Security Operation Center (SOC)

Oberstaatsanwalt Markus Hartmann zur Bekämpfung von Cyberkriminalität

Oberstaatsanwalt Markus Hartmann zur Bekämpfung von Cyberkriminalität Auf virtueller Streife Ute Roos In den letzten Jahren etablierten sich in den Bundesländern bei der Polizei und in der Justiz zentrale Ansprechstellen für Cybercrime, die Unternehmen und Behörden gegen Internetkriminalität beistehen. Oberstaatsanwalt Markus Hartmann berichtet im Interview von seiner Arbeit bei der ZAC NRW.

Markus Hartmann … … ist Oberstaatsanwalt als Hauptabteilungsleiter bei der Staatsanwaltschaft Köln und seit 2016 Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW). Die ZAC NRW führt Cybercrime-Verfahren von herausgehobener Bedeutung. Sie ist darüber hinaus zentrale Ansprechstelle für grundsätzliche, verfahrensunabhängige Fragestellungen aus dem Bereich der Cyberkriminalität für Staatsanwaltschaften und Polizeibehörden Nordrhein-Westfalens und anderer Länder sowie des Bundes. Ferner steht sie als Kontaktstelle für die Zusammenarbeit mit Wissenschaft und Wirtschaft zur Verfügung, soweit dies mit ihrer Aufgabe als Strafverfolgungsbehörde vereinbar ist. Auf der diesjährigen von iX, heise Events und eco veranstalteten Sicherheitskonferenz Internet Security Days (Programm und Anmeldung siehe ix.de/ix1809078) wird Oberstaatsanwalt Markus Hartmann die Abschlusskeynote halten.

In Nordrhein-Westfalen entstand 2014 die Zentral- und Ansprechstelle Cybercrime Köln, die 2016 in der neu geschaffenen Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) aufging. Auch in anderen Bundesländern wurden ähnliche Ansprechstellen in der Justiz und bei der Polizei eingerichtet, an die sich Unternehmen und Behörden bei konkreten Sicherheitsvorfällen wenden können. Sie haben unter anderem Beratungs- und Vermittlungsfunktionen, beispielsweise in der Zusammenarbeit mit Sicherheitsbehörden (eine Liste der polizeilichen Ansprechstellen ist unter ix.de/ix1809078 zu finden).

Die ZAC NRW, die Oberstaatsanwalt Markus Hartmann leitet, ermittelt auch selbst und nimmt innerhalb der Justiz in Nordrhein-Westfalen einige spezielle Funktionen wahr. Sie ist erreichbar unter oder 0221 477-4922 (24/7-Hotline für Unternehmen und kritische Infrastrukturen).

iX: Wie sind die Bundesländer bei der Cybercrime-Bekämpfung aufgestellt?

Hartmann: Die jeweiligen Organisationsformen der Justiz sind – dem Föderalismus geschuldet – von Bundesland zu Bundesland unterschiedlich. Jedoch gibt es flächendeckend zentrale Organisationseinheiten, die die herausgehobenen, komplexen Cybercrime-Fälle bearbeiten. Für Nordrhein-Westfalen ist die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen, ZAC NRW, zuständig.

Worin bestehen die Aufgaben der Zentralstelle?

Wir sind eine operative, bei der Staatsanwaltschaft Köln angesiedelte Hauptabteilung mit sechs Dezernaten. Unsere wichtigste Aufgabe ist die Führung von herausgehobenen Ermittlungsverfahren. Das sind solche, die sich durch verschiedene Kriterien vom Normalfall der Cyberkriminalität unterscheiden, etwa weil die Tatdurchführung technisch besonders komplex ist oder von organisierter Cyberkriminalität verübt wird. Daneben fungieren wir als Ansprechstelle für die Polizei, andere Sicherheitsbehörden und Gerichte in Fragen der Cyberkriminalität. Außerdem ist uns die Aufgabe einer Kontaktstelle für Wissenschaft und Wirtschaft zugewiesen.

