Cyberkriminelle haben längst nicht mehr nur Grosskunden im Visier, sie haben es auch auf KMU abgesehen. Deshalb ist der Schutz der eigenen IT-Infrastruktur zentral - doch oftmals haben Unternehmen weder das Know-how noch die Ressourcen, um selbst dafür zu sorgen. Security-as-a-Service-Dienstleister bieten einen Ausweg aus diesem Dilemma.
Text: Ladina Camenisch,
Hacker erleben Hochkonjunktur – die Cyberkriminalität ist global auf dem Vormarsch und scheint unaufhaltsam. Experten schätzen den Schaden, den Hacker bis ins Jahr 2021 weltweit anrichten werden, auf rund 6’000 Milliarden US Dollar. Das wäre eine Verdopplung in einem Zeitraum von nur fünf Jahren und entspricht knapp dem Zehnfachen des Schweizer Bruttoinlandsprodukts. Somit ist und bleibt Cyberkriminalität der lukrativste Sektor der Kriminalität.
Eine Studie der ZHAW von Professor Dirk Baier (2019) zeigt, dass die Cyberkriminalität auch in der Schweiz ein gutes Geschäft ist. Zwar sei die Kriminalität hierzulande insgesamt rückläufig, die Cyberkriminalität nehme allerdings zu. Insbesondere Betrugsdelikte wie unbefugte Datenbeschaffung, Eindringen in Datensysteme oder betrügerischer Missbrauch einer EDV-Anlage nehmen zu, heisst es weiter. Auch Swisscom hat in ihrem Security Report 2019 festgehalten, dass allgemein eine Zunahme von gezielten Angriffen zu verzeichnen sei. Dabei lasse sich eine Tendenz weg von eher zufälligen hin zu gezielten Angriffen feststellen, heisst es. Unternehmen seien zunehmend ausgefeilten Angriffsmethoden mit Ransomware, Phishing, Sextortion und Social Engineering ausgesetzt, wird festgehalten.
Behörden und Polizei haben bereits auf diese neue Bedrohungslage reagiert: Die Schweizer Regierung kündigte die Einrichtung mehrerer Cybercrime-Zentren im ganzen Land an, in die unter anderem das Bundesamt für Polizei und die Konferenz der kantonalen Polizeikommandanten involviert sein sollen. Auch die Zusammenarbeit zwischen Polizei und Staatsanwälten sowie regionale Kooperation im Allgemeinen sollen gestärkt werden. Ausserdem wurden in den vergangenen Jahren mehrere tausend Mitarbeiter der Zürcher Kantonspolizei speziell auf die Verfolgung von Cyberkriminalität geschult.
Das sind insgesamt gute Neuigkeiten, trotzdem bleibt die Wahrscheinlichkeit gross, Opfer eines Cyberangriffs zu werden. "Nicht nur Grosskonzerne sind betroffen, sondern auch vermehrt KMU", erklärt Remi Schöb, Leiter Security Operation Center von Swisscom. "Für Firmen bedeuten solche Angriffe nicht nur Geldverluste, sondern oftmals auch ein grosser Imageschaden. "Ihr Ziel ist deshalb, gar nicht erst zu einem Opfer zu werden.
Um sich angemessen zu schützen, braucht es Security-Lösungen mit 7x24-Betrieb, kontinuierlich angepasster Prävention, permanenter Überwachung und Security-Spezialisten, die bei Bedarf sofort eingreifen. Soweit die Theorie. In der Praxis können sich allerdings die wenigsten Firmen eine solch aufwändige Security-Infrastruktur leisten. Ihnen fehlen oft die Mittel, das Wissen und die personellen Ressourcen, um eine eigene Abteilung aufzubauen. Häufig greifen Unternehmen deshalb auf einen der zahlreichen Security-as-a-Service-Dienstleister zurück. Diese Firmen überwachen die IT-Systeme ihrer Kunden und schlagen sofort Alarm, wenn sie etwas Ungewöhnliches entdecken.
