Security Operation Center als Sicherheitszentrale

Angesichts der heutigen Bedrohungslage muss eine IT-Security-Strategie sämtliche Infrastrukturkomponenten sowie den gesamten Datenverkehr nonstop überwachen. Ein Security Operation Center (SOC) unterstützt das IT-Personal dabei, Cyberangriffe frühzeitig zu erkennen und die Auswirkungen von Schadsoftware zu minimieren.

Im SOC unterstützen Experten die Unternehmens-IT beim Auffinden und Beheben von Cyberangriffen und Schadsoftware (Bild: Airbus Cyber Security)

Laut dem aktuellen BSI-Bericht zur Lage der IT-Sicherheit in Deutschland werden täglich ca. 380.000 neue Schadprogrammvarianten entdeckt. Diese gelangen oft über einzelne Rechner ins Unternehmensnetzwerk. Zu den häufigsten Einfallstoren gehören schädliche E-Mail-Anhänge, Drive-by- Download-Infizierungen sowie Links auf Schadprogramme, die immer öfter in Werbebannern platziert werden (Malvertising). Besonders der Ransomware-Vorfall (Not)Petya hat noch einen weiterführenden Infektionsweg offenbart: Die Übertragung von Schadsoftware aus dem Unternehmensnetzwerk über nicht ausreichend gesicherte Schnittstellen in industriellen Umgebungen. So waren bei der Angriffswelle im Juni 2017 weltweit auch Industrieunternehmen und Betreiber kritischer Infrastrukturen betroffen, die zum Teil schwerwiegende Störungen in Produktionszyklen und Ausfallzeiten innerhalb wichtiger Logistikprozesse hinnehmen mussten. Derartigen Angriffsszenarien wirkt beispielsweise die Normenreihe IEC 62443 (Security for industrial automation and control systems, zu Deutsch: IT-­Sicherheit für industrielle Automatisierungssysteme) entgegen. Sie ist speziell auf die Anforderungen moderner Produktionsumgebungen zugeschnitten. Das zugrunde liegende Security-Konzept beruht im Wesentlichen auf dem Defense-in-Depth-­Ansatz: Funktionseinheiten, wie Internetübergangspunkt, vorgelagerte Sicherheitszonen, Office-IT und Feldbusebene, werden dabei in Zonen zusammengefasst und durch industrie­taugliche Firewalls segmentiert. Diese Vorgehensweise erschwert es Malware, sich horizontal in der Infrastruktur auszubreiten und in tiefere IT-Hierarchieebenen vorzudringen.