IT-Sicherheit: Jäger im digitalen Raum

IT-Sicherheit: Jäger im digitalen Raum

, aktualisiert 18. April 2017, 09:12 Uhr
Bild vergrößern

Thomas Tschersich, IT-Sicherheitschef der Telekom, im „Cyber Defense Center“ des Konzerns.

von Steffen ErmischQuelle:Handelsblatt Online

Hackerattacken auf Unternehmen sind kein theoretisches Szenario mehr, sondern eine reale Bedrohung. Deshalb rüsten Betriebe im Kampf gegen Cyberkriminelle auf. Ein neues Geschäftsfeld tut sich auf.

KölnEs war eine monatelange Abwehrschlacht, ausgefochten in Bits und Bytes. Der Schauplatz: das Firmennetzwerk von Thyssen-Krupp. Ende Dezember bekannte der Stahlkonzern öffentlich, seit Februar 2016 Ziel eines professionellen Hackerangriffs gewesen zu sein. Die Spione hatten es offenbar auf Know-how und Forschungsergebnisse abgesehen. Dutzende Spezialisten von Thyssen-Krupp verfolgten die Spuren, Ende Oktober gelang es ihnen dann, die ungebetenen Gäste zu vertreiben.

Der Fall, über den die „Wirtschaftswoche“ im Dezember in einer Exklusiv-Reportage berichtete, bestätigt einmal mehr die eindringlichen Warnungen von Sicherheitsexperten: Hackerattacken auf deutsche Unternehmen sind kein theoretisches Szenario, sondern eine reale Bedrohung. Studien unterstreichen das. So gab in einer Befragung des Spezialversicherers Hiscox mehr als jedes zweite Unternehmen an, im vergangenen Jahr mindestens einen Cyber-Angriff festgestellt zu haben. Zwei Drittel von ihnen wollen nun ihre Ausgaben für IT-Sicherheitstechnik spürbar erhöhen.

Anzeige

Anbieter sogenannter Managed Services kommen hier ins Geschäft. Gegen Gebühr überwachen sie die Kundennetzwerke. „Die Angriffe werden professioneller – es gibt eine ausgeprägte Arbeitsteilung im Untergrund“, sagt Michael Köhler, Leiter Cybersecurity beim IT-Dienstleistungs- und – Beratungsunternehmen Capgemini. „Selbst Konzerne tun sich schwer, Schritt zu halten.“ Der Engpass liegt nicht nur im Budget – auch Fachkräfte für IT-Sicherheit sind derzeit schwer zu finden.

Capgemini betreibt weltweit sieben „Security Operation Center“ – kurz SOC. Dort laufen sämtliche Daten des Monitorings der Kunden zusammen, Spezialisten gehen Unregelmäßigkeiten sofort nach, verspricht der Dienstleister. Als Arbeitsbasis dienen Protokolle, die Firewalls oder Virenscanner senden. Eine Spezialsoftware wertet aus, bei Auffälligkeiten prüfen die Experten. „Weil wir Informationen aus vielen verschiedenen Quellen zusammenführen, können wir Unregelmäßigkeiten früh feststellen“, sagt Köhler.

Die Analysen sollen im ersten Schritt helfen, Angreifer überhaupt zu erkennen. 21 Wochen dauert es Studien zufolge im Schnitt, bis Firmen bemerken, dass sich Schadcode eingenistet hat. „Profi-Hacker sind sehr geduldig“, sagt Köhler. „Sie geben sich größte Mühe, unter dem Radar zu bleiben.“


Analyse der Täter

Bislang setzen vor allem Großunternehmen Dienstleister für IT-Sicherheit ein. Das zeigt eine Studie des Fachverlags IDG und des Netzwerktechnikanbieters Cisco von Ende 2016. Populär sind danach vor allem externe Sicherheitsprüfungen und Beratungen. Aber auch externe Security-Operation-Center stehen relativ hoch im Kurs. Dagegen verzichtet jedes vierte Unternehmen mit einem IT-Budget von unter zehn Millionen Euro vollständig auf Dienstleister.

Tatsächlich galt es lange als Luxus, ein externes SOC zu nutzen. Doch der Markt kommt in Bewegung – immer mehr Dienstleister stehen bereit. Zu den Anbietern gehören auch die Deutsche Telekom, HP Enterprise und Radarservices.

