Cyber Security – Rückblick 2022, Ausblick 2023

CYBER SECURITY: Rückblick 2022 und Ausblick 2023

In 2022 stieg die Zahl der Angriffe auf deutsche IT-Infrastrukturen stark an. Das Resultat ist ein enormer Kostenanstieg für deutsche Unternehmen und Organisationen – verursacht durch Cyberangriffe sowie entstandene Datenschutzverletzungen. Bislang zeigt dieser Trend keine Anzeichen einer Stagnation. Dennoch bietet dieser risikobehaftete Zustand die Chance, Muster zu identifizieren, um anhand dieser schwerwiegende Cyberangriffe in 2023 mit einer gewissen Wahrscheinlichkeit vorhersagen zu können.

IBM hat in seinem Cost of Data Breaches Report 2022 durchschnittliche Gesamtkosten von 4,5 Millionen US-Dollar angegeben. (Entstandene Kosten durch Ransomware wurden nicht gesondert erfasst.) Diese Kosten beziehen sich auf die Beseitigung und den Wiederaufbau nach Cyberangriffen. Dabei ist der Diebstahl von Anmeldeinformationen immer noch der häufigste Angriffsvektor (19 %), gefolgt von Phishing (16 %), falsch konfigurierten Clouds (15 %) und Schwachstellen in der Software von Drittanbietern (13 %).

Im gleichen Report wird die zur Identifikation und Eindämmung jeglicher Kompromittierungen benötigte Zeit im Mittel mit 327 Tagen angegeben.

Die Angriffsserie der Lapsus$-Gruppe

Die Gruppe Lapsus$ begann das Jahr 2022 mit einer Reihe hochkarätiger Angriffsziele, darunter Nvidia, Ubisoft, Samsung und Microsoft. In jedem einzelnen Fall wurden Daten gestohlen und in vielen Fällen online zur Verfügung gestellt. Das Betriebsmodell beruht auf der Erpressung der Unternehmen, die zuvor angegriffen wurden. Der Zugriff auf die Infrastruktur erfolgt meistens durch Phishing. Ransomware ist in der Regel kein Teil des Angriffs.

Mehr Datendiebstahl bei Gesundheitsdienstleistern

Im März wurde die Shields Health Care Group angegriffen, wobei rund 2 Millionen Patientendaten offengelegt wurden. Dabei wird angenommen, dass 53 verschiedene Einrichtungen und ihre Patient/-innen betroffen waren.
Im August erlitt ein Managed Service Provider (MSP) des UK National Health Service einen Ransomware-Angriff. Dabei wurde ein größerer Ausfall der Notdienste in ganz Großbritannien verursacht. Zur schnellen Beseitigung wurden Microsoft selbst als auch Mandiant zur Hilfe geholt. In der Vergangenheit war die Gruppe REvil dafür bekannt, solche MSP ins Visier zu nehmen und anzugreifen.

Kryptowährungen sind sicher, oder?

Der Boom und damit das Marktwachstum im Kryptobereich hat in den vergangenen Jahren einen großen Fokus auf diesen Bereich gelegt. Dieses schnelle Wachstum führt in der Regel zu unsicherer Software. So hat die Lazarus Gruppe 540 Millionen Dollar in Ethereum und USDC-Stablecoins von der Ronin-Blockchain-Bridge gestohlen (eine Blockchain Bridge ist ein Tool, das es Nutzenden ermöglicht, Krypto von einer Blockchain in eine andere zu verschieben.)
Im Februar wurden 321 Millionen Dollar der Wormhole Ethereum-Variante gestohlen und im April konnten Angreifende das Stablecoin-Protokoll „Beanstalk“ ausnutzen und so Krypto im Wert von 182 Millionen Dollar ergaunern.

