CSOC: FAQ zu unserem Cyber Security Operations Center

FAQ: Die 14 wichtigsten Fragen zum Cyber Security Operations Center (CSOC)

Die fortschreitende Digitalisierung von Unternehmen und Prozessen hat eine natürliche Öffnung der Datenanbindungen zur Folge. Eine vernetzte Zusammenarbeit erfordert schließlich einen gemeinsamen Datenaustausch – und genau hier lauern die Gefahren eines Cyberangriffes. Infrastrukturen werden durch ihre Vernetzung anfälliger gegenüber Angriffsszenarien, die zunehmend komplexer werden. Die Herausforderung liegt daher in der Balance zwischen Nutzbarkeit und Sicherheit.
Es ist kaum möglich, Angreifer aus den IT-Infrastrukturen fernzuhalten. Daher sehen wir die zukünftige Hauptaufgabe im Bereich Cyber Security in der schnellstmöglichen Erkennung (Detektion) von Cyberangriffen, die eine umgehende Einleitung weiterführender Maßnahmen ermöglicht.

1.     Was ist ein CSOC?

Das CSOC überwacht Ihr Unternehmen auf mögliche Cyberangriffe und schützt Sie somit vor Produktionsausfällen, Datenverlusten, Imageschäden und damit verbunden finanziellen Risiken.
Eine Kombination aus automatischer Erkennung und dem Einsatz von Expertenwissen gewährleistet eine schnellstmögliche Detektion möglicher Cyberattacken.
Sollte eine aktive Bedrohung Ihrer Infrastruktur vorliegen, treten umgehend die individuell mit Ihnen vertraglich vereinbarten Maßnahmen in Kraft. Diese können von der reinen Information Ihrer IT-Verantwortlichen bis hin zum Einsatz unseres Rescue-Teams reichen.

2.     Unser Unternehmen hat doch eine Firewall. Warum brauchen wir dann eine CSOC-Aufschaltung?

Die Firewall stellt den Basis-Schutz für eine Anbindung an fremde Netzwerke (zum Beispiel das Internet) dar. Hier werden Regeln hinterlegt, „wer“ mit „wem“ über welchen „Kanal (Port)“ kommunizieren darf. Viele Systeme unterstützen durch die Implementierung von IDS (Intrusion Detection) und IPS (Intrusion Prevention) auch die Erkennung verschiedenster Angriffsszenarien. Die Problematik liegt hier aber in der Auswertung der Meldungen. Zum einen müssen die Meldungen „auswertbar“ aufgearbeitet werden und zum anderen benötigen die Mitarbeiter das nötige KnowHow, um diese anschließend richtig zu interpretieren. Dieser Wissenserwerb ist zeitaufwendig und entsprechend kostenintensiv.
Durch eine immer komplexer werdende Vernetzung der Systeme steigt auch die Komplexität der Cyberangriffe. Eine Firewall ist kaum in der Lage, komplexe Angriffsszenarien zu erkennen. Genau hier greift das CSOC als Sicherheitssystem. Analysten-KnowHow und der Einsatz von Sensoren gewährleisten eine bestmögliche Detektion von Cyberattacken.

