Die Sonderermittler im Kampf gegen Cyberkriminalität

Von der Energieversorgung bis zur Nahrungsmittelproduktion rücken Unternehmen aller Branchen immer stärker ins Visier von Cyberkriminellen. Neue Technologien wie Künstliche Intelligenz und Automatisierung spielen den Angreifer*innen in die Karten, sie können schnellere und großflächigere Angriffe zu niedrigeren Kosten starten. Zunehmend verschwimmt auch die Grenze zwischen klassischer Wirtschaftskriminalität und Nation-State Attacks. Wie der deutsche Branchenverband Bitkom 2023 ermittelte, geht ein Großteil der Cyberangriffe mittlerweile auf Akteur*innen aus China und Russland zurück. Das vergrößert auch die Sorgen österreichischer Unternehmer*innen vor Cyberattacken: 55 Prozent bewerten sie als existenzbedrohendes Risiko, ein Drittel wurde bereits zum Opfer von Ransomware, so statistische Daten des Beratungshauses KPMG von 2023. Zudem ist auch der durchschnittliche finanzielle Schaden der Erpressungen in den letzten Jahren gestiegen, wenn es Angreifern gelingt die Schutzmauern der IT zu durchbrechen und unternehmensinterne Daten zu verschlüsseln.

Um sich dagegen zu wappnen bleibt Unternehmen nur die Strategie, selbst aufzurüsten. Ein wichtiger Schritt dafür ist die Überwachung der eigenen IT-Umgebung durch ein Security Operations Center (SOC). Es bündelt die personelle und organisatorische Fachexpertise zu allen Aspekten der Cybersicherheit. SOC-Teams funktionieren nach einer mehrstufigen Logik: Ein First-Level-Support aus SOC-Engineers verwaltet die Sicherheitstools und das Meldesystem. Aus der Vielzahl der eingehenden Alert-Meldungen werden regel- und KI-basiert die bedrohlichen Fälle identifiziert und kritische Incidents an die sogenannten Analyst*innen im SecOps-Team eskaliert. Diese prüfen jeden weitergeleiteten Incident und können unmittelbare Gegenmaßnahmen initiieren, um die IT des Unternehmens zu schützen. Das erklärt auch, weshalb die Präsenz des SOC-Teams 24/7 erforderlich ist – schließlich halten sich Kriminelle nicht an Geschäftszeiten. 

Im Falle eines Angriffs gilt: Je schneller das SOC-Team zum Einsatz schreitet, umso effektiver kann es den potenziellen Schaden begrenzen. Funktionierende und unbürokratische Kommunikation ist deshalb eine zentrale Voraussetzung für die Arbeit des SOC. Um das zu erreichen, kommen moderne Kollaborationslösungen an Stelle von klassischen Ticket-Systemen zum Einsatz. Sie ermöglichen eine Echtzeit-Reaktion ohne formelle Hürden oder E-Mail-Fluten. Ein weiterer Erfolgsfaktor ist die systematische und anwendungsbezogene Verzahnung der eingesetzten Security-Anwendungen, um einen reibungslosen Ablauf und einen hohen Automatisierungsgrad der Systeme zu erreichen. Das erfordert jedoch umfangreiche personelle und organisatorische Ressourcen, die besonders für viele Mittelständler*innen finanziell kaum rentabel stemmbar sind. Immer häufiger nutzen Unternehmen daher für den Betrieb des SOC das Angebot externer Dienstleister*innen im Bereich Managed Extended Detection and Response (MXDR). Dadurch profitieren sie von Skaleneffekten, tiefer Fachexpertise und einem lückenlosen Betrieb – wenn die Zusammenarbeit nach bestimmten Kriterien erfolgt.

Um in der Zusammenarbeit ein hohes Sicherheitsniveau zu erreichen, müssen MXDR-Expert*innen die Sicherheitsinfrastruktur ihrer Partner*innen sehr detailreich kennen. Dazu zählt ein Überblick über die verwendeten Systeme und Lösungen ebenso wie eine fundierte Kenntnis der eingesetzten Cybersecurity-Tools – etwa die verwendete EDR (Endpoint Detection and Response)-Lösung für den Schutz der eingesetzten Endgeräte oder eine SIEM (Security Information and Event Management)-Plattform zur zentralen Überwachung der sicherheitsrelevanten Meldungen im gesamten Unternehmensnetz. Noch effektiver ist es, wenn die Security-Software von einem einzigen Anbieter bezogen wird – dann ist sichergestellt, dass die Anwendungen sich ergänzen und nicht kannibalisieren oder in ihrer Arbeit behindern.

Beim Blick auf die Kosten-Nutzen-Abwägung sollten sich Verantwortliche auch mit dem Faktor der Prävention beschäftigen. Die Abwehr von Alerts und das Schadensmanagement sind nämlich nur eine Seite der Medaille, wenn es um den Einsatz eines SOC geht. Die andere ist der umfassende Mehrwert, der durch proaktive Prävention erreichbar ist. Dahinter verbirgt sich ein Sicherheitsmodell, in dem potenzielle Schwachstellen und Bedrohungen so frühzeitig erkannt und eliminiert werden, dass daraus gar keine richtigen Sicherheitslücken entstehen können.

Mit der im Oktober 2024 in Kraft tretenden NIS2-Richtlinie hat die EU eine entscheidende Weiche für die Transformation des Security-Managements von Unternehmen und Behörden gestellt. Durch die Anforderung einer lückenlosen Protokollierung und die Erstellung von Reports werden Unternehmen um die Institutionalisierung ihrer Security Operations nicht herumkommen. Von dieser Entwicklung können sich alle Marktteilnehmer*innen einen echten Mehrwert erwarten. Denn durch den generellen Anstieg des Sicherheitsniveaus steigt auch die Robustheit von Produktions- und Lieferketten. Das ist gerade in Zeiten von politischer und makroökonomischer Unsicherheit ein wichtiger Stabilitätsfaktor. Langfristig betrachtet könnte er sich sogar zu einem wichtigen Standortfaktor für Unternehmen entwickeln. Dadurch sind Investments in Cybersecurity auch ein wichtiger Push-Faktor für den österreichischen Wirtschaftsraum.