Drohnenbasierte Angriffe

Der Einsatz von Drohnen zur Ausführung von Cyberangriffen ist seit einiger Zeit ein Gesprächsthema. Im Oktober hat der Sicherheitsforscher Greg Linares solch einen Angriff selbst miterlebt. Das betroffene Unternehmen bemerkte ungewöhnliche Aktivitäten im internen Confluence (eine Unternehmenssoftware, die zur Dokumentation genutzt wird). Sie stellten fest, dass sich in ihrem WLAN-Netzwerk ein Rogue-Gerät befand. Mit Hilfe von Signaltrackern wurden sie auf das Dach des Gebäudes geführt und entdeckten zwei Drohnen. Eine trug ein Pineapple Wifi und die andere trug ein RaspberryPi, ein 4G Modem, einen WLAN-Router und Batterien. Hiermit wurden dann mittels WLAN-Spoofing-Angriffen interne Anmeldeinformationen gesammelt, die den Zugriff auf das interne Netzwerk ermöglichten.

Ransomware: Gute Nachrichten

In der Regel handelt es sich in Berichten über Ransomware-Angriffe um Unternehmen oder Einzelpersonen, die zur Zahlung von Geldforderungen erpresst werden. Doch der niederländischen Polizei gelang es, die Ransomware-Gang DeadBolt dazu zu bringen, 155 Schlüssel zu übergeben. Diese Schlüssel dienten dann den Opfern von Ransomware der DeadBolt Gruppe. Sie konnten ihre Daten entschlüsseln und so Zeit und Geld sparen.

Das erwartet uns in 2023

Aufgrund der sich in diesem Jahr wiederholt geänderten Bedrohungen lässt sich nur bedingt eine Tendenz für 2023 prognostizieren. Allerdings sehen Expert/-innen folgende Entwicklungen als realistisch:

  • Phishing-Angriffe werden weiterhin als eine der häufigsten Sicherheitsrisiken erwartet. Hierbei zielen die Angreifenden darauf ab, dass die Opfer sensible Informationen bekanntgeben. Es ist davon auszugehen, dass die Tätergruppen in Zukunft neue Tricks und Taktiken entwickeln, um erfolgreiche Phishing-Angriffe durchzuführen.
  • Ransomware gilt ebenfalls weiterhin als eine der größten Bedrohungen. Hier werden wiederum neu entwickelte Herangehensweisen erwartet, mit denen die Security-Vorrichtungen von Unternehmen und auch Organisationen überlistet werden sollen.
  • Es wird eine Steigerung der Bedeutung von Cloud-Sicherheit erwartet. Die steigende Datenhaltung in Clouds hat die Sicherheit von Cloud-Umgebunden bereits in den letzten Jahren wachsen lassen. Der Trend der sogenannten Cloudifizierung setzt sich fort und zieht entsprechend auch das Interesse von Hackern auf sich. Somit werden sich Unternehmen und Organisationen mit dem Ausbau der Sicherheit von Cloud-Umgebungen beschäftigen müssen, während Angreifendende an der Durchdringung dieser Sicherheitsmaßnahmen feilen werden.
  • Künstliche Intelligenz (KI) sorgt für eine wachsende Bedrohung. Es wird angenommen, dass Tätergruppen sich diese bei ihren Angriffen vermehrt zunutze machen, um Sicherheitsmaßnahmen auszutricksen.

Unternehmen und Organisationen stehen diesen künftigen Bedrohungen allerdings nicht hilflos gegenüber. Es gibt diverse Maßnahmen – auch präventiv –, um die eigene Sicherheit zu erhöhen, Angriffe zu verhindern oder wenn es bereits zu einem Sicherheitsvorfall gekommen ist, diese frühzeitig zu identifizieren und zu beheben.