Das technisch Mögliche mit dem juristisch Erlaubten in Einklang bringen

Wie würden Sie Ihre Arbeit beschreiben?

Zuallererst ist die Arbeit eine juristische. Die Staatsanwältinnen und Staatsanwälte der ZAC NRW verantworten die Führung der Ermittlungsverfahren. Sie beantragen etwa Durchsuchungsbeschlüsse und Haftbefehle bei Gericht und verfassen gegebenenfalls Anklageschriften. Dazu gehört aber immer auch ein erheblicher Anteil technischer Kompetenz, um das, was Strafverfolger technisch können, und das, was sie rechtlich dürfen, in Einklang zu bringen.

Was ist das Besondere der ZAC NRW?

Die ZAC NRW arbeitet interdisziplinär und vernetzt. Wir versuchen, möglichst umfassende technische Kompetenzen in der Zentralstelle vorzuhalten. So haben wir etwa einen Wirtschaftsreferenten, der als Wirtschaftswissenschaftler auf Finanzermittlungen in Kryptowährungen spezialisiert ist. Gleichzeitig ist uns aber klar, dass wir nie für jedes technische Problem eine Inhouse-Lösung haben werden. Deswegen kooperieren wir sehr eng mit den spezialisierten Polizeidienststellen, etwa des Landeskriminalamtes oder des Bundeskriminalamtes.

Ebenso vertrauen wir aber auf die Kooperationen mit der Wirtschaft. Wenn Sie etwa in einem Unternehmensrechenzentrum sachgerecht Daten sichern wollen, sind Sie stets auf eine vernünftige Zusammenarbeit mit den lokalen Administratoren angewiesen.

Mit welchen Behörden, Unternehmen, Institutionen und so weiter arbeiten Sie beziehungsweise die ZAC NRW zusammen?

Grundsätzlich sind wir für jede Zusammenarbeit offen, soweit diese mit unserer Rolle als Strafverfolgungsbehörde vereinbar ist. Cybercrime-Bekämpfung kann nur erfolgreich sein, wenn sie als „Shared Mission“ verstanden wird. Je nach Fallkonstellation setzen wir uns mit den erforderlichen Kooperationspartnern zusammen. Das können Universitäten ebenso sein wie private IT-Sicherheitsfirmen oder andere Behörden, etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ganz wichtig ist für uns aber auch die Vernetzung mit den Cybercrime-Zentralstellen der Justiz aus anderen Bundesländern. Wenn sich in einem Fall herausstellt, dass die Tatortzuständigkeit eigentlich in Hessen oder Bayern liegt, kann ich ein betroffenes Unternehmen innerhalb weniger Minuten an meine Kollegen der dortigen Zentralstellen weitervermitteln. So ist sichergestellt, dass kein Sachverhalt in Zuständigkeitsfragen untergeht.

Wer tritt eigentlich an Sie oder Ihre Abteilung heran und mit welchen Problemen, Fragen oder Vorfällen?

Unsere Zuständigkeit für herausgehobene Cybercrime-Fälle bringt es mit sich, dass Anzeigenerstatter häufig größere Unternehmen, Behörden oder Betreiber kritischer Infrastrukturen sind. Wenn der Fall hinreichend komplex ist, führen wir aber auch Ermittlungen wegen Straftaten, die gegen „normale Bürger“ verübt werden.

Viele unserer Ermittlungsverfahren beginnen aber auch durch Initiativ-Ermittlungen der Polizeibehörden. Besonders im Cybercrime-Bereich hat die Polizei in den letzten Jahren massiv an Ressourcen und Kompetenz hinzugewonnen. In den Cybercrime-Dienststellen der großen Polizeibehörden erlebe ich immer wieder technisch ganz herausragende Beamte, die sich mit Experten aus der Wirtschaft ohne Weiteres messen können.

Wie ist die Erfolgsquote?

