„Cybersecurity braucht Prävention und Reaktion“

Angriffe auf Unternehmen und Behörden zeitnah zu entdecken, ist die Aufgabe eines Security Operations Centers. Auch die BWI plant momentan den Aufbau eines eigenen SOCs. Im Interview erklärt Dr. Bernd Eßer, Chief Security Officer der BWI, wie das perfekte Zentrum aussieht und wer es braucht.

Herr Eßer, Cybersecurity ist das Topthema bei Unternehmen und Behörden. Angriffe auf Netzwerke und Server verursachen für Betroffene enormen Schaden. Security Operations Center (SOC) sollen genau das verhindern, indem sie Attacken frühzeitig erkennen und auf sie reagieren. Welche Organisationen benötigen ein SOC mehr als andere?

Bernd Eßer: Behörden behandeln empfindliche Themen, die hochsensible Infrastrukturen benötigen. Sie sollten in jedem Fall auf ein SOC setzen. Die meisten der DAX-30-Unternehmen haben schon heute entsprechende Strukturen aufgebaut. Im Mittelstand hingegen fehlen diese häufig noch. Das liegt vor allem daran, dass es mit wenigen IT-Fachkräften faktisch unmöglich ist, eine ernsthafte Cybersecurity-Struktur aufzubauen.

Auch die BWI plant ein SOC. Was ist der Hintergrund?

Bernd Eßer: Wir haben in den letzten Monaten unsere Strukturen an den internationalen Standards ausgerichtet und alle Fähigkeiten ausgebaut, die heute gefordert sind. Dazu zählt auch, Sicherheitsvorfälle zeitnah erkennen zu können, damit man aktiv Gegenmaßnahmen einleiten kann. Das heißt, wir verhindern Vorfälle. Und falls doch etwas passiert, müssen wir die Auswirkungen möglichst gering halten. Unsere Überzeugung ist, dass präventive Maßnahmen alleine heute nicht mehr ausreichen.

War die BWI bereits Ziel eines Hackerangriffs?

Bernd Eßer: Wir waren, wie wahrscheinlich schon jede von uns betreute Organisation und auch jeder Bürger selbst, bestimmt schon Ziel von niederschwelligen Angriffen. Es erinnert sich sicher jeder noch an die Ransomware WannaCry im Mai 2017. Gegen so etwas sind wir natürlich heute schon extrem gut geschützt. Aber es gibt definitiv eine nicht zu vernachlässigende Wahrscheinlichkeit, dass die BWI in ihrer spezifischen Rolle als IT-Dienstleister für sehr sensitive Bundesorganisationen zum Ziel hochkomplexer Spionage- oder Sabotageversuche werden kann.

„Für viele Organisationen ist es schwierig geworden, die notwendigen Expertenkenntnisse in Sachen Cybersecurity an Bord zu holen.“

Ein SOC kann im Eigenbetrieb geführt werden sowie teilweise oder komplett ausgelagert. Wie wird es bei der BWI sein?

Bernd Eßer: Wir werden den Betrieb und die Ressourcen überwiegend selbst aufbauen. Als einer der großen IT-Dienstleister in Deutschland ist IT-Sicherheit eine unserer Kernkompetenzen. Auch für unsere Kunden ist das sehr wichtig. Denn für viele Organisationen ist es heutzutage extrem schwierig, die notwendigen Experten und das benötige Fach-Know-how an Bord zu holen und zu halten.

Hauptbestandteile eines SOCs sind zum einen gut ausgebildete Cybersecurity-Analysten und zum anderen die Möglichkeiten, Auffälligkeiten zu erkennen.

Bernd Eßer: Im Wesentlichen ist das für uns ein szenariobasierter Ansatz. Wir analysieren typische Verhaltensweisen der Täter und ermitteln, welche Logdaten und Sensorik man braucht, um diese Verhaltensweisen im eigenen Netz und System erkennen zu können. Man macht das, um die wertvollen Security-Analysten nicht damit zu verbrennen, den ganzen Tag Tausende von False Positives zu untersuchen. Ein anderer Aspekt ist, dass wir datensparsam und datenschutzkonform sind, indem wir den Zugriff auf Logdaten reglementieren und einschränken.

Stichwort Security-Analysten und Fachpersonal. Der Bewerbermarkt im Bereich Cybersecurity gibt ja aktuell wenig Anlass zur Freude.

Bernd Eßer: Die Anzahl der Bewerber, die momentan überhaupt verfügbar ist, ist tatsächlich relativ gering, und der Wettbewerb sehr hoch. Bei der BWI haben wir einen Vorteil: Als großer Dienstleister können wir Cybersecurity-Experten, die für ihr Thema brennen, viele Möglichkeiten geben, um sich weiterzuentwickeln. Anders als bei einem kleineren Unternehmen. Außerdem stehen hinter unserer Rolle als Dienstleister der Bundeswehr und des Bundes ein klarer Auftrag und eine klare Mission. Das ist ebenfalls ein wichtiges Argument.