Kontakt: security-experts@oediv.de

IAM: Digitale Identitäten als Sicherheitsfaktor

Im Interview mit Patrick Piotrowski „IAM: Digitale Identitäten als Sicherheitsfaktor“

Dr. Anke Schäfer ist selbstständige PR- und Strategieberaterin. In über 20 Jahren hat sie ein umfangreich gewachsenes Netzwerk im KRITIS-Bereich aufgebaut. Konkret engagiert sich Dr. Schäfer im Umfeld der Energie- und Versorgungsunternehmen (EVU und ITK) und lehrt zudem als Dozentin an der Hochschule Wismar (WINGS-Fernstudium) Public Relations und Stakeholder Management.

Mit Patrick Piotrowski (Sales Manager, OEDIV SecuSys GmbH) spricht Dr. Schäfer im aktuellen Interview über Identity & Access Management in Unternehmen. Viele Betriebe und Organisationen erkennen aufgrund der sich wandelnden Arbeitswelt und der immer neuen wirtschaftlichen Herausforderungen zunehmend die Bedeutung von digitalen Identitäten (z. B. Mitarbeitende, Zulieferer und Partnerunternehmen) in ihrer IT-Sicherheit.

Hier geht’s zum vollständigen Interview:

OEDIV IT Security Tagung

OEDIV IT Security Tagung 2023

Die Bedeutung von IT-Sicherheit ist für die deutsche Wirtschaft wichtiger denn je. Schließlich entsteht dieser schon heute ein jährlicher Gesamtschaden von rund 223 Mrd. EUR – verursacht durch Datendiebstahl, Spionage und Sabotage. Das Bundesamt für Sicherheit in der Informationstechnik reagiert darauf mit ständig neuen, verschärften Auflagen für kleine und mittlere Unternehmen, Kritische Infrastrukturen sowie deren Zulieferer.

OEDIV SecuSys lädt am 14. März 2023 zur kostenfreien IT Security Tagung ein.

Experten zur aktuellen IT-Sicherheitslage

Auf der IT Security Tagung sprechen wir über die derzeitige Cyber-Sicherheitslage in Deutschland und wie sich globale Veränderungen auf diese auswirken können. Auch zeigen wir Ihnen, mit welchen IT-Sicherheitslösungen Sie Ihr Unternehmen schützen können und bieten Raum zum Networken untereinander und mit unseren Referenten.

Freuen Sie sich auf spannende Vorträge von namhaften Referenten von PwC, KOGIT und OEDIV in den exklusiven Räumlichkeiten der Dr. Oetker Welt.

Agenda

12:45 – 13:00 Eintreffen mit Willkommens-Snack
13:00 – 13:15 Begrüßung
13:15 – 14:00 „Cyberrisiken aus der Hackerperspektive“
14:00 – 14:45 „Cybersicherheit im geopolitischen Konflikt“
14:45 – 15:00 Pause
15:00 – 15:45 „Identitäten als Sicherheitsrisiko“
15:45 – 16:30 „Identity und Access Management integriert in eine Security Architektur“
16:30 – 17:00 „Erste Schritte in die Cyber Security Basis-Absicherung“
17:00 – 19:00 Führung durch die Dr. Oetker Welt
19:00 – 19:45 Abendessen im Bistro und Austausch untereinander

Sponsoren & Gastredner

PWC KOGIT OEDIV
Unter dem Motto „Digitale Sicherheit stärken – Bedrohungsrisiken minimieren“ lädt OEDIV SecuSys zur IT Security Tagung 2023 ein, um über die aktuelle Bedrohungslage zu sprechen und Chancen aufzuzeigen, wie Unternehmen dieser proaktiv begegnen.

Wann?

14. März 2023

Wo?

Dr. Oetker Welt, Bielefeld

(Lutterstraße 14, 33617 Bielefeld)

Melden Sie sich bis zum 06. März 2023 kostenfrei an: Jetzt anmelden*

* Um die Anmeldungen zentral bearbeiten zu können, weisen wir auf die Datenweitergabe an die Gastunternehmen hin.

Maja - neue Weboberfläche SecuIAM

„Maja“ – OEDIV SecuSys launcht neue UI

„Maja“ – OEDIV SecuSys launcht neue UI

Unsere IAM-Software hat sich über die Jahre stetig weiterentwickelt und so wurde es Zeit für einen neuen Anstrich. Daher haben wir im letzten Jahr das UI/UX-Projekt zur Neugestaltung unserer Weboberfläche ins Leben gerufen.

Im ersten Teilprojekt widmen wir uns „Maja“, der Persona, die stellvertretend für unsere Endanwender/-innen steht. „Maja“ profitiert vor allem von der einfachen und schnellen Beantragung von Berechtigungen sowie Soft-/Hardware und weiteren Self-Services, wie dem Wechseln von Kennwörtern für sämtliche Zugangssysteme an zentraler Stelle.

Maja als stellvertretende Persona

Die Umsetzung

Für uns stand von Anfang an fest, dass das Feedback aus unseren Kundenunternehmen in das Projekt einfließen soll. Entsprechend haben wir viele Gespräche mit den Personen geführt, die unsere Software in den Kundenunternehmen betreuen, um die Anforderungen der Endanwender/-innen in Erfahrung zu bringen. Zusätzlich haben wir anhand unserer aktuellen Weboberfläche verstärkt Usability Tests durchgeführt und diese intensiv ausgewertet. Als Resultat ist ein völlig neues Konzept für die Weboberfläche entstanden, das nun schrittweise in einem eigens zusammengesetzten Scrum-Team umgesetzt wird.

Der Projektgedanke

Das übergeordnete Projektziel ist die intuitive Bedienbarkeit unseres Tools. Zur Erreichung dieser haben wir zusammen mit einer User-Experience-Expertin Entwürfe (Mockups) für die neue Benutzeroberfläche erstellt. Aktuell werden diese Entwürfe in unserem Projektteam technisch realisiert.

Indem wir den Fokus auf Verständlichkeit und eine vereinfachte Menüstruktur setzen, werden wichtige Inhalte auf den ersten Blick sichtbar. Unsere Anwender/-innen sollen in die Lage versetzt werden, einfach und schnell die richtigen Entscheidungen zu treffen. Das responsive Webdesign ermöglicht zudem eine nahtlose Nutzung der Weboberfläche auf verschiedenen Endgeräten.

Antragsdarstellung in SecuIAM
Antragsdarstellung in SecuIAM mobil
Cyber Security – Security Orchestration, Automation and Response (SOAR)

CYBER SECURITY: Case Management und Automation durch ein Security Orchestration, Automation and Response Tool (SOAR)

Das Security Operation Center (SOC) ist die Basis der Cyber Security eines Unternehmens. Mittels eines SOAR-Tools kann das SOC Security-Vorfälle effizienter und schneller abarbeiten. Ein bedeutender Faktor, da Schnelligkeit in einem Security-Vorfall ein wichtiges Mittel der Abwehr ist.

Ein SOAR kann eine Kombination aus kompatiblen Programmen sein, die einem Unternehmen ermöglichen, aus unterschiedlichen Quellen Daten über Security Events einzusammeln. Diese Events können ohne menschliche Interaktion automatisch behandelt werden. Ein SOAR unterstützt bei der Verbesserung der Effizienz aller Sicherheitsoperationen. Das schafft die Software, indem sie dabei hilft, Vorfallsreaktionen zu priorisieren, zu standardisieren und zu automatisieren.

Bedrohungs- und Schwachstellenmanagement

Für einen groben und speziellen Überblick über die generelle Sicherheitslage in einem Unternehmen hat das SOC u. a. die Aufgabe, das Schwachstellenmanagement zu übernehmen. Ein SOAR unterstützt das SOC in diesem Zusammehang bei der Abarbeitung der Schwachstellen sowie bei der Priorisierung. Mittels standardisierter Workflow-, Berichts- und Kollaborationsfunktionen können alle relevanten Stellen auf dem Laufenden gehalten werden.

