FAQs

IT-Security-Training Awareness TraningPenetration TestCyber Security Gefahren KMUWhitepaper Cyber Security und IT-Security TippsCyberangriffe Fallbeispiele erfolgreicher Hackingmethoden

FAQ: Die 16 wichtigsten Fragen zum Cyber Security Operations Center (CSOC)

Die fortschreitende Digitalisierung von Unternehmen und Prozessen hat eine natürliche Öffnung der Datenanbindungen zur Folge. Eine vernetzte Zusammenarbeit erfordert schließlich einen gemeinsamen Datenaustausch – und genau hier lauern die Gefahren eines Cyberangriffes. Infrastrukturen werden durch ihre Vernetzung anfälliger gegenüber Angriffsszenarien, die zunehmend komplexer werden. Die Herausforderung liegt daher in der Balance zwischen Nutzbarkeit und Sicherheit.

Es ist kaum möglich, Angreifer aus den IT-Infrastrukturen fernzuhalten. Daher sehen wir die zukünftige Hauptaufgabe im Bereich Cyber Security in der schnellstmöglichen Erkennung (Detektion) von Cyberangriffen, die eine umgehende Einleitung weiterführender Maßnahmen ermöglicht.

Das CSOC überwacht Ihr Unternehmen auf mögliche Cyberangriffe und schützt Sie somit vor Produktionsausfällen, Datenverlusten, Imageschäden und damit verbunden finanziellen Risiken.

Eine Kombination aus automatischer Erkennung und dem Einsatz von Expertenwissen gewährleistet eine schnellstmögliche Detektion möglicher Cyberattacken.

Sollte eine aktive Bedrohung Ihrer Infrastruktur vorliegen, treten umgehend die individuell mit Ihnen vertraglich vereinbarten Maßnahmen in Kraft. Diese können von der reinen Information Ihrer IT-Verantwortlichen bis hin zum Einsatz unseres Rescue-Teams reichen.

Die Firewall stellt den Basis-Schutz für eine Anbindung an fremde Netzwerke (zum Beispiel das Internet) dar. Hier werden Regeln hinterlegt, „wer“ mit „wem“ über welchen „Kanal (Port)“ kommunizieren darf. Viele Systeme unterstützen durch die Implementierung von IDS (Intrusion Detection Systemen) und IPS (Intrusion Prevention Systemen) auch die Erkennung verschiedenster Angriffsszenarien. Die Problematik liegt hier aber in der Auswertung der Meldungen. Zum einen müssen die Meldungen „auswertbar“ aufgearbeitet werden und zum anderen benötigen die Mitarbeiter das nötige KnowHow, um diese anschließend richtig zu interpretieren. Dieser Wissenserwerb ist zeitaufwendig und entsprechend kostenintensiv.

Durch eine immer komplexer werdende Vernetzung der Systeme steigt auch die Komplexität der Cyberangriffe. Eine Firewall ist kaum in der Lage, komplexe Angriffsszenarien zu erkennen. Genau hier greift das CSOC als Sicherheitssystem. Analysten-KnowHow und der Einsatz von Sensoren gewährleisten eine bestmögliche Detektion von Cyberattacken.

Ein aktueller Virenschutz gehört ebenfalls zu einem guten Basis-Schutz und ist damit unerlässlich. Die Problematik liegt in der Arbeitsweise von Virenschutzprogrammen. Sie durchsuchen in 99% der Fälle nur die auf Speichermedien befindlichen Dateien. Programme, die im Arbeitsspeicher des Rechnersystems ausgeführt werden, können somit nicht analysiert und geprüft werden.

Ferner sind Virenschutzsysteme auf die Aktualität ihrer Basisdaten angewiesen, welche in regelmäßigen Abständen aktualisiert werden. Voraussetzung für diese Aktualisierung ist, dass neue Schadsoftware bereits vom Hersteller analysiert und in die Datenbank eingepflegt wurde.