Die Vorteile dieser Dienstleister liegen auf der Hand: Firmen können im Baukastenprinzip genau die Sicherheitsservices auswählen, die sie brauchen. Egal ob es sich dabei um eine Grossbank oder ein KMU handelt, Experten wie Swisscom übernehmen den Schutz zu planbaren Kosten und gehen dabei gezielt auf die unterschiedlichen Bedürfnisse ein. Der erste Schritt sei deshalb immer, mit dem Kunden eine Bedürfnisanalyse zu erstellen, erklärt Schöb. Neben Ransomware, Social Engineering und Malvertising gibt es weitere gängige Hacker-Techniken wie DDoS-Angriffe, Browser-Hijacks, Botnets, Rootkits, Trojaner, Viren und Würmer. Gemeinsam wird eruiert, was der Kunde braucht.
Bei Swisscom werden die empfindlichen IT-Systeme ihrer Kunden vom Security Operation Center (SOC) in Zürich aus sorgfältig überwacht – natürlich rund um die Uhr. Der Raum selbst unterliegt strengsten Sicherheitsvorschriften. Eingelassen wird nur, wer eine eingehende Sicherheitsprüfung bestanden hat und dessen Fingerabdruck erkannt wird. Ausserdem ist das SOC Zürich katastrophensicher. Zwei weitere, kleinere SOC von Swisscom befinden sich in Genf und in Bern.
"Der Schutz vor Cyberangriffen ist immer ein Zusammenspiel von Mensch und Maschine", betont Schöb. Bei einer Vorqualifizierung und wenn hinreichend Indikatoren vorliegen, generiert die Threat-Intelligence-Engine einen Alarm. Die Threat-Intelligence ist die Datenbank, in der alle Bedrohungsmuster erfasst werden. Doch für das weitere Vorgehen gibt es kein Standard-Schema, deshalb übernimmt nun einer der rund 25 Mitarbeitenden. "Nachdem der Alarm erfolgt ist, analysieren wir den Angriff und wenden die Bedrohung ab. Manchmal ziehen wir auch Kolleginnen und Kollegen aus anderen Security Abteilungen hinzu, um die Gefahr zu bannen."
Um Gefahren frühzeitig zu erkennen und die richtigen Schlüsse daraus zu ziehen, setzt die Managed Network Security von Swisscom auf zahlreiche verschiedene Faktoren. Denn je exakter und schneller die Spezialisten erfahren, wo welche Gefahren lauern, desto besser können sie handeln und reagieren. Aus diesem Grund folgt Swisscom auch intensiv der nationalen und weltweiten Bedrohungslage und tauscht sich regelmässig mit Partner aus.
Schöb ist überzeugt: In Zukunft werden sogenannte Threat Detection & Response an Bedeutung zunehmen. "Die heute gefragten Produkte – wie wirksame Firewalls, Managed Proxy oder Managed Mail Security – werden schon in wenigen Jahren als Commodity praktisch standardisiert überall integriert sein."
Professionelles Threat Detection & Response erfordert hingegen spezifische Prozesse, Tools, langjährige Erfahrung sowie hochspezialisierte Fachkräfte. Für ein einzelnes Unternehmen ist es kaum machbar, die sich ständig ändernden Cybersecurity-Attacken zu verstehen und entsprechend zu reagieren. Ein spezialisierter Anbieter profitiert jedoch von Skaleneffekten in seiner Threat Intelligence. Mit jeder Bedrohung gegen einzelne Kunden lernen die Experten und sind bereit, wenn andere Firmen ähnlich angegriffen werden.
Ein erfahrener Partner kann also den Schutz der IT-Infrastruktur übernehmen – wie weit der Partner unterstützen soll, entscheidet der Kunde mit dem gewählten Businessmodell selbst. So wird er beispielsweise informiert, sobald sensitive Geschäfts- und Personeninformationen in öffentlichen und geschlossenen Netzen wie etwa im Darknet zu finden sind. Oder er kann ein Security Event Management wählen und erhält dadurch bei bestätigten Sicherheitsvorfällen konkrete Handlungsempfehlungen.
Leider ist die hundertprozentige Sicherheit vor Cyberangriffen eine Illusion. Doch indem sich ein Unternehmen an einen Security-Dienstleister wendet und von seinem Know-how, Ressourcen und Infrastruktur profitiert, verringert es die Wahrscheinlichkeit, Opfer eines Angriffs zu werden, massiv. Schöb: "Jeder, der bereits einmal ins Visier von Hackern geraten ist und empfindliche Verluste erleiden musste, weiss, dass sich diese Investition allemal lohnt."
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
Andere Leser interessierte auch: