Best Practice Swisscom AG 18.11.2019, 07:00 Uhr

Ein Ausweg aus dem Dilemma

Der Schutz unternehmenseigener IT-Infrastruktur wird immer wichtiger, doch oft haben Unternehmen weder das Wissen, das Personal noch die Ressourcen, um selbst für einen angemessenen Schutz vor Cyberangriffen zu sorgen.
Insbesondere KMU können von der Expertise professioneller IT-Security-Dienstleister profitieren
(Quelle: Shutterstock/Black Salmon )
Cyberkriminalität ist international, regional und lokal auf einem scheinbar unaufhaltsamen Siegeszug. Experten schätzen den weltweiten Schaden, den Cyberkriminelle bis ins Jahr 2021 anrichten werden, auf rund 6000 Milliarden US-Dollar. Das ist eine Verdoppelung des Schadens in einem Zeitraum von ungefähr fünf Jahren und entspricht damit knapp dem Zehnfachen des Schweizer Bruttoinlandsprodukts.
Mit anderen Worten: Cyberkriminalität ist und bleibt der lukrativste Sektor der Kriminalität. Das ist auch hierzulande nicht anders, wie eine diesjährige Studie der ZHAW von Professor Dirk Baier zeigt. Die Kriminalität sei zwar insgesamt in der Schweiz rückläufig, die Cyberkriminalität nehme allerdings zu, heisst es im Bericht. Insbesondere Betrugsdelikte wie unbefugte Datenbeschaffung, unbefugtes Eindringen in Datensysteme oder betrügerischer Missbrauch einer EDV-Anlage nehmen zu, heisst es weiter. Allgemein ist eine Zunahme gezielter Angriffe zu verzeichnen, opportunistische Attacken sinken tendenziell. Insbesondere KMU sehen sich Ransomware, Phishing, Sextortion und Social Engineering ausgesetzt. Zudem werden die verwendeten Angriffsmethoden immer ausgefeilter.
Behörden und Polizei haben bereits reagiert: Die Regierung kündigte die Einrichtung mehrerer Cybercrime-Zentren im ganzen Land an, in die unter anderem das Bundesamt für Polizei und die Konferenz der kantonalen Polizeikommandanten involviert sein sollen. Auch die Zusammenarbeit zwischen Polizei und Staatsanwälten sowie regionale Kooperation im Allgemeinen sollen gestärkt werden. Ausserdem wurden in den vergangenen Jahren mehrere Tausend Mitarbeiter der Zürcher Kantonspolizei speziell für die Verfolgung von Cyberkriminalität geschult.

Security nach dem Baukastenprinzip

Das sind insgesamt gute Neuigkeiten, dennoch bleibt die Wahrscheinlichkeit gross, Opfer eines Cyberangriffs zu werden. Nicht nur Grosskonzerne sind betroffen, sondern auch immer mehr KMU. Für Unternehmen sind solche Angriffe oft nicht nur mit grossen Geldverlusten, sondern auch mit einem empfindlichen Imageschaden verbunden. Deshalb versuchen sie sich so gut wie möglich zu schützen, um so gar nicht erst zu Opfern zu werden. Dazu braucht es Security-Lösungen mit 24/7-Betrieb, kontinuierlich angepasster Prävention, permanenter Überwachung und Security-Spezialisten, die bei Bedarf sofort eingreifen.
“Penetration Tests helfen Unternehmen, Gegenmassnahmen zu entwickeln„
Remi Schöb
Allerdings ist dies für die meisten Unternehmen in der Praxis nicht so einfach umsetzbar. Die Überwachung und der Schutz der eigenen Firmennetzwerke werden stets umfangreicher und komplexer,  usserdem sind sie teuer. Des Weiteren sind Security-Experten heiss begehrt und deshalb auf dem Markt oft nur schwer zu finden. Kosten, Kapazitäten, Know-how – für viele Unternehmen ist der Aufbau einer eigenen Cybersecurity-Abteilung nicht möglich. Sie greifen deshalb auf einen der zahlreichen «Security as a Service»-Dienstleister zurück. Diese Firmen überwachen ihre IT-Systeme und schlagen umgehend Alarm, sobald sie etwas Ungewöhnliches entdecken.
Die Vorteile liegen auf der Hand. Anwenderunternehmen können nach dem Baukastenprinzip genau die Sicherheitsservices auswählen, die sie brauchen. Egal, ob es sich dabei um eine Grossbank oder ein KMU handelt: Experten übernehmen den Schutz zu planbaren Kosten und gehen dabei gezielt auf die unterschiedlichen Bedürfnisse ein. Der erste Schritt ist deshalb immer, mit dem Kunden eine Bedürfnisanalyse zu erstellen. Neben Ransomware, Social Engineering und Malvertising gibt es weitere gängige Hacker-Techniken wie DDoS-Angriffe, Browser-Hijacks, Botnets, Rootkits, Trojaner, Viren und Würmer. Gemeinsam wird eruiert, was der Kunde braucht.

Penetration Tests erkennen Sicherheitslücken

Um Cyberangriffe erfolgreich abzuwehren, müssen IT-Security-Experten die Taktiken, Methoden und Prozesse der Cyberkriminellen verstehen und die Erkenntnisse in die Detektion miteinfliessen lassen. Mit anderen Worten: Sie müssen in der Lage sein, wie Hacker zu denken und zu handeln. Deshalb werden IT-Security-Spezialisten hin und wieder selbst zu Angreifern. Ethical Hackers, also Hacker mit guten Absichten, führen zum Beispiel gezielt Angriffe auf Unternehmen aus und versuchen auf diese Weise, Schwachstellen zu finden und deren Auswirkungen aufzuzeigen – bevor es andere tun. Sogenannte Penetration Tests erfolgen natürlich immer in Absprache mit dem Kunden und auf Basis einer schriftlichen Vereinbarung. Dieses aufwendige, manuelle Vorgehen kombiniert verschiedene Angriffsmethoden und findet dadurch auch Sicherheitslücken, die bei automatisierten Tests verborgen bleiben.
Solche simulierten Angriffe helfen also letztlich Unternehmen, Gegenmassnahmen zu entwickeln und Abläufe zu verbessern. Sie sind jedoch kein Ersatz für ein funktionierendes Security Operations Center (SOC).

Sicherheit rund um die Uhr

Im Gegensatz zu zeitlich begrenzten Penetration Tests überwacht ein Security Operation Center die IT-Infrastruktur rund um die Uhr. Hier ist der Schutz vor Hackern ein Zusammenspiel von Mensch und Maschine: Bei einer Vorqualifizierung und wenn hinreichend Indikatoren vorliegen, generiert die Threat Intelligence Engine einen Alarm. Doch für das weitere Vorgehen gibt es kein Standardschema, deshalb übernimmt nun der Mitarbeitende. Er führt eine spezifische Analyse des Alarms sowie seiner Ursachen durch und wendet die Bedrohung ab – oder zieht, falls notwendig, Kolleginnen und Kollegen aus weiteren IT-Security-Abteilungen hinzu. Die Aufgaben des SOC sind daher zahlreich: So werden Kunden beispielsweise informiert, sobald sensitive Geschäfts- und Personeninformationen in öffentlichen und geschlossenen Netzen wie etwa im Darknet zu finden sind. Oder sie erhalten bei bestätigten Sicherheitsvorfällen konkrete Handlungsempfehlungen für den Ernstfall. Um Cybergefahren frühzeitig zu erkennen und die richtigen Schlüsse daraus zu ziehen, setzen die Fachleute im SOC auf zahlreiche verschiedene Faktoren. Denn je exakter und schneller sie erfahren, wo welche Gefahren lauern, desto besser können sie agieren und reagieren. Aus diesem Grund werden auch laufend eigene Feeds sowie Feeds von Partnerunternehmen überwacht und analysiert – national und weltweit.
“Sicherheitsexperten müssen wie Hacker denken und handeln„
Remi Schöb

Nächster Schritt: Threat Detection & Response

Heute wünschen die Kunden vor allem wirksame Firewalls, Managed Proxy oder Managed Mail Security. In wenigen Jahren werden solche Services als Commodity praktisch standardisiert und überall integriert sein. Dafür werden in Zukunft Threat Detection & Response immer wichtiger. Das erfordert spezifische Prozesse, Werkzeuge und langjährige Erfahrung sowie hochspezialisierte Mitarbeitende. Als einzelnes Unternehmen ist es bereits heute kaum mehr möglich, die sich ständig ändernden Cyberattacken zu verstehen und entsprechend auf sie zu reagieren. Das Problem dürfte sich mit der Zeit sogar noch verschärfen. Ein erfahrener Partner kann diese Aufgabe übernehmen.
Hundertprozentige Sicherheit vor Cyberangriffen gibt es leider nicht. Doch wenn sich ein Unternehmen an einen IT-Security-Dienstleister wendet und von seinem Knowhow, den Ressourcen und der Infrastruktur profitiert, verringert sich die Wahrscheinlichkeit massiv, Opfer eines Angriffs zu werden. Jeder, der bereits einmal ins Visier von Hackern geraten ist und empfindliche Verluste erleiden musste, weiss, dass sich diese Investition allemal lohnt.
Der Autor
Remi Schöb
Swisscom AG
Remi Schöb ist Leiter des Security Operation Centers von Swisscom. www.swisscom.ch

Das könnte Sie auch interessieren