Archiv

Archiv

Blog.Telekom

Alexia Sailer

2 Kommentare

Ein SOC für alle Fälle

Die Digitalisierung hat gewaltige Auswirkungen auf die Sicherheit von Unternehmen. Welche und wie die Antwort der Telekom auf diese neuen Herausforderungen aussieht, erfahrt Ihr hier.

Raum mit Monitoren

Sicherheit funktionierte lange nach demselben Prinzip: Spezielle Kleidung, besondere Verpackung, hohe Mauern. Vor Jahrhunderten streifte sich der Ritter ein Kettenhemd über, dann seine Rüstung. Banken legten ihr Wertvollstes erst in speziell gesicherte Truhen, dann in Tresore. Seit Jahrzehnten setzt sich der Bauarbeiter den Helm auf und zieht die Stahlkappenschuhe an. Und das Entwicklungszentrum eines mittelständischen Unternehmens ähnelt heute schon oft einem Hochsicherheitstrakt. Lange Zeit bot das Sicherheit und Schutz. Bis die Digitalisierung kam und alles auf den Kopf stellt. 

Prozesse, Geschäftsmodelle und Bedrohungen sind andere geworden: Just-in-Time-Produktion zum Beispiel bedingt heute eine akkurat funktionierende Orchestrierung aller beteiligten Lieferanten und Produzenten. Störungen der digitalisierten Steuerung solcher Abläufe können enormen Schaden anrichten. Was passiert zum Beispiel, wenn ein Autozulieferer gehackt wird und keine Teile mehr produzieren und liefern kann? Oder: Bisher analoge Vorgänge wie Einkaufen wandern zunehmend ins Netz und sind an ganz neuen Stellen angreifbar. Früher klaute der Dieb etwas aus dem Ladenregal. Heute erpresst der Kriminelle Unternehmen mit DDoS-Attacken oder Verschlüsselungstrojanern. Oder er betrügt Käufer mit falschen Lockangeboten. Kriminelle zeigen sich im digitalen Zeitalter nur noch selten persönlich. Sie tippen in die Tasten und verwischen ihre Spuren im Netz.

Privatleute wie Unternehmen müssen bei solch neuen Herausforderungen zunächst umdenken lernen. Denn lange ignorierten sie die nicht sichtbare Bedrohung. Aber davon geht sie nicht weg. Oft war das Erkennen schmerzhaft: Dann waren Daten oder Ideen schon gestohlen oder mit erpresserischer Absicht verschlüsselt, Ware bezahlt und nie geliefert. 

Nächster Schritt: Wie schützen? Was im privaten Bereich mit einigermaßen gutem Willen und Umsicht gut zu schaffen ist, fordert Unternehmen weitaus mehr: Ihre IT-Systeme sind komplex und oft verzweigt, über viele Jahre gewachsen mit unbemerkten Baufehlern. Gleichzeitig verfügen viele Unternehmen nicht über die notwendigen Experten und Werkzeuge, um diese komplexen Systeme abzusichern. Der aktuelle Fachkräftemangel trägt sein Übriges dazu bei. Demgegenüber steht eine geradezu industrialisierte Riege von Angreifern, die an ihrer Vorgehensweise feilen und ihre Attacken permanent weiterentwickeln. Die Folge: Für Unternehmen wird es zunehmend schwieriger, sich umfassend zu schützen. 

Integriertes Cyber Defense und Security Operations Center heißt die Antwort der Deutschen Telekom auf die Herausforderungen. Hinter dem langen Begriff verbirgt sich die neue und erweiterte Cyber-Abwehrzentrale mit Sitz in Bonn. Hier erkennen Security-Spezialisten des Bereiches Telekom Security Angriffe nahezu in Echtzeit, wehren sie ab und analysieren, wie die Angreifer vorgegangen sind, um für neue Attacken zu lernen. Rund eine Milliarde Datensätze aus 3.000 Quellen durchlaufen täglich die fast voll automatisierten Analysewerkzeuge der Spezialisten. Wenn ein Datensatz auffällig wird, startet ein klar strukturierter und vorgegebener Ablauf: Events Isolieren, Analysieren, Verstehen, Bereinigen und gegebenenfalls neue Regeln für eine effektive Abwehr ableiten. Die Experten nennen diese festgelegten Abläufe „Run Books“. Die Telekom hat für die unterschiedlichsten Vorkommnisse fest vorgegebene Vorgehensweisen definiert – für sich selbst und für die mehr als 30 Kunden, die bereits Dienste aus dem Cyber Defense Center gebucht haben, so wie etwa die Linde Group. Auf früheren Erkenntnissen und Simulationen beruht die so genannte Malware-Library der Telekom, einem Informations-Pool von rund 20 Millionen Schadcodes. Dieses Wissen hilft zum Beispiel, die Abwehrsysteme auf Angriffe mit solchen oder ähnlichen Schadcodes vorzubereiten und zu prüfen, ob solche Codes vielleicht schon in interne Systeme eingedrungen sind.

Für ihre Analysen verwendet die Telekom unterschiedliche Werkzeuge – auch im eigenen Netz. Unbenutzte Teil des eigenen IP-Adressen-Bereichs werden durch ein eigens entwickeltes so genanntes Blackhole Monitoring rund um die Uhr beobachtet. Eingehende Datenpakete werden hier analysiert und klassifiziert. Diese lokalen Daten zusammen mit einem weltweit aufgespannten Netz so genannter Honeypots, digitaler Lockfallen, liefern tiefe Erkenntnisse und Einblicke in aktuell gefragte Ziele und Intensität von Angriffen – und können so helfen, die eigenen Systeme frühzeitig besser zu schützen.“100 Prozent Sicherheit vor Angriffen und Spionage können natürlich auch die Spezialisten der Telekom Security nicht garantieren – das kann niemand. Was die Telekom allerdings garantiert ist 100 Prozent Einsatz. Das heißt: Erfahrene Experten nutzen modernste Analyse- und Abwehrmethoden, gehen mit modernsten Mitteln Spuren von Angreifern nach und verbessern mit ihren Erkenntnissen ihre Instrumente permanent. Weit mehr als das einzelne Unternehmen, vor allem kleine und mittelständische, auf sich gestellt könnten. Immer mit dem Ziel einer sicheren Infrastruktur.

FAQ