Was ist Telemetrie?

Obwohl die Telemetrie nicht zu den aufregendsten Themen in der IT- und Informationssicherheitswelt gehört, gibt es wohl nur wenige Themen, die für die Bestimmung des Gerätezustands und in noch größerem Maße für die Gewährleistung der Sicherheit Ihrer Endgeräte so wichtig sind wie die Telemetrie.

In dieser Blogserie beleuchtet dieser unbesungene Held die verschiedenen Bedürfnisse, Verwendungszwecke und Funktionen, die durch Telemetriedaten ermöglicht werden. Künftige Artikel in dieser Reihe werden sich eingehender mit ihr befassen:

• Sammlung und Lagerung
• Automatisierte Warnmeldungen und Berichte
• Vollständige Automatisierung und Korrelation

Was ist Telemetrie?

Denken Sie an jede Anmeldung, die authentifiziert wird, an die ausgeführten Befehle, die durchgeführten Prozesse und so weiter und so fort. Kurz gesagt, die meisten Änderungen, die auf einem Gerät auftreten, werden in Protokollen detailliert aufgezeichnet:

• Die durchgeführten Aktionen
• Betroffene Programme
• Diagnostische Informationen
• Genutzte Systemdienste
• Datums- und Zeitstempel

Neben anderen nützlichen Daten, die aufgezeichnet wurden, bietet dies einen Einblick in Ihr Mac Endgerät, um aktuelle Gesundheits- und Sicherheitsstatistiken zu ermitteln, die sich direkt auf den Betriebs-, Funktions-, technischen und Sicherheitsstatus von Apps und Daten auf Ihrem Mac beziehen.

Warum ist die Telemetrie so wichtig?

Um die Bedeutung der Telemetriedaten zu verdeutlichen, ist es vielleicht einfacher, sie wie unsere eigene Lebensstatistik zu betrachten. Wir gehen zum Beispiel zum Arzt, der uns eine Ampulle Blut abnimmt, das dann verarbeitet wird, um festzustellen, ob gesundheitliche Probleme vorliegen. Faktoren wie bestimmte Formen von Krankheiten oder zu wenig oder zu viele Vitamine und Mineralien signalisieren, dass in unserem Körper etwas nicht stimmt und medizinische Maßnahmen erforderlich sein können, um dies zu korrigieren, bevor es zu etwas weitaus Schlimmerem führt.

Dasselbe gilt für Telemetriedaten, nur dass sie sich auf den allgemeinen Zustand Ihrer Mac Flotte beziehen. Es ist der Höhepunkt der Daten, die aus verschiedenen Quellen und Subsystemen innerhalb von Mac gesammelt werden und die ein Bild davon zeichnen, wie gesund Ihre Endpunkte sind, und darauf aufbauend informieren, welche Abhilfemaßnahmen ergriffen werden sollten, um die identifizierten Probleme zu beheben:

• Risiko abmildern
• Daten sicher aufbewahren
• Wahrung der Privatsphäre der Nutzer*innen
• Compliance aufrechterhalten

„Wenn man es nicht messen kann, kann man es nicht verbessern.” - Lord Kelvin

Wie funktioniert die Telemetrie?

Ausgestattet mit „what” und „why” wollen wir uns nun mit der Funktionsweise der Telemetrie befassen, indem wir einige Szenarien vorstellen, in denen die Erfassung und Analyse von granularen Telemetriedaten unerlässlich ist:

• identifizierung von Sicherheitsbedrohungen
• Lösung von Sicherheitsvorfällen
• die Einhaltung von Vorschriften

dass Ihre Organisation das Ziel von und/oder in Bezug auf die Branche, der Ihre Organisation angehört, sein kann, wodurch sie der staatlichen Aufsicht unterliegt.

Abwehr und Untersuchung von Bedrohungen

Wie bereits erwähnt, liefern die Informationen zum Gerätezustand den IT- und Sicherheitsteams die Details, die sie benötigen, um ihre Endgeräte bestmöglich zu schützen, da die Telemetriedaten einen detaillierten Einblick in die Teile des Systems geben, die eine Korrektur erfordern. Dabei kann es sich um eine einfache App handeln, die nicht auf dem neuesten Stand ist, oder um etwas Wichtigeres, wie z. B. ein kritisches macOS Sicherheitsupdate, das eine Schwachstelle mit hohem Schweregrad behebt.

Ohne diese umfangreichen Telemetriedaten hätten Administratoren keinen Einblick in ihre Flotte, um eine solche Bedrohung proaktiv zu beseitigen. Dadurch bleiben die betroffenen Geräte ungeschützt und sind dem Risiko ausgesetzt, von böswilligen Akteur*innen ausgenutzt zu werden, was möglicherweise noch schlimmer ist.

Nehmen wir an, dass die oben beschriebene ungepatchte Sicherheitslücke aufgetreten ist und das Gerät unglücklicherweise ausgenutzt wurde, was dazu führte, dass das Gerät kompromittiert wurde. Der Benutzer/die Benutzerin meldet zwar, dass etwas Seltsames mit seinem Mac passiert, aber die Administrator*innen können nur schwer nachvollziehen, was genau passiert und warum es passiert. Dies sind zwei wichtige Informationen, die bei der Behandlung eines Problems benötigt werden, um die nächsten Schritte zu bestimmen.

Dies ist ein weiterer Wendepunkt für Telemetriedaten, denn damit haben die Administrator*innen die Antworten auf diese Fragen und können nachverfolgen, wie es zu dem Exploit gekommen ist und wo das System heute steht. Mit diesen Daten im Schlepptau können Abhilfeworkflows ausgeführt werden, um die Bedrohung zu beseitigen, die Schwachstelle zu beheben und die Funktionalität des Macs des Benutzers/der Benutzerin wiederherzustellen – und so die Bedrohung zu entschärfen und dabei Zeit zu sparen, die bei jedem Angriff ein wichtiges Gut ist.

Einhaltung von Vorschriften

Vorhin haben wir uns mit der Einhaltung von Vorschriften befasst, genauer gesagt mit der behördlichen Aufsicht über stark regulierte Branchen. Beispiele hierfür sind die Bereiche Gesundheitswesen, Finanztechnologie und Bildung. Je nachdem, wo Ihr Unternehmen ansässig ist, können bestimmte lokale, staatliche, bundesstaatliche und/oder regionale Gesetze gelten. Darüber hinaus kann es sein, dass Ihr Unternehmen aufgrund der Länder, mit denen es Geschäfte macht, auch den gesetzlichen Anforderungen in diesen Regionen unterliegt, wie z. B. der Datenschutzgrundverordnung (GDPR) und dem damit verbundenen Schutz der Privatsphäre der Nutzer*innen, der für jedes Unternehmen, das personenbezogene Daten von europäischen Bürger*innen sammelt, rechtlich durchsetzbar ist – unabhängig davon, ob Ihr Unternehmen eine physische Präsenz in Europa hat.

Viele staatliche Sicherheitsrichtlinien im Zusammenhang mit der Überwachung von Vorschriften schreiben Telemetrie vor, um nachzuweisen, dass Unternehmen aktiv Maßnahmen zur Einhaltung von Vorschriften ergreifen. Der allgemeine Leitfaden lautet: Wenn Sie nicht nachprüfen können, ob Ihre Daten geschützt waren, dann waren sie es nicht.

Es ist klar, dass Telemetriedaten allein nicht gleichbedeutend mit der Einhaltung von Vorschriften sind. Wenn Ihr Unternehmen jedoch die richtigen Kontrollen und Richtlinien implementiert hat, um die Sicherheit der konformen Datentypen zu gewährleisten, und die erforderlichen Kontrollen und Abgleiche zur Aufrechterhaltung der Konformität durchgeführt hat, dann werden die umfangreichen Telemetriedaten dies widerspiegeln, wenn sie gesammelt werden, und sie werden verwendet, um die Konformität mit den Aufsichtsbehörden bei Audits zu überprüfen.