Reaktion auf Sicherheitsvorfälle

Eine SOAR-Lösung bietet den Analyst/-innen genau festgelegte Workflows (Playbooks), die in einem Sicherheitsvorfall ein mögliches Vorgehen definieren. Ein Beispiel hierfür ist die Infektion mit Malware. Das Playbook gibt hierbei Entscheidungsbäume vor. Sobald die Malware erfolgreich bereinigt worden ist, kann der Vorfall geschlossen werden. Wenn keine Bereinigung stattfinden kann, muss das System eventuell in Quarantäne verschoben und ein vollständiger AV-Scan vollzogen werden. Auf diese Weise geht es mit den Entscheidungsbäumen weiter, bis der Vorfall bereinigt wurde. Die Analyst/-innen können diesen definierten Workflows entweder folgen oder den standardisierten Pfad verlassen.

Gerade bei größeren Sicherheitsvorfällen gibt es keinen genau definierten Weg, um den Vorfall zu bearbeiten und im Anschluss zu beseitigen. Die SOAR-Lösung bietet durch die bidirektionale Anbindung an alle Security-Lösungen die Möglichkeit, mittels weniger Klicks, Clients in Quarantäne zu verschieben, um so das Netzwerk vor einer weiteren Ausbreitung zu bewahren.

Kundenunternehmen sowie Fachabteilungen können in die oben genannten Playbooks aufgenommen werden, um bei ihnen Freigaben für bestimmte Aktionen anzufordern. Erst mit der Freigabe werden die Aktionen weiter automatisiert umgesetzt. Im Fall der Infektion mit Malware würde eine entsprechende Rückfrage lauten, ob der Client dauerhaft vom Netz genommen werden solle und in die Forensik müsse, um eine Analyse der Malware vorzunehmen.

Automatisierung und Sicherheitsoperationen

Die definierten Workflows können mittels der bereits angesprochenen Verbindung zu den Sicherheitslösungen Automatisierungen vollziehen. Ein Beispiel: Ein Client meldet einen Virenfund. Daraufhin startet der Workflow und die AV- oder die EDR-Lösung beauftragen einen Fullscan auf diesem Client. Gleichzeitig wird der Client automatisiert in Quarantäne verschoben und erst wieder entlassen, wenn das Ergebnis des Fullscans negativ ausfällt. All das kann automatisiert und ohne Zutun von Analyst/-innen erfolgen. Erst, wenn die Wenn-Dann-Bedingung einen positiven Fund auf dem Client zurückmeldet, wird ein/-e Analyst/-in informiert.

Sowohl eine SOAR- als auch eine SIEM-Lösung aggregieren hierbei Daten aus den angeschlossenen Security-Lösungen. Erfolgen zum Beispiel mehrere Sicherheitsvorfälle mit der gleichen Person oder dem gleichen Hostname, dann werden diese Sicherheitsvorfälle in einem Case zusammengefügt und dem Team zur Verfügung gestellt. Im besten Fall sind dann bereits alle relevanten Daten wie z. B. aus Threat Intel Plattformen im Case aggregiert.

Kontakt: security-experts@oediv.de

OEDIV SecuSys auf der IT Career Night

OEDIV SecuSys bei der IT Career Night

Gestern haben wir uns bei der IT Career Night der Universität Rostock vorstellen dürfen.

Bei der Veranstaltungsvorbereitung haben viele Kolleginnen und Kollegen, Auszubildende und Werkstudis aus unserem Team mitgeholfen und somit die erfolgreiche Teilnahme gestern ermöglicht.

Unser Team vor Ort kam mit positiven Eindrücken zurück und hat viele Gespräche geführt und Kontakte geknüpft. Vor allem konnten wir uns mit dem Unternehmens-Pitch und dem extra für dieses Event produzierten Imagefilm als möglichen Arbeitgeber, Studien- und Praktikumsbegleiter und natürlich auch als Ausbilder vorstellen.