Das letzte veröffentlichte polizeiliche Lagebild für Nordrhein-Westfalen für das Jahr 2017 verzeichnet im Kernbereich der Cyberkriminalität eine Aufklärungsquote von 35,8 %. Eine eigene Statistik der ZAC NRW wird derzeit nicht erhoben.

In unserem Geschäft muss man auch verlieren können

Gibt es Grund zum Optimismus und woraus zieht man die Motivation, auf diesem Feld die Kriminellen zu bekämpfen?

Bei der Aufklärungsquote ist sicherlich noch Luft nach oben. In unserem Geschäft muss man auch verlieren können. Das bringt die technische Komplexität der Fälle manchmal leider mit sich. Mir ist allerdings kaum ein Fall erinnerlich, in dem wir nicht zumindest den Tathergang haben klären können. Auch das halte ich für einen Erfolg, denn mit den Erkenntnissen zur Angriffsweise kann man andere potenzielle Opfer vorwarnen.

Ihre größten Erfolge und Misserfolge?

Für einen Staatsanwalt ist es immer schwer, über seine Fälle detailliert zu sprechen, denn die Anzeigenerstatter und Geschädigten müssen sich auf den vertraulichen Umgang mit ihren Belangen verlassen können. Würde ich zum Beispiel einzelne Ermittlungserfolge bei unternehmensbezogener Cyberkriminalität öffentlich ausführlich kommentieren, würde dies die Anzeigebereitschaft zukünftiger Betroffener sicher negativ beeinflussen.

Wir haben uns in unserer Arbeit einige Schwerpunkte gesetzt. Einer davon ist die Bekämpfung der Darknet-Kriminalität, denn der Handel mit Drogen und Waffen verlagert sich immer mehr ins Netz. Ich freue mich sehr, dass wir in zahlreichen Verfahren Darknet-Drogendealer und -Waffenschieber haben erfolgreich anklagen können.

Wir engagieren uns aber auch in Querschnittsthemen. Eines der Dezernate der ZAC NRW befasst sich etwa mit der Bekämpfung der Hasskriminalität im Netz. Unser Motto ist hier „Verfolgen statt nur Löschen“. Dazu arbeiten wir mit der Landesanstalt für Medien NRW, dem Landeskriminalamt NRW und verschiedenen Medienunternehmen zusammen.

Wie schätzen Sie die weiteren Entwicklungen auf dem Gebiet Cybercrime ein?

Es wird nicht weniger. Und leider auch nicht einfacher. Wir sehen zunehmend zielgerichtete, hochkomplexe Kompromittierungen und Angriffe aus dem Graubereich zwischen organisierter und drittstaatlich induzierter Cyberkriminalität. Für die Strafverfolger ist es eine Herausforderung, ihre Handlungsfähigkeit in diesem Umfeld zu bewahren. Umso mehr freut es mich, dass die ZAC NRW zum Jahresanfang 2018 erheblich verstärkt worden ist. Bald werden wir mit 21 spezialisierten Staatsanwältinnen und Staatsanwälten Cyberkriminalität verfolgen.

Sind Sie besorgt um die deutsche Wirtschaft und die kritischen Infrastrukturen hierzulande?

Bei dieser Frage muss ich zurückhaltend antworten, da ich naturgemäß immer nur die Fälle sehe, in denen etwas schiefgegangen ist. Die Qualität der Angriffe ist in der letzten Zeit jedoch deutlich gestiegen, sodass eine gesunde Sorge berechtigt ist.

Cybersicherheit ist eine Dauerbaustelle

Wie schätzen Sie die IT-Sicherheit und Wehrhaftigkeit der deutschen Wirtschaft und der Betreiber kritischer Infrastrukturen ein?

Im Unterschied zu der Situation vor einigen Jahren haben wir meiner Wahrnehmung nach kein Awareness-Problem mehr. Die Unternehmen wissen, dass sie einer ständigen Bedrohung durch Cyberkriminelle ausgesetzt sind. Leider handeln nicht alle nach dieser Erkenntnis, weil Cybersicherheit immer auch Geld und Mühe kostet.