3.     Wir haben doch einen aktuellen Virenschutz. Warum benötigen wir ein CSOC?

Ein aktueller Virenschutz gehört ebenfalls zu einem guten Basis-Schutz und ist damit unerlässlich. Die Problematik liegt in der Arbeitsweise von Virenschutzprogrammen. Sie durchsuchen in 99% der Fälle nur die auf Speichermedien befindlichen Dateien. Programme, die im Arbeitsspeicher des Rechnersystems ausgeführt werden, können somit nicht analysiert und geprüft werden. Ferner sind Virenschutzsysteme auf die Aktualität ihrer Basisdaten angewiesen, welche in regelmäßigen Abständen aktualisiert werden. Voraussetzung für diese Aktualisierung ist, dass neue Schadsoftware bereits vom Hersteller analysiert und in die Datenbank eingepflegt wurde.
Neue Schadsoftware ist somit praktisch unsichtbar für das Virenschutzsystem. Ferner nutzen Angreifer immer häufiger dateilose Schadsoftware, sogenannte „in Memory Exploits“. Diese Malware wird ausschließlich im Arbeitsspeicher des Rechnersystems ausgeführt und bleibt somit (in den meisten Fällen) für den Virenschutz unsichtbar. Durch die Kommunikations- und Verhaltenskontrolle des CSOC-Sensors werden auch unbekannte „in Memory Exploits“ weitestgehend detektiert und gewährleisten so eine schnellstmögliche Reaktion.

4.     Welchen Nutzen bringt uns eine CSOC-Anbindung konkret?

  •        Umfassende Ergänzung zu den vorhandenen Schutzmaßnahmen wie Virenscanner und Firewall
  •        Schadcode wird bereits beim Download detektiert
  •        Unverschlüsselte Passworteingaben werden detektiert
  •        Veraltete Softwareversionen (z.B. JAVA, Flash, usw.) werden erkannt
  •        Schnellstmögliche Erkennung von Cyberangriffen
  •        Minimierung möglicher Schäden durch Datenverluste, Integritätsverletzungen und Beeinträchtigungen der Systemverfügbarkeiten
  •        Kostenoptimierung im Bereich IT-Security-Management (Personal, KnowHow-Aufbau, Hard- und Softwareanschaffungen)

5.     Wo werden unsere Daten analysiert?

Durch den Einsatz von Sensoren in Ihrem Netzwerk findet die Analyse des Datenverkehrs bei Ihnen vor Ort statt. Im Falle einer Angriffserkennung werden ausschließlich technisch relevante Informationen der Sensoren an uns weitergeleitet und durch unsere Analysten verifiziert. Zur weiterführenden Analyse können die Daten durch den Analysten vom Sensor angefordert werden. In diesem Falle werden die für die Analyse des Events notwendigen Daten als Download dem Analysten vom Sensor zur Verfügung gestellt. Entsprechende Datenschutzkonzepte (TOMs, ADV) liegen selbstverständlich vor.

6.     Wo befindet sich das CSOC?

Unser Cyber Security Operation Center befindet sich in den Räumlichkeiten der synalis GmbH & Co. KG in Bonn.

7.     Wer ist für das CSOC zuständig?

Das CSOC wird in einer Kooperation zwischen der dhpg und der synalis GmbH betrieben. Die analytische Verantwortung liegt bei der dhpg, die technische Verantwortung und der Service vor Ort bei synalis.

8.     Wie werden wir über Ereignisse informiert?

Die Vermittlung von relevanten Ereignissen erfolgt über das implementierte Ticketsystem. Hier werden für die verschiedenen Ereignistypen (allgemein technisch, Patch Management, Bedrohung, technische Kompromittierung) mit Ihnen abgestimmte Ansprechpartner hinterlegt, die dann im Ereignisfall automatisch durch unser Ticketsystem per Mail informiert werden.

9.     Können wir auch auf unsere Ereignisdaten zugreifen?

Das CSOC bietet die Möglichkeit, über einen geschützten Zugang auf die Ereignisdaten zuzugreifen. Dieser Zugriff ist mandantenbezogen, sodass nur die jeweils eigenen Daten eingesehen werden können. Der Zugriff erfolgt über ein grafisches Dashboard, welches Ihnen verschiedene Auswertemöglichkeiten bereitstellt.

