Anzeige
Anzeige
Beitrag drucken

Keine Zeit für 'Trial and Error'

Wenn jede Minute zählt

Viele Unternehmen fürchten Cyberattacken auf ihre Infrastruktur, sind aber schon mit dem Monitoring dieser Angriffe überfordert. Deshalb rückt beim TÜV Rheinland jetzt eine schnelle Eingreiftruppe aus. Das Computer Security Incident Response Team ist eine Art Feuerwehr, die Unternehmen rufen können, wenn sie glauben, gehackt worden zu sein.

Bild: © Grafissimo / istock.com / TÜV Rheinland i-sec GmbH

Rund 95 Prozent aller Unternehmensnetzwerke sind mehr oder weniger hochgradig durch Advanced Malware und gezielte komplexe Angriffe gefährdet. Viele Unternehmen können Opfer eines Hacker-Angriffs geworden sein, ohne es zu wissen. Denn traditionelle, signaturabhängige Sicherheitslösungen sind häufig machtlos gegen raffinierte Cyberattacken. Unternehmen und Behörden, die ihre digitalen Werte vor unbefugtem Zugriff schützen wollen, müssen investieren: in Personal, Prozesse, technische Lösungen und ständige Weiterbildung. Doch die Ressourcen in der IT-Abteilung sind im Tagesgeschäft oft begrenzt. Deshalb steht bei TÜV Rheinland nun eine Eingreiftruppe bereit, die Cyberattacken schnell erkennen und begrenzen soll: das Computer Security Incident Response Team (CSIRT). In Anspruch genommen wird das Informatiker-Team bereits sowohl von mittelständischen Unternehmen als auch Dax-Konzernen. Da die Angreifer erfahrungsgemäß unterhalb des Radars ins Unternehmensnetzwerk eindringen und unbemerkt großen Schaden anrichten können, sollte die Zeitspanne zwischen dem Erkennen eines Angriffs und der Behebung des Problems möglichst kurz sein. Zeit für ‚Trial and Error‘ bleibt in der Regel keine.

IT-Experten auf Abruf

Der Kern der Eingreiftruppe besteht aus fünf stets verfügbaren IT-Sicherheitsfachleuten, die Vorgänge aus unterschiedlichen Ereignissen zusammensetzen, in Zusammenhang bringen und daraus Schlussfolgerungen auf einen potenziellen Angriff ziehen können. Nach Bedarf greift das Team auf weitere interne Fachleute zurück. 15 Informatiker stehen derzeit zur Verfügung. Je nach Bedarf lassen sich Teams mit Kenntnissen etwa in Kryptographie, unterschiedlichen IT Security-Systemen wie Advanced Persistent Threat-Sensoren (APT), Firewalls, Proxies, Security Information and Event Management (SIEM) sowie IDS/IPS und Antivirus-Systemen zusammenstellen.

Cyberangriffe melden

Grundlage für einen Einsatz ist der Abschluss eines Service Level Agreement (CSIRT SLA) mit TÜV Rheinland. Nimmt die Organisation Hinweise auf einen sicherheitsrelevanten Vorfall wahr, meldet sie dies dem Support Center des Dienstleisters, das den Vorfall qualifiziert und den IT-Fachkräften vor Ort erste Anweisungen zum Vorgehen gibt. Oft genügt der Blick auf die betroffenen Systeme in einer Webkonferenz mit dem Kunden. Ein Vor-Ort-Einsatz ist notwendig, wenn noch kein CSIRT-Sensorsystem in die Infrastruktur integriert oder eine tiefere Analyse betroffener Systeme gewünscht ist oder angemessen erscheint. Es geht darum, das Angriffsszenario zu verstehen, um Gegenmaßnahmen festzulegen und umzusetzen. Das Sensorsystem analysiert den Netzwerkverkehr und führt auf Basis einer ‚Multi-flow‘-Analysemethode verdächtige Dokumente und ausführbare Dateien in unterschiedlichen Programmen aus.