Ich wünsche mir aus den Erfahrungen unserer Ermittlungsverfahren, dass die Unternehmen mehr in qualifizierte Sicherheitsmaßnahmen investieren und verstehen, dass Cybersicherheit nicht schon mit dem Kauf von Produkt X oder der Anschaffung von Appliance Y gewährleistet ist. Cybersicherheit ist eine Dauerbaustelle.

Gibt es Aufklärungs- und Handlungsbedarf in der Bevölkerung und der Wirtschaft?

Eindeutig ja! Cyberkriminalität entwickelt sich dynamisch. Was heute noch ein Angriffsszenario ist, wird morgen durch etwas ganz anderes abgelöst. Hier muss die Wirtschaft Schritt halten. Mit Blick auf die Bevölkerung sehe ich aber auch die Hersteller von Hard- und Software in der Pflicht, bessere, das heißt sicherere Produkte anzubieten. Ich glaube nicht, dass wir von „Otto Normaluser“ verlangen können, sich detailliert mit Schwächen im Design von Prozessoren auseinanderzusetzen.

Ist das rechtliche Instrumentarium ausreichend für eine Verfolgung von Cyberkriminellen?

Auf die Frage gibt es keine einfachen Antworten. Es ist ausgesprochen komplex, einen vernünftigen und sachgerechten Ausgleich zwischen den Erfordernissen wirkungsvoller Strafverfolgung und grundrechtlichen Positionen im Internet herzustellen. Klar ist: Das Internet ist kein rechtsfreier Raum. Wo sich Ansätze zeigen, dass Strafverfolgung nicht mehr durchdringt, muss der Gesetzgeber nachjustieren. Die Vorschriften, nach denen wir heute E-Mails beschlagnahmen, standen fast wortgleich bereits in der ersten Fassung der Strafprozessordnung von 1877. Es ist aus meiner Sicht daher nicht fernliegend, besonders das strafprozessuale Instrumentarium an die Wirklichkeit des digitalen Zeitalters anzupassen.

Wie gestaltet sich die (oft unerlässliche) Zusammenarbeit mit anderen Ländern? Gibt es hier Hindernisse?

Die Verbesserung der Zusammenarbeit bei der Rechtshilfe ist aus meinem Erleben eine der Erfolgsgeschichten der jüngeren Zeit. Die ZAC NRW arbeitet mit vielen Ermittlungsbehörden ausländischer Staaten vertrauensvoll zusammen. Wenn es die Sache erfordert, können wir auf Basis dieser Zusammenarbeit binnen weniger Stunden Maßnahmen durchführen.

Gerade bei der Frage des transnationalen Datenzugriffs ist durch den US-amerikanischen CLOUD Act und die jüngeren Vorschläge der EU-Kommission erhebliche Bewegung in die rechtspolitische Diskussion gekommen. Ich bin hoffnungsvoll, dass die Möglichkeiten der internationalen Zusammenarbeit kurzfristig weiter verbessert werden können. (ur@ix.de)

Social Media Hacking: So nutzen Cyberkriminelle die sozialen Medien!

Beim Social Media Hacking nutzen Cyberkriminelle die sozialen Medien zum Cyberangriff. Bei dem Angriff auf die Informationssicherheit werden ganze Accounts gekapert oder ausspioniert. Die Hacker gehen dabei in der Regel äußerst geschickt vor. Sie zielen sowohl auf private Accounts als auch auf die Social Media Accounts von Unternehmen und deren Beschäftigten. Problematisch ist dabei, dass auch die Plattformen selbst mitunter Schwachstellen aufweisen. Vielen Usern ist auch nach Jahren noch der Datenskandal um die Firma Cambridge Analytica im Gedächtnis. Hier hatten Cyberkriminelle ebenfalls Facebook bzw. Social Media genutzt, um in großem Stil Daten abzugreifen.

Social Media Hacking: Was ist das überhaupt?