„Ändern sich die Verhaltensweisen der Täter, müssen die Experten ihre Suchmuster optimieren.“

Kommen wir noch einmal zurück zum Security Operations Center. Der Betrieb muss darauf reagieren, dass die Cybersecurity-Welt sehr dynamisch ist und Täter ihr Verhalten ständig ändern und anpassen. Wie gehen Sie mit dieser Herausforderung um?

Bernd Eßer: Hier ist wieder WannaCry ein passendes Beispiel. An sich ist das eine ganz normale Ransomware, wie wir sie schon seit Jahren kennen. Aber erstmals verbreitet sie sich auch als Computerwurm. In einigen Monaten verhalten sich Täter wieder anders. Ein SOC sucht nach bestimmten Verhaltensweisen. Ändern sich diese, muss das SOC die eigenen Suchmuster entsprechend optimieren. Parallel standardisieren und automatisieren wir aber auch an den Stellen, an denen es sinnvoll ist. Ein interessanter Spagat! Spannend ist auch die Frage, wie man die Automatisierung mithilfe Künstlicher Intelligenz unterstützen kann.

Dr. Bernd Eßer ist Chief Security Officer der BWI.

Um Sicherheitsvorfälle zu erkennen und entsprechend mit ihnen umzugehen, sind Monitoring und Analysen rund um die Uhr erforderlich. Wie sieht die Arbeit des Fachpersonals konkret aus?

Bernd Eßer: Die Level 1-Analysten arbeiten mithilfe sogenannter Playbooks, in denen die Szenarien formuliert werden. Das funktioniert wie eine Checkliste: „Wenn dieser Incident auftritt, prüfe das.“ Kommt ein Fall in die Level 2-Analyse, ist das Vorgehen weniger formalisiert. Hochgradig qualifizierte Cybersecurity-Analysten gehen dem Fall nach und arbeiten mit Hypothesen: Könnte dieses oder jenes passiert sein? Und wie kann ich meine Annahmen falsifizieren oder verifizieren? Je nach Ergebnis schließen sie den Fall. Oder die Arbeit für die Level 3-Analysten beginnt: Das Hunterteam spürt den Täter auf und wirft ihn aus dem Netz raus.

Wenn sich eine Organisation für ein SOC entscheidet und dieses auslagern möchte: Wie findet man den richtigen Dienstleister dafür?

Bernd Eßer: Als Anhaltspunkt sind Zertifizierungen hilfreich, beispielsweise ISO-27000-1 oder IT-Grundschutz. Daneben sollten entsprechende Datenschutz-Standards umgesetzt werden, wie die EU-Datenschutz-Grundverordnung. Je nach Unternehmen ist die Frage zu klären, wo die Daten ausgewertet werden sollen, ob sie zum Beispiel Ländergrenzen überschreiten dürfen. Wichtig sind zudem Referenzkunden und die Frage, inwieweit der Dienstleister agil auf neue Sicherheitsvorfälle, Tätergruppen und Vorgehensweisen reagieren kann.

„Ein zentrales SOC für Bundesbehörden schafft viele Synergien.“

Wird die BWI zukünftig den Betrieb von Security Operations Centern auch für Ihre Kunden anbieten?

Bernd Eßer: Definitiv. Ein zentrales SOC für Bundesbehörden kann aus unserer Sicht viele Synergien schaffen. Beispielsweise kann man Tools und Sensorik bei mehreren Behörden einsetzen und Kenntnisse über Täterverhaltensweisen teilen. Bemerkt ein Analyst einer Behörde neue Tätergruppen mit bisher unbekannten Verhaltensweisen, lässt sich diese Information nutzen, um alle anderen dort administrierten Behörden ebenfalls entsprechend zu schützen.

Wann wird das BWI-eigene Security Operations Center an den Start gehen?

Bernd Eßer: Wir planen, mit den ersten Services 2018 live zu gehen. Bis wir ein vollumfängliches SOC anbieten können, wie wir es uns im Endausbau vorstellen, werden wir aber noch ein wenig mehr Zeit brauchen: Unsere Planung sieht vor, dass SOC über zwei Jahre lang in einem Stufenmodell zu realisieren. Schlussendlich sollen dort 40 bis 60 Personen arbeiten, abhängig davon, wie viele Bundesorganisationen den Service bei uns nutzen möchten.

Die Security-Operations-Center-Reihe auf LEVEL UP+

Foto: © Ton Snoei/shutterstock
Porträtfoto: © BWI

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*