Mit ausschließlich präventiven Maßnahmen wie Firewalls, Virenscannern oder Content-Sicherheitslösungen lassen sich professionelle Hacker nur bedingt abwehren. Gegen sie hilft nur ein ganzer Kanon von Tools und Experten, die eng aufeinander abgestimmt rund um die Uhr die Cyberabwehr betreiben und auf der Suche nach Hackern sind – und sie dann auch sofort aus dem Verkehr ziehen.
Nicht nur die schiere Zahl der Cyberangriffe nimmt zu und stellt für die IT-Sicherheit der Unternehmen ein Problem dar, gleichzeitig steigert sich die „Qualität“ der Angriffe. Denn Hacker agieren immer raffinierter. Besonders Cyberspione greifen als Auftragseinbrecher für Dritte zielgerichtet Infrastrukturen von Unternehmen an. Dafür platzieren die Angreifer in den Netzwerken ihrer Opfer Schadsoftware, mit der sie Kontrolle über einzelne Systeme oder ganze Infrastrukturen erlangen, um sensible Daten sammeln und exfiltrieren zu können.
Meist ist die verwendete Schadsoftware mit gängigen präventiven Schutzmechanismen nicht zu erkennen, da sie beispielsweise als „Schläfer“ verteilt und schrittweise aktiviert wird. Durch anschließende Seitwärtsbewegungen (Lateral Movement) kommen mehr und mehr Systeme unter die Kontrolle des Angreifers. Dabei sind die einzelnen Schritte nicht unbedingt als Cyberangriff erkennbar und erst das Zusammenfügen aller verfügbaren Informationen ermöglicht das Bild des Angriffs zu erkennen.
Ein Security Operation Center (SOC) zusammen mit einem Security Information and Event Management (SIEM) ist in der Lage, professionelle Cyberangriffe frühzeitig zu erkennen und schnelle zielgerichtete Gegenmaßnahmen einzuleiten. Während das SOC Personen, Prozesse und Technologien umfasst, handelt es sich beim SIEM um ein Werkzeug der IT-Sicherheit, das unterschiedliche Ereignisquellen nutzt, um Angriffe zu identifizieren. Ein SIEM liefert frühzeitig Informationen zu möglichen Bedrohungen und stellt diese den Analysten im SOC zur Verfügung. Aufgrund dieser Eigenschaften ist ein SIEM technologischer und methodischer Bestandteil eines SOC.
SOCs überwachen und analysieren die Aktivitäten in der gesamten IT Landschaft (Netzwerke, Server, mobile und stationäre Clients, Datenbanken, Anwendungen, Webserver und weitere Systeme) und suchen nach anomalen Aktivitäten, die auf einen Sicherheitsvorfall hinweisen können. Sofern operative Technologien (OT in industriellen Netzwerken) vorhanden sind, können diese ebenfalls abgedeckt werden. Das SOC ist dafür verantwortlich, dass potenzielle Sicherheitsvorfälle korrekt identifiziert, analysiert, gemeldet und mitigiert werden.
Auf einer Kommandobrücke beobachten Sicherheitsexperten auf Großbildschirmen die weltweite Bedrohungslage, gehen eintreffenden Alarmen nach und greifen sofort ein, wenn es notwendig ist. Hat eine Cyberattacke dennoch Erfolg, müssen Unternehmen in der Lage sein, die Vorgehensweise der Hacker aufzudecken und schnell gezielte Gegenmaßnahmen einzuleiten. Dafür steht den Abwehrteams eine ganze Reihe von Sicherheitslösungen zur Verfügung, die die zu schützenden IT-Systeme beobachten. Diese sind über Schnittstellen mit dem SOC verbunden, sodass sie jeglichen Datenverkehr beobachten und analysieren können.
Ein SOC arbeitet wie eine Kommandobrücke, deren Security-Experten die weltweite Bedrohungslage beobachten und sofort eingreifen können.