Neugierig? Hier geht es zu unserer Karriereseite

Collage_ITCareerNight
Weihnachten-im-Schuhkarton

„Weihnachten im Schuhkarton“ – Wir haben gepackt

Die Weihnachtszeit verbinden die meisten Kinder mit Lichterketten & Weihnachtsdeko, Keksen & Schokolade und hübsch verpackten Geschenken. Doch nicht alle Kinder erleben diese Zeit so sorglos.

Um bedürftigen Kindern in der Weihnachtszeit ein Lächeln ins Gesicht zu zaubern, hat die Küstenmühle Rostock ("Ohne Barrieren" Wohnen und Sozialdienste gGmbH) vom 07. bis 14. November Päckchen für die Aktion „Weihnachten im Schuhkarton“ von Samaritan's Purse gesammelt.

Auch unser Team hat liebevoll gepackte Schuhkartons zusammengestellt. Es wurden Karten gebastelt und Geschenke ausgewählt. Abschließend wurden die Päckchen in fröhlichen Weihnachtspapieren verpackt und von uns schließlich gesammelt an die Küstenmühle übergeben.

Wir wünschen allen Menschen, dass sie eine sorglose und glückliche Adventszeit erleben.

Zertifikat
SCIM 2.0

SCIM 2.0 als zentraler Standard für den Austausch von Identitätsinformationen zwischen Systemen

Heutzutage besitzen Mitarbeitende sowie Externe eine Vielzahl von Benutzerkonten in den IT-Systemen eines Unternehmens. Da über die verschiedenen Systeme hinweg unterschiedliche Eigenschaften an den Benutzerkonten verwaltet werden und hierfür häufig keine zentrale Verantwortlichkeit existiert, sind diese manuellen Vorgänge zeitaufwendig und fehlerintensiv.

SCIM 2.0 ist ein Standard des non-profit Konsortium OASIS und steht für „System for Cross-domain Identity Management“. Mit SCIM können Identitätsdaten zwischen IT-Systemen ausgetauscht werden, um beispielsweise automatisiert Konten für Nutzende bereitzustellen. Das SCIM-Protokoll basiert auf REST und JSON.

SCIM wurde 2011 mit Blick auf die fortschreitende „Cloudifizierung“ entwickelt und ist heute ein weit verbreiteter Standard bei Cloud-Systemen. Auch Systeme, die ausschließlich für den Betrieb on premises ausgelegt sind, können es ermöglichen, via SCIM bedient zu werden.

Für das Identity & Access Management bietet SCIM Vorteile hinsichtlich seiner weiten Verbreitung bei Cloud-Systemen, was eine große Standardisierung bei der Anbindung dieser Systeme an SecuIAM bietet. Zudem lizenziert das Kundenunternehmen nur einen Connector, mit dem es eine Vielzahl von Systemen, z. B. Systeme aus dem Atlassian- oder SAP-Cloud-Ökosystem, anbinden und automatisch Konten von Nutzenden provisionieren kann.

Diesen Standard hat SecuIAM für sich zu Nutze gemacht und bietet einen SCIM-Connector, der die Client-Rolle übernimmt, sodass dieser mit einem SCIM-fähigen System (Server-Rolle) Identitätsinformationen austauschen kann.

Hierüber lassen sich aktuell folgende Funktionen realisieren:

  • Anlage von Benutzerkonten
  • Änderung von Informationen der Benutzerkonten wie Benutzername, Kennwort, Eigenschaften
  • Deaktivierung und Reaktivierung von Benutzerkonten
  • Löschung von Benutzerkonten
  • Auslesen aller Benutzerkonten für die Inventarisierung und Reconciliation
  • Auslesen des Schemas eines Benutzerkontos
  • Auslesen aller Gruppen
  • Benutzerkonten als Mitglieder in Gruppen hinzufügen oder entfernen
  • Verbindungstest (Ping)
Security Operation Center (SOC)

CYBERSECURITY: Bedrohungsbewältigung durch ein Security Operation Center

Das Security Operation Center (SOC) oder auch die Line of Defense eines Unternehmens ist das Herzstück der Cyber Security. Ein SOC bedient sich dabei der drei Schutzziele (Verfügbarkeit, Vertraulichkeit und Integrität), um die Sicherheit in Unternehmen zu erhöhen und relevante Bedrohungen zu verringern oder zu lösen.