Neue Schadsoftware ist somit praktisch unsichtbar für das Virenschutzsystem. Ferner nutzen Angreifer immer häufiger dateilose Schadsoftware, sogenannte „in Memory Exploits“. Diese Malware wird ausschließlich im Arbeitsspeicher des Rechnersystems ausgeführt und bleibt somit (in den meisten Fällen) für den Virenschutz unsichtbar. Durch die Kommunikations- und Verhaltenskontrolle des CSOC-Sensors werden auch unbekannte „in Memory Exploits“ weitestgehend detektiert und gewährleisten so eine schnellstmögliche Reaktion.

> Umfassende Ergänzung zu den vorhandenen Schutzmaßnahmen wie Virenscanner und Firewall

> Schadcode wird bereits beim Download detektiert

> Unverschlüsselte Passworteingaben werden detektiert

> Veraltete Softwareversionen (z.B. JAVA, Flash, usw.) werden erkannt

> Schnellstmögliche Erkennung von Cyberangriffen

> Minimierung möglicher Schäden durch Datenverluste, Integritätsverletzungen und Beeinträchtigungen der Systemverfügbarkeiten

> Kostenoptimierung im Bereich IT-Security-Management (Personal, KnowHow-Aufbau, Hard- und Softwareanschaffungen)

Durch den Einsatz von Sensoren in Ihrem Netzwerk findet die Analyse des Datenverkehrs bei Ihnen vor Ort statt. Im Falle einer Angriffserkennung werden ausschließlich technisch relevante Informationen der Sensoren an uns weitergeleitet und durch unsere Analysten verifiziert. Zur weiterführenden Analyse können die Daten durch den Analysten vom Sensor angefordert werden. In diesem Falle werden die für die Analyse des Events notwendigen Daten als Download dem Analysten vom Sensor zur Verfügung gestellt. Entsprechende Datenschutzkonzepte (TOMs, ADV) liegen selbstverständlich vor.

Unser Cyber Security Operations Center befindet sich in den Räumlichkeiten der synalis GmbH & Co. KG in Bonn.

Das CSOC wird in einer Kooperation zwischen der dhpg und der synalis GmbH betrieben. Die analytische Verantwortung liegt bei der dhpg, die technische Verantwortung und der Service vor Ort bei synalis.

Die Vermittlung von relevanten Ereignissen erfolgt über das implementierte Ticketsystem. Hier werden für die verschiedenen Ereignistypen (allgemein technisch, Patch Management, Bedrohung, technische Kompromittierung) mit Ihnen abgestimmte Ansprechpartner hinterlegt, die dann im Ereignisfall automatisch durch unser Ticketsystem per Mail informiert werden.

Das CSOC bietet die Möglichkeit, über einen geschützten Zugang auf die Ereignisdaten zuzugreifen. Dieser Zugriff ist mandantenbezogen, sodass nur die jeweils eigenen Daten eingesehen werden können. Der Zugriff erfolgt über ein grafisches Dashboard, welches Ihnen verschiedene Auswertemöglichkeiten bereitstellt.

Der Aufwand für eine Anbindung an das CSOC ist relativ gering. Sie benötigen einen passenden Sensor mit einer geschützten Verbindung (VPN) zum CSOC-Rechenzentrum und eine Datenschnittstelle, die die Überwachungsdaten für den Sensor zur Verfügung stellt. Aufgrund der erforderlichen Kompatibilität müssen die entsprechende Hard- und Software über das CSOC-Team bezogen werden.

Die Datenschnittstelle kann in den meisten Fällen an einem zentralen Netzwerk-Switch zur Verfügung gestellt werden. Hier unterstützt Sie unser Technikteam gerne bei der Einrichtung. Die benötigte VPN-Verbindung kann ganz einfach über unseren CSOC-Connector (VPN-BOX) mit einem Anschluss an Ihr Netzwerk hergestellt werden.

Die technische Anbindung des CSOC an die jeweilige IT-Infrastruktur dauert weniger als 1 Stunde. Systemvoraussetzungen gibt es nicht. Daher kann Service jederzeit eingeführt werden. Auch die unternehmenseigene IT-Abteilung erhält einen eigenen Zugriff auf das Dashboard und kann Ereignisse mitverfolgen und nachvollziehen, ohne dass zur Beeinträchtigung der eigenen Systeme kommt.