Aus deren Verhalten lässt sich ermitteln, welche Systeme im Unternehmensnetzwerk betroffen sind, wie sie attackiert wurden, mit welchen Malware-Servern sie kommunizieren und welche Daten übermittelt werden. Auf der Basis dieser Erkenntnisse und unter Einbezug weiterer Sicherheitskomponenten wie Proxies, Firewalls, Antivirus-Software und so weiter entwickelt die Eingreiftruppe Strategien und Aktionen, um den Angriff einzudämmen und zu bekämpfen. Sie schafft eine isolierte Umgebung, um mit möglichem Schadcode zu arbeiten, wenn eine virtuelle Umgebung nicht sinnvoll erscheint. Je nach Tiefe der Analysen kommen Disassembler zum Einsatz. Zu besseren Vorbereitung lässt sich ein Assessment durchführen. Mit einer Blackbox überwacht der Anbieter vier Wochen die Datenströme, um anschließend zu berichten, ob und wo die Organisation bereits angegriffen wurde und was dagegen zu tun ist.


Das könnte Sie auch interessieren:

Das Systemhaus Solid System Team wird von einer Doppelspitze geleitet. Neben Werner Heckl ist seit 1. April auch Torsten Hartinger mit der Geschäftsführung betraut.‣ weiterlesen

Materialise erwirbt Kaufoption von MES-Anbieter Link3D. Mögliche Übernahme könnte den Weg zum cloudbasierten Zugriff auf die 3D-Druck-Software-Plattform von Materialise ebnen.‣ weiterlesen

Ist die IoT-Infrastruktur in der Fertigung erst einmal installiert, müssen die erfassten Daten analysiert und in Nutzen überführt werden. Dabei kommt Event-Streaming-Technologie vor allem dann in Frage, wenn Anwender ihre Daten echtzeitnah verarbeiten wollen.‣ weiterlesen

Frank Possel-Dölken (Phoenix Contact) ist neuer Vorsitzender des Lenkungskreises der Plattform Industrie 4.0. Er übernimmt das Amt von Frank Melzer (Festo).‣ weiterlesen

Der VDMA hat die Produktionsprognose für das laufende Jahr angehoben. War der Verband bisher von einem Zuwachs von 4 Prozent ausgegangen, so rechnet man nun mit einem Produktionsplus von 7 Prozent.‣ weiterlesen

Roboter gehören zum Rückgrat der smarten Fabrik. Doch die Automaten könnten außerhalb der Fabriken viel leisten. Das Dresdner Unternehmen Wandelbots hat jetzt eine Lösung entwickelt, die den Robotereinsatz auch für kleine und mittlere Unternehmen vieler Branchen interessant machen soll. Ein Industrie-PC von Kontron übernimmt in diesem System eine zentrale Aufgabe.‣ weiterlesen

Die Auftragsbücher der deutschen Industrieunternehmen füllen sich und die Produktion nimmt zu. Laut Ifo-Konjunkturumfrage liegen die Produktionserwartungen im März sogar auf dem höchsten Stand seit 1991.‣ weiterlesen

xyzWieviel sind Daten wert? Welche Daten sind für die Effizienzsteigerung der Produktion, die Qualitätssteigerung der Produkte oder neue Geschäftsmodelle für die produzierende Industrie und ihre Dienstleistungen von Nutzen und wie kann ihr Wert gemessen und beziffert werden? Am 13. Januar 2021 konstituierte sich dazu der Fachausschuss 7.24 Big Data in der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik neu, um die Experten-Empfehlung VDI/VDE 3715 'Data Assets' zu entwickeln. Im Fachausschuss wird ein metrischer Standard entwickelt für die Ermittlung des ökonomischen Wertes technikbezogener Daten innerhalb der Wertschöpfungskette.‣ weiterlesen

Es gibt keinen Textauszug, da dies ein geschützter Beitrag ist.‣ weiterlesen

Zutrittskontrollsysteme dokumentieren Aufenthaltszeiten, können bei der Corona-Kontaktverfolgung unterstützen und ermöglichen die individuelle Arbeitszeiterfassung. Vor dem Hintergrund der Digitalisierung, der Pandemie sowie dem Trend zum dezentralen Arbeiten lohnt sich ein genauer Blick auf die aktuellen Anforderungen.‣ weiterlesen

Mit dem Security Operations Center will Vinci Energies Cybersecurity-Spezialisten vernetzen. Die Eröffnung ist für das zweite Halbjahr 2021 vorgesehen.‣ weiterlesen

Anzeige
Anzeige
Anzeige