Der Begriff Social Media Hacking unterliegt keiner festen Definition. Allgemein versteht man darunter in der Informationssicherheit den Angriff von Cyberkriminellen auf User von sozialen Netzwerken wie Facebook, Instagram oder auch LinkedIn. Dreh- und Angelpunkt ist dabei zum einen das typische Verhalten der User, über die sozialen Medien persönliche Informationen öffentlich zu posten. Zum anderen spielt für die Cyberkriminellen beim Social Media Hacking eine große Rolle, dass User über Social Media leichter manipulierbar sind.

Wer beispielsweise auf Facebook einen Einblick in persönliche Informationen wie Geburtstag, Familienstand, berufliche Situation oder Freund:innen gewährt, wird tendenziell eher zum Opfer von Social Media Hacking. Für die Cyberkriminellen bietet sich dann nämlich die Möglichkeit, Personen aus dem sozialen Umfeld des Opfers zu imitieren und so weitere, unter Umständen noch brisantere, Daten zu erfragen.

Wie erkenne ich Social Media Hacking?

Durch das Social Media Hacking verfolgen Cyberkriminelle in der Regel das Ziel, sich Zugang zum IT-System des Opfers oder zu dem Unternehmen dahinter zu verschaffen. Meistens geht es darum, sich die entsprechenden Informationen über ein vermeintliches Vertrauensverhältnis zu erschleichen. Dazu gehören Passwörter und Zugangsdaten ebenso wie persönliche Informationen. Üblicherweise wird durch die Angreifer:innen dazu ein Szenario erschaffen. Die Inszenierung ist dabei so überzeugend, das im Anschluss daran der eigentliche Angriff ohne Probleme stattfindet.

Auffällig ist beim Social Media Hacking der Einsatz von psychologischen Tricks. Die anvisierten Opfer werden in eine Euphorie- oder Krisensituation versetzt. Beispiel: Eine Behörde meldet sich wegen eines angeblichen, schwerwiegenden Vergehens. In diesen Situationen sollten User kühlen Kopf bewahren und die Informationen grundsätzlich bei der zuständigen Stelle hinterfragen. Grundsätzlich gilt: Geben Sie niemals sensible Daten wie Passwörter und geheime Zugangsdaten heraus.

Wie können Unternehmen Angriffe proaktiv verhindern?

Wer in der Lage ist, Social Media Hacking zu erkennen, kann sich vor einem Angriff auf die Informationssicherheit schützen. Das gilt gerade besonders für Unternehmen. Schulungen im Bereich IT-Sicherheit sind für Mitarbeitende unverzichtbar, wenn Sie Ihr Unternehmen vor jeder Art schützen wollen. lawpilots schult Ihre Belegschaft mit innovativen E-Learnings zu Cyberangriffen auf Unternehmen und klärt darüber auf, wie sich diese nachhaltig vermeiden lassen. Angesichts der Bandbreite an Bedrohungen ist es wichtig, dass Weiterbildungen gerade auch aktuelle IT-Security Trends aufgreifen. Nur so können Sie aktiv wirtschaftlichen Schäden durch digitale Attacken entgegenwirken.

Neben der Qualifizierung der Belegschaft haben Unternehmen über die IT-Infrastruktur zusätzliche Optionen, um sich gegen Cyberangriffe zu wappnen. Allerdings sollte den Beteiligten klar sein, dass die beste Soft- bzw. Hardware wirkungslos bleibt, wenn die Schwachstelle Mensch keine Berücksichtigung erfährt. Übrigens gehören zur IT-Infrastruktur auch private Computer, Notebooks sowie mobile Endgeräte. Auch hier sollten Sicherheitsmaßnahmen in gleichem Umfang vorhanden sein wie im Firmennetzwerk und den daran angebundenen Komponenten.

Welche Schutzmaßnahmen gibt es noch?