Alle für den Betrieb der Sensoren erforderliche Hard- und Software wird durch uns vorkonfiguriert und getestet. Die Installation kann wahlweise von Ihnen bzw. Ihrer IT oder durch uns (dhpg/synalis) vorgenommen werden. Sollten Sie die Installation selbst vornehmen, erhalten Sie eine aussagekräftige Installationsanleitung von uns. Selbstverständlich stehen wir Ihnen in unseren Bürozeiten ebenfalls telefonisch zur Verfügung.

Nach der Inbetriebnahme der Sensoren in Ihrem Netzwerk werden die eingehenden Events für einen Zeitraum von 30 Tagen in einem „Lernmodus“ analysiert. In dieser Phase werden gemeinsam mit Ihnen Regelwerke erstellt, die Ihr Tagesgeschäft auf Netzwerkebene widerspiegeln. Nach Ablauf der Lernphase werden dann die Sensoren in den LIVE-Betrieb überführt.

Mit Abschluss eines Aufschaltungsvertrages erhalten Sie einen speziell auf Sie abgestimmten ADV-Vertrag (Auftragsdatenverarbeitung). Hier sind alle, nach geltenden Datenschutzrichtlinien erforderlichen Anforderungen geregelt. Ferner unterliegen sowohl die dhpg als Wirtschaftsprüfungsgesellschaft als auch die synalis GmbH der Schweigepflicht. Auf die Daten greifen ausschließlich geschulte Mitarbeiter in unserem CSOC zu.

Eine Versicherung ist sicherlich eine sinnvolle Ergänzung, ersetzt aber keine Vorkehrungsmaßnahmen. Oftmals bleibt der Schaden bei einem Hackerangriff zunächst unbemerkt und kann daher nicht einmal an die Versicherung weitergegeben werden – ein CSOC kann ein solches Ereignis in den meisten Fällen feststellen wenn nicht gar verhindern, sodass der Angriff entweder abgewehrt bzw. der Schaden begrenzt oder überhaupt gemeldet werden kann.

Zudem ist der Schaden nach einem Datendiebstahl nur schwer zu bemessen und beeinträchtigt die Erstattungssumme. Auf einen Grundschutz zu verzichten, weil im Zweifel die Versicherung greift, ist demnach ein Risiko. Vergleichbar ist die Situation mit einer abgeschlossenen Hausratversicherung, die den Versicherungsnehmer im Irrglauben lässt, fortan seine Türen nicht mehr verschließen zu müssen.

Ein Pentest (Penetrationstest) dient der Prüfung und anschließenden Bewertung der IT Ihres Unternehmens. Dabei imitieren unsere IT-Experten das typische Angriffsverhalten von Hackern und testen mit verschiedenen Methoden, worüber sich echte Angreifer Zugang zu Dateien etc. verschaffen könnten.

Während dieser Schwachstellenanalyse, die etwa zwei Tage andauert, wird die IT im Unternehmen in keiner Weise beeinträchtigt. Die Experten teilen nach Prüfung und Analyse alle relevanten Handlungsempfehlungen, die den Unternehmensschutz erhöhen. Der Sicherheitscheck umfasst Netzwerk, Systeme und (Web-)Anwendungen und hat.

Wir führen eine umfassende Schwachstellenanalyse im Rahmen von zwei Tagen durch und berechnen dafür 1.600 Euro.

IT-Sicherheit und Cyber Security – vom Mittelstand für den Mittelstand

Der Erfolg der Unternehmensdigitalisierung gründet auf einer vollumfänglichen IT-Sicherheitsstrategie für mehr Informationssicherheit und Datenschutz. Die Allianz CSOC vom Mittelstand für den Mittelstand bietet dezidierte Services für Mittelständische Unternehmen (KMU) und unterstützt diese durch ein breites Leistungsportfolio rund um die Themen IT-Security und Cyber Security. Neben einem Managed SOC as a Service setzen wir dabei auf Schutzmaßnahmen und die Sensibilisierung von Mitarbeitern ganz im Sinne des Konzepts: ProtectDetectRespondForensic