Fünfzig Experten überwachen und verteidigen rund um die Uhr Firmennetzwerke von Kunden. Was Roger Federer mit Cyberkriminellen zu tun hat und wer die Unternehmen im Land vor Hackerangriffen schützt – zu Besuch im Sicherheitszentrum von Swisscom in Zürich.
Text: Flavian Cajacob, Bilder: Michele Limina, Erschienen in der NZZ Verlagsbeilage vom 9. November 2017, aktualisiert am 20. Januar 2021
Bei drei Türen in Folge lässt es Markus Kaegi klicken, bei der vierten versagt sein Badge. «Hier komme selbst ich nicht rein», sagt der Product Manager Security Services bei Swisscom, «das ist Sicherheitslevel 4. Zutritt nur für Mitarbeitende des Security Operation Center. » Fünfzig an der Zahl sind das insgesamt, alles absolute Meister ihres Faches – ihr Chef: Nemanja Mitic.
Ein smarter junger Mann mit Vollbart, der seinerseits nun die Schleuse von innen her öffnet und sich quasi herab begibt auf Sicherheitslevel 3. «Wer in meinem Team arbeiten will, der wird auf Herz und Nieren geprüft – fachlich, menschlich und, natürlich, was seinen Leumund anbelangt.» Will heissen: Wer der Personensicherheitsprüfung des Bundes nicht genügt, bekommt auch keinen Job im Security Operation Center (SOC) von Swisscom in der Zürcher Binz.
Für einen Grossteil der Schweizer Unternehmen ist Internetkriminalität bereits Realität. Betroffen sind nicht nur die grossen Konzerne, sondern immer mehr mittlere und kleinere Betriebe. Gemäss einer neuen Studie von KPMG sind neun von zehn der befragten Schweizer Firmen in den letzten Monaten Opfer von Cyberattacken geworden. Gegenüber dem Vorjahr entspricht dies einer Zunahme um 34 Prozent. Eine weitere Erhebung, diesmal von EY, hat zudem aufgedeckt, dass lediglich zwei Fünftel der befragten Betriebe hierzulande überhaupt in der Lage sind, komplexe Cyberangriffe aufzudecken.
Es sind Zahlen, die beeindrucken, doch sie überraschen nicht. Denn die Überwachung und der Schutz der eigenen Firmennetzwerke werden immer umfangreicher und komplexer. «Kosten, Kapazitäten, Know-how – das alles kann ein Unternehmen rasch einmal überfordern», stellt Kaegi nüchtern fest. Überforderung als Grund, bei der eigenen Sicherheit auf die Bremse zu treten? Ein schlechter Antrieb wohl.
Cybergefahren gibt es viele (siehe Kasten). Mitic entfernt auf Knopfdruck die Sichtblende, die die Mitarbeitenden im SOC vor den Blicken jener schützt, die im Konferenzzimmer nebenan sitzen. Er meint: «Wir arbeiten hier rund um die Uhr, und das sieben Tage die Woche. Glauben Sie mir, langweilig wird es uns nie!» Sein Kollege Kaegi präsentiert ein paar weitere Zahlen. Demnach blockieren die Sicherheitsexperten von Swisscom jeden Monat im Schnitt 2250 Phishing- Attacken und entdecken 1300 Angriffe mit Schadsoftware.
Gross kommuniziert werden solche erfolgreich durchgeführten Abwehraktionen nicht. «Wir Schweizer behalten es lieber für uns, wenn einmal etwas Unangenehmes wie ein Cyberangriff passiert, das liegt in unserer DNA», führt Markus Kaegi aus. Das sei einerseits absolut nachvollziehbar, andererseits aber auch ein Schuss ins eigene Knie. «Gerade im Kampf gegen die Cyberkriminalität würde ein bisschen Transparenz allen dienen.» Angriffe auf Firmennetzwerke könnten so rascher und flächendeckend abgewehrt werden, und die ausgewerteten Daten könnten Aufschluss über weitere geplante Attacken liefern.
Mit jugendlichen Hackern, die in der Öffentlichkeit erstaunlicherweise Bewunderung geniessen, hat das Ganze längst nichts mehr zu tun. «Wir haben es mit professionell organisierten Strukturen zu tun, Cyberkriminalität hat inzwischen industrielle Ausmasse angenommen», betont Kaegi. Swisscom tritt solchen Machenschaften im Netz mit einem umfassenden Portfolio an Managed Security Services (MSS-i) entgegen. Diese können je nach Bedarf modular zusammengestellt werden. Der Kunde stellt sich ein Paket zusammen, das den Schutz von IT-Infrastruktur und digitalen Geschäftsprozessen sicherstellt.