Auch der US-Dienstleister Fire-Eye drängt auf den deutschen Markt – Ende 2016 wurde in München ein „Advanced Threat Response Center“ eingeweiht. Besonderheit: „Wir konzentrieren uns auf die Täter, nicht auf die Schadsoftware“, sagt Sven Schriewer, bei Fire-Eye für die Sparte Security-as-a-Service in Zentraleuropa verantwortlich. Man versuche, einzelne Tätergruppen zu identifizieren und ihr Vorgehen zu analysieren.

Nimmt eine Bande Energieunternehmen in Asien ins Visier, könne man annehmen, dass die Branche auch in anderen Regionen zum Ziel wird. Zwar betreiben Hacker großen Aufwand, um mit Spear-Phishingmails, die auf Einzelpersonen zugeschnitten sind, in ein Firmennetz einzudringen. Der Regieplan sei aber immer gleich, sagt Schriewer: „Professionelle Angreifer gehen sehr ökonomisch vor.“

Bessere Früherkennung, effizientere Gefahrenabwehr, weltweite Expertise: Die Versprechen der Dienstleister klingen umfassend. Doch es gibt auch Experten, die das Konzept kritisch sehen. „Gezielte Angriffe können von Managed-Service-Anbietern kaum erkannt werden“, sagt etwa Stefan Strobel, Geschäftsführer der IT-Sicherheitsberatung Cirosec. „Die Angebote werten ja vor allem Protokolle aus. Andere relevante Informationen fehlen aber meistens.“ Beispielsweise werde in der Regel nicht erfasst, wenn Daten unbefugt von Rechnern kopiert werden.


Einsatz im Ernstfall

Zudem ist es auch bei Managed-SOC-Services weiter notwendig, Virenscanner und Firewalls zu betreiben. Weitere zugekaufte Sicherheitsprodukte würden noch helfen, Angriffe abzuwehren. So gibt es Software, bei der für das Surfen im Internet blitzschnell eine virtuelle Maschine gestartet wird. Schadcode, der etwa hinter Werbebannern versteckt ist, kann in der isolierten Umgebung wenig anrichten. Für die Auswertung von Netzwerkprotokollen bieten sich aus Sicht von Experte Strobel Systeme an, die auf künstlicher Intelligenz basieren.

Anstatt mehrere Tausend Euro im Jahr für eine externe Sicherheitszentrale auszugeben, könne man auch Rahmenverträge für den Ernstfall abschließen: Melden die Softwaresysteme Probleme, die die eigene IT-Abteilung nicht lösen kann, rücken Spezialisten an.


„Entscheidend ist, dass einzelne Sicherheitslösungen passgenau ausgewählt werden“, sagt Strobel. In 360-Grad-Analysen und mit Penetrationstests, bei denen Attacken simuliert werden, identifizieren die Berater Schwachstellen. Das Ziel sei dabei immer, die Unternehmen in die Lage zu versetzen, die IT-Sicherheit selbst in die Hand zu nehmen.

Auch die Managed-Service-Anbieter räumen ein, dass ihre Dienstleistungen interne IT-Sicherheitsexperten nicht vollständig ersetzen können. „Für die Beseitigung von Schadsoftware können wir Handlungsempfehlungen geben“, sagt Fire-Eye-Direktor Schriewer. Beim Identifizieren von Attacken habe man aber gegenüber Einzelkämpfern dank der großen Kundenbasis und der Expertise mehrerer Hundert Sicherheitsforscher einen Informationsvorsprung.

Einen firmenübergreifenden Austausch ohne den Umweg über externe IT-Dienstleister erproben vier Dax-Konzerne: Ende 2015 haben Allianz, Bayer, BASF und Volkswagen die Deutsche Cyber-Sicherheitsorganisation (DCSO) gegründet. Das Gemeinschaftsunternehmen soll Abwehrkompetenzen und technische Analysen bündeln. Als Fallbeispiel dient mutmaßlich auch der prominente Angriff bei Thyssen-Krupp: Der Konzern ist Mitglied des DCSO-Fachbeirats, in dem man sich in einem exklusiven Kreis mit insgesamt acht weiteren Großunternehmen austauschen will.

Quelle:  Handelsblatt Online
Anzeige
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%