Schulungen für Mitarbeitende sind das Mittel der Wahl, um das eigene Unternehmen vor Cyberangriffen wie Social Media Hacking, Phishing oder Malware zu schützen. Aber auch technisch lässt sich schon durch Kleinigkeiten das Sicherheitsniveau optimieren. Dazu gehören Maßnahmen wie

Passwortsicherheit erhöhen : Die Passwortsicherheit schließt relevante Lücken in der IT-Sicherheit. Sie liegt in der Verantwortung jedes einzelnen Users und wird oft vernachlässigt. Studien zeigen, dass rund 59% aller Internetnutzer ihre Passwörter mehrfach verwenden. Rund 21% aller User nutzen persönliche Informationen wie Geburtstage, Spitz- oder Kosenamen oder auch den Namen des eigenen Haustiers. Häufig sind diese Daten öffentlich in den Accounts der sozialen Medien zu finden.

: Die Passwortsicherheit schließt relevante Lücken in der IT-Sicherheit. Sie liegt in der Verantwortung jedes einzelnen Users und wird oft vernachlässigt. Studien zeigen, dass rund 59% aller Internetnutzer ihre Passwörter mehrfach verwenden. Rund 21% aller User nutzen persönliche Informationen wie Geburtstage, Spitz- oder Kosenamen oder auch den Namen des eigenen Haustiers. Häufig sind diese Daten öffentlich in den Accounts der sozialen Medien zu finden. Einführung der Zwei-Faktor-Authentifizierung : Nicht nur für die sozialen Medien, sondern auch für andere Dienste bietet sich die Zwei-Faktor-Authentifizierung (kurz: 2FA) an. Sie fordert zusätzlich zu den Anmeldedaten einen Code, der entweder über das mobile Endgerät verschickt oder über eine spezielle App erzeugt wird. Mit der Zwei-Faktor-Authentifizierung können Hacker selbst mit dem richtigen Passwort keinen Zugang zu dem jeweiligen Account erlangen, sondern sind für den Login auf die Bestätigung per Code angewiesen.

: Nicht nur für die sozialen Medien, sondern auch für andere Dienste bietet sich die Zwei-Faktor-Authentifizierung (kurz: 2FA) an. Sie fordert zusätzlich zu den Anmeldedaten einen Code, der entweder über das mobile Endgerät verschickt oder über eine spezielle App erzeugt wird. Mit der Zwei-Faktor-Authentifizierung können Hacker selbst mit dem richtigen Passwort keinen Zugang zu dem jeweiligen Account erlangen, sondern sind für den Login auf die Bestätigung per Code angewiesen. Vorsicht vor Cyberattacken via Messenger-Telefonie: Auch über Messenger-Dienste der sozialen Medien versuchen Cyberkriminelle ihr Glück. Mittlerweile bietet fast jedes soziale Netzwerk einen eigenen Telefondienst über das Internet. Wer dort im Vertrauen auf die Identität des Gegenüber vertrauliche Informationen weitergibt, wird schnell zum Opfer von Hackern. User sollten auch hier ein gesundes Misstrauen an den Tag legen und prinzipiell von der Weitergabe von Informationen und Zugangsdaten absehen.

Fazit

Unternehmen sind immer wieder Zielscheibe von Cyberattacken. Social Media Hacking hat erfahrungsgemäß in jenen Unternehmen Erfolg, in denen eine unzureichende Expertise der Belegschaft in Bezug auf die IT-Security vorliegt. Das muss nicht sein: Mit den Online-Schulungen von lawpilots stärken Sie die Cyberresilienz in der Belegschaft. Dabei geht es auch um den Austausch zwischen den zuständigen Behörden und dem Unternehmen sowie um die individuell passende IT-Infrastruktur. Mehr zu dem Thema erfahren Sie zudem in unserem kostenlosen Whitepaper „Cyberangriffe verhindern„.

lawpilots ist Marktführer in E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Belegschaft im Bereich Informationssicherheit sowie in den Bereichen Datenschutz, Compliance und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitende Ihr Unternehmen aktiv vor Schäden und Cyberattacken schützen und digitale Angriffe schon frühzeitig identifizieren.