Im Security Operation Center in der Zürcher Binz kommt Stimmung auf. Von Hektik zu sprechen, wäre übertrieben. Auf einem der grossen Bildschirme, die unter anderem gerade stattfindende Cyberattacken zeigen, ploppt das Dossier eines Kunden auf. Das bedeutet, dass die intelligente Überwachungsplattform einen Zwischenfall registriert und für einmal erfolglos zu bekämpfen versucht hat – nun wird der Angriff vom automatischen Abwehrsystem als bedrohlich eingestuft. Die Security Analysten treten auf den Plan, zwei Männer und eine Frau stecken die Köpfe zusammen, beraten das weitere Vorgehen. «Es ist immer ein Zusammenspiel von Mensch und Maschine», erklärt Nemanja Mitic. «Jetzt muss es schnell gehen, während meine Kollegen an einer Lösung arbeiten, wird der Kunde über den Vorfall informiert.» Auf einem Dashboard kann dieser das Geschehen in Echtzeit mitverfolgen.
Nicht immer ist ein krimineller Akt Auslöser für den Alarm. Mitic nennt ein Beispiel aus der Praxis: «Wenn Roger Federer Tennis spielt, dann wollen die Leute in den Büros mit dabei sein.» Also verfolgen sie das Geschehen auf dem Firmencomputer online. Der Leiter des SOC schmunzelt. «Und dann gibt es halt Netzwerke, die die übermässige Belastung als gezielte Attacke auf den IT-Service interpretieren.»
Der Hackerangriff, der die Experten beschäftigt hat, ist inzwischen abgewehrt. Der Kunde war Opfer einer Phishing-Attacke geworden. Die Swisscom-Firewall vermochte allerdings die Malware zu blockieren – dank den Security-Agenten konnte ein Schaden abgewendet werden. Der Kunde erhält nun einen ausführlichen Rapport, die Analysten gönnen sich einen Schluck Tee. Niemand weiss, wann der nächste Ernstfall eintritt.
Auf den grossen Screens an der Wand des Security Operation Center erscheint die Liste der abzuarbeitenden Tasks. Nebenan spricht der amerikanische Präsident. Und auf einem dritten Bildschirm kreuzen sich weisse Linien, die gerade laufende Cyberattacken in aller Welt anzeigen. Mitic aktiviert die Sichtblende: Ende der Vorstellung. «Wir sind ein bisschen wie die Türsteher vor einem angesagten Klub», erklärt er und schickt sich an, Sicherheitslevel 3 in Richtung Sicherheitslevel 4 zu verlassen. «Wir verwehren denjenigen den Eintritt, die Probleme machen könnten. Und schmeissen jene raus, die randalieren.»
Die Melde- und Analysestelle Informationssicherung des Bundes (Melani) macht eine Vielzahl von Cyber-Gefahren aus, denen Unternehmen ausgesetzt sind:
Schwachstellen in der digitalen Infrastruktur – fehlende Verschlüsselung bei einer Internetverbindung oder schwache Passwörter beispielsweise – werden von Cyberkriminellen ausgenutzt, um vertrauliche Informationen abzugreifen und weitere Angriffe vorzubereiten. Betroffen sind nicht nur staatliche Betriebe, sondern auch Unternehmen, deren Know-how gestohlen und missbraucht wird.
Vertrauliche Daten werden gestohlen. Der externe Angreifer erpresst in der Folge das Unternehmen damit, diese zu veröffentlichen beziehungsweise zu kopieren und weiterzuverbreiten. Ob die Behauptung stimmt oder nicht, ist schwer zu eruieren, deshalb bezahlen viele betroffene Unternehmen im Zweifelsfall die erpresste Summe.
Bezeichnete Attacken zielen darauf ab, die Verfügbarkeit eines ITServices wie einer Website oder eines Webshops einzuschränken und den ITService abstürzen zu lassen. Diese Attacke kann auch mit Erpressung verknüpft sein. Ausgenutzt werden hauptsächlich IT-Services mit eingeschränkter Belastbarkeit oder fehlender Überwachung des Datenverkehrs.
Nutzer werden mit psychologischen Tricks getäuscht und zu gefährlichen IT-Aktivitäten verleitet. Social Engineering nutzt die «Schwachstelle» Mensch aus. Dazu gehört, Opfer zeitlich unter Druck zu setzen, etwa mit «Loggen Sie sich sofort ein, da sonst Ihr Konto gesperrt wird».
Eine Phishing-Attacke verfolgt das Ziel, die Zugangsdaten der Zielperson auszuspähen, indem eine falsche Identität vorgegaukelt wird, zum Beispiel jene der Hausbank. Mittels des erschlichenen Passworts können sich die Cyberkriminellen Zugang zum Online-Banking des Opfers verschaffen.
Bei vielen Cyberattacken kommt Schadsoftware, sogenannte Malware, zum Einsatz. IT Systeme werden manipuliert, Daten ausgespäht, verändert oder gar zerstört. Für das betroffene Unternehmen geht ein solcher Angriff mit dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit der Daten einher.
Mittels Verschlüsselungstrojanern, sogenannter Ransomware, werden die Daten des Opfers verschlüsselt und so unbrauchbar gemacht. Die Cyberkriminellen verlangen Geld und bieten im Gegenzug die Entschlüsselung der Daten an, welche nicht garantiert ist.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?