Cybersecurity-Versicherung

Angesichts der zunehmenden Sicherheitsbedrohungen und des erhöhten Risikos ist es nicht verwunderlich, dass die Cybersecurity-Versicherung eine beliebte Option für Unternehmen ist, die sich im Rahmen ihrer Sicherheitsstrategie für eine Risikoaufschiebung entscheiden. Allerdings bedeutet die jüngste Besorgnis über verschärfte Richtlinien der Versicherer, die laut CNBC „zum Teil auf der Häufigkeit, der Schwere und den Kosten von Cyberangriffen beruhen”, dass es für Unternehmen schwieriger werden könnte, eine Cyberversicherung abzuschließen, oder dass Einschränkungen des Versicherungsschutzes dazu führen könnten, dass Unternehmen während des Underwriting-Prozesses einer zusätzlichen Prüfung unterzogen werden.

Letzteres deutet auf eine mögliche Verlagerung hin, bei der die Versicherer eine Überprüfung der vorhandenen und aktiv aufrechterhaltenen Risikominderungsstrategien verlangen, um eine Deckung zu erhalten und/oder beizubehalten. Dies ist nicht anders als bei Versicherungsgesellschaften in anderen Bereichen, z. B. bei Auto- und Hausversicherungen, die Bestimmungen enthalten, die die Eigentümer dazu verpflichten, ihre Autos und Häuser mit der gebotenen Sorgfalt instand zu halten, da andernfalls der Versicherungsschutz nichtig werden könnte. Telemetry prüft in diesem Fall diese Sorgfaltspflicht im Namen der Organisation und erbringt den Nachweis, dass die erforderlichen Sicherheitskontrollen und -richtlinien in Übereinstimmung mit den Versicherungsanforderungen vorhanden sind.

Gehen wir noch einen Schritt weiter: Nehmen wir an, Ihr Unternehmen hat eine Cyber-Versicherung und wird unglücklicherweise Opfer einer Cyber-Attacke. Sie werden sich vielleicht fragen, wie die Telemetrie Ihnen helfen kann, wenn der Schaden bereits eingetreten ist

Wie bereits erwähnt, sind Telemetriedaten für interne und strafrechtliche Ermittlungen nach wie vor von entscheidender Bedeutung. Außerdem spielt es eine wichtige Rolle bei der Sammlung von Beweisen für einen Cyber-Versicherungsanspruch, um festzustellen, was passiert ist, wie es dazu kam und wer möglicherweise die bösen Akteur*innen sind, insbesondere angesichts des wachsenden Bewusstseins für Insider-Bedrohungen und wie verheerend diese Arten von Angriffen sein können. Schließlich helfen Telemetriedaten den Fachleuten der digitalen Forensik, aus scheinbar unbedeutenden Datenartefakten wichtige Details für die Untersuchung herauszufiltern.

Jamf Protect ist Telemetrie (und vieles mehr)

Jamf Protect ist eine speziell für den Mac entwickelte Endpoint-Sicherheitslösung. Sie wissen das.

Aber wussten Sie schon, dass der tiefe Einblick in Ihre Mac Flotte direkt von den Telemetriedaten unterstützt und informiert wird, die aktiv von jedem verwalteten Endpoint gesammelt werden?

Das ist richtig! Da Jamf Protect Mac Endgeräte ständig auf Bedrohungen überwacht, erzeugen diese und alle anderen Aktivitäten Einträge in den Protokolldaten (Telemetrie). Diese werden über den Jamf Protect Agenten an die Cloud-basierte Konsole oder an Ihre bevorzugte SIEM-Lösung (Security Information and Event Management) gesendet (mehr dazu im zweiten Blog dieser Serie).

Nach Erhalt dieser Daten können IT- und Sicherheitsexpert*innen sie nutzen, um proaktiv nach unbekannten Bedrohungen auf macOS Computern in ihren Umgebungen zu suchen und diese zu erkennen. Und mit der Veröffentlichung der Agentenversion 3.6.0.727 stehen neue Funktionen für Protect Telemetry und Protect Offline Deployment Mode zur Verfügung.

Ersteres wurde bereits in diesem Blog erörtert und wird auch in den nächsten Teilen dieser Serie behandelt. Während letztere einen Großteil der Datenstromfunktionen aus der früheren Übernahme durch Jamf enthält, ist Compliance Reporter für alle Jamf Protect Kund*innen gedacht!