Das SOC ist die Sicherheitsleitstelle der IT-Infrastruktur von Unternehmen und Organisationen. Um die Aufgabe der Sicherheit gewährleisten zu können, integriert, überwacht und analysiert das SOC alle angeschlossenen Security-Lösungen, die ein Unternehmen in seiner Line of Defense aufgebaut hat. Im ersten Schritt erreichen Alarmmeldungen das SOC, die anschließend von zuständigen Analysten/innen untersucht werden. Falls notwendig folgen im Anschluss weitere Untersuchungen im Quellsystem der Alarmmeldung.

Aufbau und Prozesse

Ein etabliertes SOC besteht in der Regel aus Prozessen, die eine klar definierte Struktur umfassen und somit genaue Abläufe im Krisenfall ermöglichen. Das baut auf die technische Umsetzung von vorhandenen Security-Lösungen auf. Ohne ein SIEM kann ein SOC nicht funktionieren. Unternehmen setzen hierbei aber nicht nur auf SIEM, sondern auch auf andere Security-Lösungen, die in das SOC etabliert werden müssen. Die Analysten/innen benötigen Zugriff auf diese Lösungen, damit die etablierten Prozesse funktionieren. Die Königsklasse besteht darin, dass das SOC als Grundlage eine SOAR-Lösung besitzt. Dazu mehr im SOAR-Artikel (Erscheinungstermin: November 2022).

Automation in einem SOC

Mittlerweile werden alle Security-Lösungen bidirektional angebunden. Das bedeutet, dass SOC-Analysten/innen einen Client, der über eine Antivirenlösung einen Virenbefund meldet, mit nur einem Knopfdruck direkt vom Netzwerk in eine Quarantänezone verschieben können. Hierzu ist keine Anmeldung auf verschiedene Portale der einzelnen Security-Lösungen notwendig.

Den Analysten/innen stehen mit dem Alarm weitere Informationen aus einer Threat Intelligence Platform zur Verfügung, die den Alarm mit zusätzlichen Informationen anreichern. Zum Beispiel kann die gemeldete Malware eine Verbindung zu einem Server aufgebaut haben, um so Informationen aus dem gesicherten Netzwerk schleusen zu können. Solche Server sind in der Regel schnell bekannt und können mit Automationen vom internen Netz durch Firewall-Regeln abgeschottet werden.

Vorteile eines Security Operation Centers

Cyberangriffe werden laut Statistiken innerhalb von 315 bis 350 Tagen in einem Unternehmen bekannt. Ein SOC hat die Aufgabe, diese Dauer zu verringern und wenn möglich, auf null zu reduzieren. Erkennungsmaßnahmen werden dynamisch auf die Bedrohungslage angepasst. Die Bedrohungsszenarien werden somit im Vorfeld wirksam verhindert.

Da alle sicherheitsrelevanten Security-Lösungen im SOC zentral verwaltet werden, lässt sich das notwendige Budget einfach bestimmen. Gleichzeitig hat das Management zentrale Kontaktepersonen für Security-relevante Fragen. Hierbei werden kontinuierliche Informationen wie KPIs transparent dargestellt.

Ein weiterer Vorteil ergibt sich bei eventuell geforderten Compliance-Nachweisen. Ist ein Unternehmen zum Beispiel KRITIS-relevant, so hat dieses Unternehmen dafür zu sorgen, dass Bedrohungen überwacht und abgemildert werden.

Kontakt: security-experts@oediv.de