Security Operation Center (SOC)

Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand

Stetig steigende Gefahrenlage durch Cyberattacken

Die stetige Weiterentwicklung der Digitalisierung und der zunehmenden Vernetzung sämtlicher Geschäftsprozesse innerhalb und außerhalb des Unternehmens ergeben sich viele Chancen und Effizienzpotenziale. Die zunehmende Vernetzung und die veränderten Arbeitsweisen der Mitarbeiter eröffnen jedoch auch neue Einfallstore für externe, aber auch interne Angreifer, die es auf die Daten des Unternehmens abgesehen haben oder andere Ansätze der Cyberkriminalität verfolgen.

Den Statistiken zu Folge wurden bereits über ein Viertel aller Mittelständler bereits Opfer eines Cyberangriffs. Typische Folgen dieser Angriffe sind u.a.

Unterbrechung der Lieferkette durch Störung der IT-Systeme oder Netzwerke

Produktionstops durch Ausfall von IT-Systemen

Lösegeldzahlungen durch Verschlüsselung oder (Ransomware)

Diebstahl von Unternehmensdaten

Imageschäden und Datenschutz-Verstöße

Insbesondere die enorme Vielzahl and Neuentwicklungen und leichte Verfügbarkeit von Tools und Software zur Durchführung von Angriffen macht es Unternehmen schwer, sich gegen jede Art von Angriffen zu wappnen und die Unternehmenswerte zu schützen.

Herausforderungen für den Mittelstand

Die große Mehrzahl der mittelständigen Unternehmen ist sich dabei der Gefahren durch Cyberangriffe durchaus bewusst. Allerdings fällt es ihnen schwer, aufgrund von Know how-Defiziten und Restriktionen bei personellen Ressourcen sowie begrenzten Budgets für das Thema Informationssicherheit angemessen gegen die Gefahren abzusichern.

Die meisten kleinen Unternehmen und Mittelständler sind daher im Hinblick auf die Absicherung gegen Cyberkriminalität nicht optimal aufgestellt und haben kein Gesamtkonzept. Bei vielen sind sogar grundlegende Absicherungen nicht durchgängig implementiert, veraltet oder weisen aufgrund des Fehlens eines ganzheitlichen Konzepts Lücken auf und sind entsprechend leicht angreifbar.

Auch wenn sich Unternehmen dieser Lage bewusst sind, wird das Risiko, Opfer eines Cyberangriffs zu werden oftmals in Kauf genommen, sei es aus Scheu vor den erforderlichen Investitionen für Informationssicherheit oder frei nach dem Motto „bei uns ja noch nie was passiert“ oder „bei uns gibt es doch eh nichts zu holen“.

Sofern die Notwendigkeit zum Handeln erkannt wurde, stellt sich jedoch schnell die Frage nach dem geeigneten Gesamtkonzept sowie den erforderlichen Kosten zum Erreichen eine optimalen Schutzniveaus.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) – bietet hier einen Lösungsansatz, der durch den SOC-Dienstleister flexibel an die Anforderungen jedes Unternehmens angepasst werden kann, und nicht zwangsläufig den Aufbau von zusätzlichem internen Personal für Informationssicherheit notwendig macht.

Allerdings ist es erforderlich, dass sich jedes Unternehmen im Vorfeld darüber klar wird, welche Themen und Bereich der Informationssicherheit im Unternehmen verbleiben sollen, was die konkreten Anforderungen an den externen SOC-Dienstleister sind und welches Servicemodell die Bedürfnisse des Unternehmens am besten abdeckt.

SOC – Was kann ein Security Operation Center leisten?

Ein SOC ist vordergründig eine Zentrale für alle sicherheitsrelevanten Services im IT-Umfeld von Unternehmen oder anderen Organisationen und schützt die IT-Infrastruktur und Daten vor externen, aber auch vor interne Gefahren, z.B. durch Mitarbeiter. Das SOC fungiert somit als Leitstelle für die Steuerung aller Aktivitäten zur Gewährleistung der Informationssicherheit.