Täglich analysieren die Sicherheitsexperten der Telekom mehrere Milliarden sicherheitsrelevante Daten aus tausenden Datenquellen nahezu voll automatisiert. Rund 200 Experten überwachen im Master-SOC in Bonn und an den angeschlossenen Standorten national und international im 24/7-Betrieb die Systeme der Telekom und ihrer Kunden. Sie erkennen Cyberattacken, analysieren die Angriffswerkzeuge, schützen die Opfer nachhaltig vor Schäden und leiten daraus Prognosen über zukünftige Muster von Attacken ab. Dabei greifen die Telekom-Experten auf ihre jahrelange Erfahrung in der Bekämpfung von Angriffen auf die eigene Infrastruktur zurück. Mehr als 20 Millionen unterschiedliche Angriffsmuster haben sie bereits gesammelt und zur Verbesserung der eigenen Systeme eingesetzt. Ein smartes Team zum Schutz einer prosperierenden digitalen Welt.
Ein SOC kann viele Auftraggeber gleichzeitig versorgen. Ihre Kundendaten bleiben aus Compliance-Gründen strikt voneinander getrennt. Dadurch hebt das Security Operation Center von Telekom Security Kostensynergien und ist effektiver als ein aufwändiger Eigenbetrieb. Denn alle Kunden profitieren als Mandanten auf einer Plattform gleichermaßen von der stetig steigenden Erfahrung unserer Security Analytics. Täglich erfolgt die kontinuierliche Anpassung an die sich verändernde Bedrohungslage entlang der gesamten digitalen Kette: von der Netzüberwachung über den Schutz der Client- und Serversysteme bis hin zur Sicherung industrieller Systeme.
Mehrere Milliarden sicherheitsrelevante Daten aus tausenden Datenquellen analysiert die Cyberabwehr der Telekom im Security Operation Center jeden Tag nahezu vollautomatisiert. 1000 Anfragen bearbeitet sie täglich, um ihre Infrastruktur und damit auch die Sicherheit ihrer Kunden zu schützen.
Die Zahl der sicherheitsrelevanten Informationen, die die Telekom verarbeitet, ist gewaltig: Alleine im eigenen Netz und in eigenen Systemen mehr als eine Milliarde – jeden Tag. Die Deutsche Telekom registriert, analysiert, verdichtet und verarbeitet diese Datenmengen seit vielen Jahren erfolgreich in SOCs. Die Sicherheitsanalysten extrahieren aus der Unmenge von Daten die relevanten Indikatoren für Angriffe und verarbeiten Verdachtsfälle in Bruchteilen von Sekunden. Im letzten Schritt analysieren Experten tatsächliche Vorfälle und leiten Gegenmaßnahmen ein.
Die Zahl von Malware steigt weiter an. Im Jahr 2018 war die Anzahl von Malware 2,5-mal so hoch wie vier Jahre zuvor.
Ein Security Information and Event Management (SIEM) kombiniert Security Information Management (SIM) und Security Event Management (SEM). Es sammelt fortlaufend Logdaten von Endpunkten wie PCs oder Servern, Routern, Switches, Anwendungen, Firewalls und weiteren Systemen und wertet sie aus. Ein SIEM ermöglicht damit einen ganzheitlichen Blick auf die IT-Sicherheit. Es korreliert die Meldungen und Alarme in Echtzeit und erkennt somit außergewöhnliche Muster oder Trends, die auf Cyberangriffe hindeuten könnten. Auf Basis der Ergebnisse können Unternehmen schneller und präziser auf einen Cyberangriff reagieren. Ein SIEM nutzt auch Verfahren des maschinellen Lernens (ML) und der künstlichen Intelligenz (KI). SIEM-Tools sind auch als Services aus der Cloud verfügbar.
Interview mit Rüdiger Peusquens, Leiter Cyberabwehr und Lagewesen, Deutsche Telekom
ISG Research hat T-Systems zum führenden Anbieter von Security Services für Großunternehmen und Konzerne gekürt. T-Systems führt den Markt an, sowohl was das Portfolio als auch was die Wettbewerbsstärke angeht. Die Dienstleistungen beziehen sich auf Beratung, Schulung, Integration, Wartung, Support oder Managed Security Services, einer IT-Sicherheitsinfrastruktur durch ein Security Operation Center.
Um sich für die Zukunft zu wappnen, brauchen Unternehmen vier Bausteine: Konnektivität, Cloud und IT-Infrastruktur, Sicherheit und Digitalisierung. Ein Security Operation Center und SIEM sind für Unternehmen wesentliche Bestandteile einer zukunftsfähigen Security Strategie.