Nach wie vor sind die Nachrichten voll mit Meldungen von gezielten Hackerangriffen – und zwar im ganz grossen Stil, wie der Angriff mit dem Verschlüsselungstrojaner «WannaCry» wieder einmal deutlich vor Augen führte. Ein Blick auf die Entwicklung der Cyberattacken macht klar: Die Angreifer sind in der Regel keine Einzeltäter; Internetkriminalität ist inzwischen professionell organisiert. Es gibt auch dort eine Aufgabenteilung wie die Programmierung von Malware, den Versand von E-Mails, die gezielte Suche nach Sicherheitslücken (Exploits) oder die Bereitstellung von Exploit-Kits. Auch staatliche Hackgruppen greifen immer häufiger nicht nur andere staatliche Organisationen an, sondern auch private Unternehmen – und all das, unter Einsatz nahezu unbegrenzter Mittel.
Cyber Security besteht nicht nur aus (ICT-)Sicherheitsmauern
Deshalb müssen Unternehmen hinsichtlich der Cyber Security umdenken – und dürfen sich nicht nur auf (immer) höhere ICT-Sicherheitsmauern verlassen. Der Trend geht klar in Richtung einer intensiveren Überwachung von Sicherheitssystemen und Erkennung von Vorfällen, wie es auch das NIST Cyber Security Framework empfiehlt. Es braucht neue Sicherheitsansätze, bei welchen die Detektion im Vordergrund steht und die Reaktion auf Angriffe ein wesentlicher Bestandteil der IT-Prozesse ist. Geschickt umgesetzt, kann so die Prävention zielgerichtet und kontinuierlich verbessert werden. Dies wären grundsätzlich alles Aufgaben, die ein Security Operation Center erledigt. Deshalb gilt ein SOC auch als eine entscheidende Entwicklung im Bereich der Cyber Security, um den immer komplexeren, raffinierteren Attacken zu begegnen. Jedoch gibt nur gerade jedes zweite Unternehmen an, ein SOC im Einsatz haben – und ob es sich dabei wirklich um ein SOC handelt, sei dahingestellt. Denn in vielen Unternehmen muss sich das SOC auch um operative Aufgaben im IT-Betrieb kümmern, womit die Erkennung von Angriffen, die Analyse und die Reaktion auf Vorfälle oft zu kurz kommt. Wenn also ein SOC Helpdesk-Anfragen beantworten muss, stehen die Chancen für einen erfolgreichen Cyberangriff relativ gut. Gut für den Angreifer, aber schlecht für das Unternehmen! Wie soll also eine effektive Cyber Defence mit einem SOC zukünftig aufgebaut sein?
SOC 2.0 – das Cyber Defence Center
Natürlich braucht es auch zukünftig nebst entsprechenden Werkzeugen zur Erkennung von Attacken oder Infiltrationen IT-Spezialisten; aber noch viel wichtiger sind Cyber Threat- und Intelligence-Analysten sowie Security Experten. Es muss also in einem Cyber Defence Center (CDC) eine klare Aufgabenteilung und trotzdem die eminent wichtige Teambildung geben zwischen Blue Team (Cyber Security- und Cyber Defence-Experten) und Red Team (Cyber Threat-Analysten und Penetration Tester). Denn in einem CDC laufen alle Fäden zur Erkennung, Analyse und Abwehr von
Cyberangriffen zusammen. Erforderlich sind dafür erfahrene Experten mit einem umfassenden Know-how, Security-Tools und nicht zuletzt ein physisch geschützter Operationsraum mit den notwendigen Arbeitsplätzen für beide Teams. Sie sehen: Cyber Defence ist eine anspruchsvolle Arbeit. Insbesondere aufgrund des Fachkräftemangels fällt es den Unternehmen immer schwerer, kompetentes Personal aus dem Informatiksektor zu finden. Da Attacken rund um die Uhr erfolgen, muss ein Cyber Defence Center natürlich auch rund um die Uhr funktionieren, was den Personalbedarf zusätzlich erhöht. Selbstlernende Systeme und Lösungen mit Künstlicher Intelligenz, die die Security-Analysten im Bereich der Breach Detection unterstützen, können bis zu einem gewissen Grad Arbeitserleichterung bringen. Diese gilt es zu nutzen, gerade weil hier sicherlich auch weitere Fortschritte zu erwarten sind, die ein CDC noch effizienter machen. Eine Vollautomatisation wird es aber nie geben. Gerade weil auch in Zukunft Security Experten benötigt werden, steigt die Nachfrage nach geeigneten, externen Spezialisten wie beispielsweise InfoGuard, welche diese anspruchsvolle Tätigkeit für Unternehmen als Service übernimmt.
Swiss Cyber Defence Center von InfoGuard
InfoGuard hat Ende Mai ein neues, 250m2 grosses Cyber Defence Center eröffnet. Die Services umfassen u.a. Security Information & Event Management (SIEM), Vulnerability Management, Breach Detection sowie Cyber Threat Intelligence, Incident Response und Forensik. Das neue CDC verfügt über ein mehrstufiges, physisches Sicherheitskonzept, wobei die Sicherheitssysteme rund um die Uhr, während 365 Tagen im Jahr, überwacht werden.