Security Operation Center
Behörden unter Beschuss: Wie ein SOC vor Cyberbedrohungen schützen kann
Ganzheitliche IT-Security durch SOCs
Von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient
Traditionell gehören vor allem große Firmen zu den Hauptangriffszielen von Hackern, denn sie locken mit potentiell hohen Lösegeldsummen. Dass allerdings aufgrund dieser Bedrohung eben jene Unternehmen mit viel Kapital ihre IT-Security-Strukturen stärken, versteht sich von selbst. Doch was bedeutet das nun für Cyberkriminelle? Sie suchen nach neuen Opfern, mit leichter zu knackenden Verteidigungsanlagen und gewachsenen IT-Infrastrukturen sowie kommunalen oder staatlichen Geldtöpfen.
In jüngster Zeit führte das gehäuft zu Angriffen auf die IT von Behörden, in welche zum einen immer noch zu wenig Geld investiert wird und die zum anderen aufgrund veralteter Strukturen für die Betreiber unübersichtlich geworden ist. Dabei sind gerade bei staatlichen Organisationen die Auswirkungen von Cyberattacken besonders verheerend. Oft entsteht hier nämlich nicht nur rein wirtschaftlicher Schaden für die Behörde selbst, sondern es werden auch Bürger Opfer von Datenschutzmissbräuchen. Im schlimmsten Fall – wie bei Angriffen auf Einrichtungen im Gesundheitswesen – können sogar die medizinische Versorgung und andere wichtige Dienstleistungen ausfallen. Erst kürzlich wurde das Klinikum Fürth Opfer einer Hacker-Attacke . Durch den Befall mit Malware wurde im Dezember 2019 die IT der Einrichtung lahmgelegt wodurch die Aufnahme von Patienten zeitweise gestoppt werden musste.
Vor allem mit dem Schadprogramm Emotet wurden im letzten Jahr immer wieder die Netzwerke von Behörden infiziert. So legte der Virus unter anderem im September 2019 das gesamte IT-System der Verwaltung der niedersächsischen Stadt Neustadt am Rübenberge lahm. Diejenigen der 44.000 Einwohner der Stadt, die beispielsweise ein neues Kennzeichen brauchten, hatten Pech – die KFZ-Zulassungsstelle von Neustadt blieb geschlossen. Auch die Computer im Rathaus und dem Bürgerbüro wurden von Emotet außer Betrieb gesetzt. Weitere Beispiele waren die Stadt Frankfurt zum Ende des Jahres und zuletzt traf es auch die Stadt Alsfeld. Die Schwachstelle in der Citrix-Software sorgt für weitere Implikationen, genauso wie der Ablauf des Supports von Windows 7.
Ganzheitliche IT-Security durch SOCs
Um derartige Ausfälle in Behörden zu vermeiden, gilt es die IT-Infrastrukturen gezielt abzusichern. Wie ein wichtiger Schritt hin zu einer verlässlicheren Sicherheit aussehen kann, zeigt unter anderem die Bundesagentur für Arbeit (BA). Diese erhielt als eine der ersten deutschen Behörden im Jahr 2015 die IT-Security-Zertifizierung ISO 27001 auf Basis des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nun setzt die BA ihre Bemühungen zur Stärkung der Cybersicherheit mit dem Ausbau des eigenen Security Operations Center (SOC) fort. Aber was genau versteht man eigentlich unter einem SOC und warum ist es für die Sicherheit von Netzwerken so essentiell?
In einer Welt zunehmend komplexer Cyberattacken reicht es natürlich nicht, sich auf simple Sicherheitskonzepte wie Firewalls zu verlassen. Es ist unabdingbar, das eigene Netzwerk mithilfe einer umfassenden Verteidigungslinie konsequent zu schützen. Um dies zu bewerkstelligen, wenden sich immer mehr IT-Security-Spezialisten von eindimensionalen Sicherheitsstrategien ab und bauen stattdessen auf den ganzheitlichen Ansatz eines SOCs. Innerhalb der IT einer Organisation fungiert das SOC, wie es der Name schon vermuten lässt, als Zentrale für die operativen Prozesse der IT-Sicherheit. Die Aufgaben des SOC lassen sich dabei in mehrere Bereiche unterteilen und variieren auch je nach Größe des Unternehmens.