10.     Mit welchem technischen Aufwand müssen wir bei der Anbindung an das CSOC rechnen?

Der Aufwand für eine Anbindung an das CSOC ist relativ gering. Sie benötigen einen passenden Sensor mit einer geschützten Verbindung (VPN) zum CSOC-Rechenzentrum und eine Datenschnittstelle, die die Überwachungsdaten für den Sensor zur Verfügung stellt. Aufgrund der erforderlichen Kompatibilität müssen die entsprechende Hard- und Software über das CSOC-Team bezogen werden.
Die Datenschnittstelle kann in den meisten Fällen an einem zentralen Netzwerk-Switch zur Verfügung gestellt werden. Hier unterstützt Sie unser Technikteam gerne bei der Einrichtung. Die benötigte VPN-Verbindung kann sehr einfach über unseren CSOC-Connector (VPN-BOX) mit einem Anschluss an Ihr Netzwerk hergestellt werden.
Der genaue technische Aufwand ergibt sich durch die von Ihnen gewünschte Genauigkeit der Analyse. Im Vorfeld wird das CSOC-Team mit Ihnen entsprechende Fragen im Hinblick auf den Umfang klären: Welche Netzbereiche sollen überwacht werden? Soll der verschlüsselte Datenverkehr mit überwacht werden? Abhängig aus den Ergebnissen kann das CSOC-Team den genaueren Aufwand ermitteln.

11.     Wer installiert die Sensoren in unserem Netzwerk?

Alle für den Betrieb der Sensoren erforderliche Hard- und Software wird durch uns vorkonfiguriert und getestet. Die Installation kann wahlweise von Ihnen bzw. Ihrer IT oder durch uns (dhpg/synalis) vorgenommen werden. Sollten Sie die Installation selbst vornehmen, erhalten Sie eine aussagekräftige Installationsanleitung von uns. Selbstverständlich stehen wir Ihnen in unseren Bürozeiten ebenfalls telefonisch zur Verfügung.

12.      Wie werden die Regeln für mich persönlich aufgebaut? Woher wissen Sie denn, was für mich kritisch ist und was nicht?

Nach der Inbetriebnahme der Sensoren in Ihrem Netzwerk werden die eingehenden Events für einen Zeitraum von 30 Tagen in einem „Lernmodus“ analysiert. In dieser Phase werden gemeinsam mit Ihnen Regelwerke erstellt, die Ihr Tagesgeschäft auf Netzwerkebene widerspiegeln. Nach Ablauf der Lernphase werden dann die Sensoren in den LIVE-Betrieb überführt.

13.     Wie ist das mit dem Datenschutz geregelt und wer greift alles auf die Daten zu?

Mit Abschluss eines Aufschaltungsvertrages erhalten Sie einen speziell auf Sie abgestimmten ADV-Vertrag (Auftragsdatenverarbeitung). Hier sind alle, nach geltenden Datenschutzrichtlinien erforderlichen Anforderungen geregelt. Ferner unterliegen sowohl die dhpg als Wirtschaftsprüfungsgesellschaft als auch die synalis GmbH der Schweigepflicht. Auf die Daten greifen ausschließlich geschulte Mitarbeiter in unserem CSOC zu.

14.     Benötige ich ein CSOC noch, wenn ich eine Versicherung gegen Cyberkriminalität abgeschlossen habe?

Eine Versicherung ist sicherlich eine sinnvolle Ergänzung, ersetzt aber keine Vorkehrungsmaßnahmen. Oftmals bleibt der Schaden bei einem Hackerangriff zunächst unbemerkt und kann daher nicht einmal an die Versicherung weitergegeben werden – ein CSOC kann ein solches Ereignis in den meisten Fällen feststellen wenn nicht gar verhindern, sodass der Angriff entweder abgewehrt bzw. der Schaden begrenzt oder überhaupt gemeldet werden kann.

Zudem ist der Schaden nach einem Datendiebstahl nur schwer zu bemessen und beeinträchtigt die Erstattungssumme. Auf einen Grundschutz zu verzichten, weil im Zweifel die Versicherung greift, ist demnach ein Risiko. Vergleichbar ist die Situation mit einer abgeschlossenen Hausratversicherung, die den Versicherungsnehmer im Irrglauben lässt, fortan seine Türen nicht mehr verschließen zu müssen.