Alarmmüdigkeit ist ein Phänomen der hochvernetzten Welt. Es gibt zu viele Alarme – und nicht jeder ist beachtenswert. Das führt zu gravierenden Sicherheitsproblemen bei Hackerangriffen. Sieben Regeln gegen die Alarmmüdigkeit.
Dieser «scale-it»–Artikel gehört zu unserem:
Ransomware- und Hackerattacken laufen langsam ab; in der ersten Phase wird der Eindringling oft kaum bemerkt. Nicht etwa weil er so clever wäre, doch kann er sich in der Komplexität der heutigen Netzwerkarchitekturen gut verstecken. Und schlägt doch mal ein Alarm an, bleibt er oft ungehört. Es gibt schlicht zuviele davon. Oder es fehlt an einem durchdachten Alarmkonzept.
Das Phänomen der Alarmmüdigkeit (engl. Alarm Fatigue) ist psychologisch gut untersucht. Je nach IT-Umgebung und Grösse der Firma fallen täglich hunderte von Alarmmeldungen an, die man unmöglich manuell sichten und behandeln kann. In der IT kommt es zudem häufiger zu Fehlalarmen. Laut einer Studie von 2017 sind mehr als 50 Prozent der Alarme in der IT false-positive. Wie das Schaf in der Fabel, das vergeblich vor dem Wolf warnt, so kann es der IT-Abteilung ergehen: Sie missachtet erste Alarme über einen Eindringling. So schlägt die Backup-Software Alarm, denn hier finden sich oft die ersten Spuren eines Ransomwareangriffs. Verhallt der Alarm in einer Liste, ist die erste Chance vertan.
Besonders hilfreich gegen die Alarmmüdigkeit sind folgerichtig Alarmkonzepte. Automatisierung und künstliche Intelligenz unterstützen die Teams dabei, Alarme richtig auszuwerten. Auch das Business muss befähigt werden, die richtigen KPIs und Schwellenwerte festzulegen. Alarmmüdigkeit wirkt sich sonst etwa im Gesundheitsbereich schnell auf die Patientensicherheit aus. Ärzte und Pflegepersonal erhalten täglich pro Bett mehrere hundert Alarme. Übermüdet und unter Stress, durch Fehlalarme genervt und desensibilisiert, übersehen sie womöglich den entscheidenden für ihren Patienten.
SIEBEN GOLDENE REGELN GEGEN DIE ALARMMÜDIGKEIT
Befolgen Sie folgende allgemeine Regeln von Cisco-Experte Roman Stefanov. Dadurch schützen Sie sich vor Hackerangriffen und beugen der eigenen Alarmmüdigkeit im Unternehmen vor.
Roman Stefanov, Sicherheitsexperte bei Cisco Schweiz, nennt seine Tipps gegen die Alarmmüdigkeit.
REGEL 1
Alarme sind nicht nur ein IT-Problem
Es wäre verfehlt, Alarme nur aus technischer Sicht zu betrachten. Leistungseinbussen im Netzwerk führen zu instabilen digitalen Erlebnissen der Kunden, die wiederum die Markenreputation schädigen – also auch die finanzielle Leistung schmälern. Erfolgreiche Angriffe führen zu Vertrauensverlust von Seiten der Kundschaft. Darum sollten Business und IT gemeinsam ein Alarmkonzept ausarbeiten, das die Prozesse, Alarmierungskanäle und Verantwortlichkeiten im Alarmfall exakt definiert.
REGEL 2
Alarme müssen konkret und verständlich sein
Vage Warnungen sind ebenso zu vermeiden wie redundante. Im ersten Fall muss der Empfänger viel Zeit und Energie aufwenden, um zu verstehen, was überhaupt los ist. Im zweiten Fall wird er schnell ermüden und den wichtigen Alarm übersehen.
REGEL 3
Alarme auf den Prüfstand
Alarmmeldungen und -Einstellungen müssen regelmässig überprüft werden: Welche Alarme werden regelmässig übersehen? Hinter welchen steht ein nicht funktionierender Prozess? Doch ein wichtiger Alarm braucht am Ende der Kette immer einen Menschen, der die richtigen Massnahmen zu richtigen Zeit einleitet.
Plattformen übernehmen automatisierte Aufgaben
Cisco Schweiz bietet Unternehmen mit SecureX eine umfassende Sicherheitsplattform. Die cloudbasierte Software lässt sich einfach auf die spezifischen Bedürfnisse skalieren. Unternehmen überwachen mit den automatisierten Tools das eigene Portfolio und schaffen Transparenz in ihren Systemen. Mitarbeitende erkennen so schnell auftauchende Bedrohungen:
Das gibt den Mitarbeitenden die nötige Zeit für die relevanten Alarme.
REGEL 4
Alarmstufen nutzen und Verständlichkeit erhöhen
Wenn sich Alarme nach Schweregrad oder anderen Kriterien «sortieren» lassen, gehen wichtige Alarme nicht unter. Legen Sie deshalb sinnvolle Schwellenwerte fest und gestalten Sie kritischste Meldungen unterschiedlich und unübersehbar.
REGEL 5
Automatisierung gegen Alarmmüdigkeit
Automatisierung und maschinelles Lernen wirken der Alarmmüdigkeit entgegen. Sie fassen Alarme dabei zusammen und visualisieren sie. Das verbessert die Reaktionszeiten und Untersuchungsgeschwindigkeiten.
REGEL 6
Alarmrichtlinien optimieren
Die Richtlinien müssen bekannt und nachvollziehbar sein: So einleuchtend diese Regel gegen Alarmmüdigkeit auch ist, so oft wird sie zu wenig beachtet. Sie sollte zudem auch Zeitblöcke enthalten, die unterstützen, solange die Alarmmeldungen noch nicht kritisch sind. Seien Sie beim Hinzufügen neuer Alarme vorsichtig und prüfen Sie, ob nicht bereits ähnliche Alarme vorhanden sind. Stellen Sie die Weiterleitung an die richtigen Personen sicher.
REGEL 7
Monitoring-Plattformen nutzen
Der durchschnittliche Ops-Mitarbeitende nutzt fünf oder mehr Tools zur Überwachung. Jedes produziert eigene Alarmmeldungen, die möglicherweise redundant zu anderen sind oder – gleichzeitig genutzt – verwirrend sein können. Sinnvoller ist es, eine Plattform wie SecureX zu benützen, die wesentliche Einsichten über alle Netzwerke hinweg liefert, unabhängig von den eingesetzten Werkzeugen. Die Cloud-native Plattform integriert die bestehende Infrastruktur und liefert mit automatisierten Workflows Alarme, die auch tatsächlich wahrgenommen werden, bevor sich die Systeme verabschieden.
Dieser Artikel auf «scale-it» wurde in Zusammenarbeit mit Cisco Schweiz verfasst. Der Werbepartner ist einer der führenden Anbieter von Cloud-Technologie-Lösungen und Security-Services. Der Beitrag entspricht den redaktionellen Richtlinien von «scale-it». Experte: Roman Stefanov, Head of Cyber Security Sales, Cisco Schweiz AG