Zusammen mit anderen organisatorischen Aufgaben, wie beispielsweise Patch-Management, liegt eine der Hauptaufgaben des SOCs im Bündeln und Auswerten aller sicherheistrelevanter Ereignisse die von internen Lösungen wie SIEM, Firewalls, Endpoint-Protection, Intrusion Detection Systemen und Anderen geliefert werden. Die neueste „Zutat“ in einem SOC ist Threat Intelligence. Nach Art von Geheimdiensten, welche diese Vorgehensweise seit Jahrzehnten praktizieren, versucht man möglichst detaillierte Informationen über den Angreifer und die Art der Attacke, sowie sogenannte IoCs (Indicators of Compromise, beispielsweise schädliche IP Adressen) zu erhalten. Mit diesen Informationen können Angriffe frühzeitig erkannt und im besten Fall im Vorfeld abgewehrt werden. Diese neue Vorgehensweise ermöglicht es SOCs aus der reaktiven in eine proaktive Position zu wechseln. Threat Intelligence Plattformen helfen hierbei die enormen Datenmengen aufzunehmen, sowie wesentliche von unwesentlichen Informationen zu trennen. Dadurch wird wertvolle Zeit eingespart, was es ermöglicht in der Hitze des Gefechts schnelle Entscheidungen zu treffen.
Selbstverständlich gehört zu einem SOC weitaus mehr als nur Tools – die Sicherheitszentrale steht und fällt mit den qualifizierten IT-Security-Spezialisten, die sie betreiben und für den reibungslosen Ablauf aller relevanten Prozesse sorgen. Gerade in der Zusammenarbeit zwischen Mensch und Maschine liegt die eigentliche Stärke des SOCs. Die automatisierten Programme übernehmen die rechenintensive Aufgabe, alle Geräte und Netzwerke zu scannen, während sich das IT-Personal darauf konzentriert, auf die Alerts des Systems zu reagieren und gezielt nach Sicherheitslücken zu suchen. Aber auch die Kooperation der Teams innerhalb eines SOCs ist enorm wichtig. Viele Vorfälle können nur mit Hilfe von mehreren Spezialisten analysiert und bearbeitet werden. Security Operations Plattformen gewährleisten eine nahtlose Integration der einzelnen Prozesse sowie Möglichkeiten Informationen schnell und automatisiert zu verteilen.
Ganz konkret kümmern sich spezialisierte Teams in enger Zusammenarbeit um die verschiedenen Aufgaben bei der Bekämpfung von Cyberbedrohungen. Das Incident Response-Team reagiert auf akute Gefahren wie Angriffe von Hackern, während sogenannte Threat Hunter Bedrohungen und Schwachstellen im Netzwerk aufspüren. Diese Threat Hunter sind eine eher neue, jedoch durchaus vielversprechende Einführung im Bereich der IT-Sicherheit, wie die von ThreatQuotient in Auftrag gegebene Studie des SANS Institutes zum Thema Threat Hunting aus dem letzten Jahr zeigt. So geben 61 Prozent der befragten Unternehmen der Studie an, dass sich ihr allgemeiner IT-Sicherheitsstatus durch Threat Hunting um mindestens 11 Prozent verbessert hat.
Je nach der Größe und den Bedürfnissen der Organisation kann das SOC entweder von der hauseigenen IT-Security-Abteilung, oder auch von externen Anbietern betrieben werden. Egal welche dieser Optionen dabei gewählt wird, ist es in jedem Fall lohnenswert für ein Unternehmen, die Dienste eines SOCs in Anspruch zu nehmen. Durch den zentralisierten Ansatz wird es den Sicherheitsexperten ermöglicht, auf Abteilungs-übergreifender Ebene schnell und effizient Geräte zu überwachen und zu managen, Patches auszuführen, Bedrohungen zu erkennen und auf Angriffe zu reagieren. Letztlich können sie sich auf die wirklich wichtigen Sicherheitsvorfälle konzentrieren und gewinnen Zeit im Kampf gegen Cyberkriminelle.
Fazit
Mit jedem Tag nehmen sowohl die Anzahl als auch die Komplexität von Cyberattacken zu, deshalb ist es unerlässlich dafür zu sorgen, dass die eigene IT-Sicherheit gegen die Bedrohungen aus dem Netz gewappnet ist. Dies gilt heutzutage mehr denn je für Behörden, da diese im Vergleich zu Unternehmen aus der Wirtschaft meist schlechter geschützt sind und konsequenterweise immer häufiger zum Ziel verheerender Angriffe von Cyberkriminellen werden. Bisher verfügen nur die wenigsten IT-Sicherheitsabteilungen staatlicher Behörden über ein dediziertes SOC. Die Einrichtung einer solchen Security-Zentrale sorgt für einen ganzheitlichen Sicherheitsansatz, der durch Bündelung von IT-Security-Aufgaben Synergieeffekte erzeugt und die Arbeit von IT-Experten unterstützt und erleichtert.