Hierfür werden im SOC alle sicherheitsrelevanten Systeme wie z.B. Server, physische und virtuelle Netzwerkinfrastrukturen, Arbeitsplatzrechner und Internetdienste weitgehend automatisiert überwacht und die zugrundliegenden Aktivitäten analysiert und auf Auffälligkeiten geprüft.

Sofern bei diesen kontinuierlichen automatisierten Prüfungen und Analysen sicherheitsrelevante Auffälligkeiten identifiziert werden, werden diese – sofern nicht automatisch beseitigt – umgehend manuell geprüft, und bei bestätigten Cyber-Angriffen und Sicherheitsvorfällen geeignete Gegenmaßnahmen eingeleitet.

Durch die detaillierte Dokumentation ist es jederzeit möglich, Vorfälle genau nachzuvollziehen, außerdem gewährleistet dies die jederzeitige Auskunftsfähigkeit und Nachweisfähigkeit im Hinblick auf die Einhaltung von Datenschutz und regulatorischen Anforderungen (Compliance).

Welche Aufgaben kann ein SOC übernehmen?

Je nach Anforderungslage kann ein SOC unterschiedliche Aufgaben übernehmen. Typische Aufgabenbereiche sind dabei:

Zentrale Sammlung relevanter Logdaten (Zugriffe, Datenübertragung, Datenveränderungen, Nutzeraktivitäten, Anwendungsüberwachung, etc.)

Automatisierte real time Analyse und Korrelation der Überwachungsdaten

Manuelle Analyse und Verifikation von Auffälligkeiten

Alarmierung bei konkreten Verdachtsfällen und Attacken

Abwehrmaßnahmen und Schadensbegrenzung bei Cyberattacken

Laufende Integration aktueller Bedrohungsdaten (Threat Intelligence)

Kontinuierliche Optimierung der Absicherung der IT-Umgebung

Security-Assessments und Penetration-Tests

Unterstützung bei forensischen Analysen im Schadenfällen

Unterstützung bei Sicherheits-spezifischen Fragen und Compliance

Detailliertes Reporting über Dashboard und KPIs

Dier Umfang der an den Dienstleister ausgelagerten Aufgabenbereiche ist dabei abhängig vom konkreten Betreibermodell bzw. dem Split der Aufgaben zwischen Unternehmen und SOC-Dienstleister.

Was sind die konkreten Vorteile für Unternehmen?

Für die Umsetzung eines SOC können je nach konkreter Anforderungslage verschiedene Service- Modelle der Zusammenarbeit definiert werden. Grundsätzlich besteht dabei die Möglichkeit ein SOC vollständig innerhalb eines Unternehmensverbunds zu betreiben, allerdings ist dieses Modell aus Kostengründen vorzugweise für größere, verteilte Unternehmen sinnvoll.

Für mittelständige und kleine Unternehmen bietet sich eher die vollständige Übergabe der Security-Dienstleistung oder die teilweise Auslagerung (hybrides Betriebsmodell, SOC as a Service) an einen externen SOC-Dienstleister an. Die Vorteile der Nutzung eines SOC liegen dabei klar auf der Hand:

Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten

Schutz gegen die aktuelle Bedrohungslage durch Threat Intelligence

Kontinuierliche Dokumentation und Nachvollziehbarkeit

Kein Aufbau von internem Personal erforderlich

Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen

Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Fazit

Die Auslagerung von notwendigen Überwachungsmaßnahmen und Aktivitäten für die Informationssicherheit an ein externes Security Operation Center bringt die Informationssicherheit von mittelständigen Unternehmen auf ein hohes Niveau – und das bei überschaubaren Kosten und geringem Ressourceneinsatz. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Voraussetzung dafür sind jedoch eine saubere und objektive Statusaufnahme zur Informationssicherheit im Unternehmen sowie die Definition des Zielzustands mit den daraus abgeleiteten Sicherheitsanforderungen an die Unternehmens-IT.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels