf kritische Ereignisse konzentrieren und gleichzeitig die Verteile der Automatisierung nutzen.

Fazit

Sicherheitswarnungen, die menschlichen Eingriff erfordern, lassen sich nicht vermeiden, aber man kann sie erheblich reduzieren. Die Angestellten werden sich freuen und zugleich werden die Produktivität und Entwicklungsgeschwindigkeit steigen, da weniger Aufwand für die Bearbeitung unzähliger Alarmmeldungen gebunden wird.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.