Schutz aus der Blackbox

Weltmarktführer
26.07.2018

 
Die Wiener Firma Radarservices hat sich auf die rasend schnelle Erkennung von Cyberangriffen spezialisiert – indem sie das Gegenteil dessen macht, was üblich ist.

„Berserk Bear“ könnte sich in den nächsten Wochen noch häufiger bemerkbar machen: Ein gerade stattfindender weltweiter Cyberangriff auf Computernetze von Firmen und Behörden. Er ist grundlegend anders als die Schwierigkeiten, die allein in den vergangenen Monaten unter Schlagworten wie „Meltdown“, „Spectre“ oder „Wannacry“ bekannt wurden. Während Hackergruppen, deren Ursprung in China, Russland oder dem Iran vermutet wird, auf bestimmte Ziele fokussiert sind, geht „Berserk Bear“ eher nach dem Staubsaugerprinzip vor – und nimmt alles, was er kriegen kann. 

Die Folgen solcher Angriffe machen sich in Unternehmen jedes Jahr stärker bemerkbar: Etwa 55 Milliarden Euro Schaden entstehen Firmen in Deutschland pro Jahr, im Mittelstand sei jede dritte Firma betroffen, meldet der deutsche IT-Verband Bitkom. Währenddessen machen in Österreich gerade Angriffe von eher ungewohnter Seite Schlagzeilen: Der deutsche Bundesnachrichtendienst soll Firmen, Behörden und sogar die Aussenwirtschaft Austria ausspioniert haben. 

Bad News sind manchmal Good News

Für eine bestimmte Branche sind all diese Meldungen das absolute Gegenteil von „bad news“ – und das sind Anbieter von IT-Schutzsystemen. Während Cyberangriffe scheinbar jeden Monat zunehmen, steigen auch die Umsätze mit Schutzprogrammen und Erkennungsdiensten rasant nach oben. Doch es gibt Unternehmen in diesem Sektor, die so schnell wachsen, dass das allein mit der steigenden Nachfrage kaum zu erklären ist. Dazu gehört die Firma Radarservices.

Der Dienstleister mit Sitz im siebten Wiener Gemeindebezirk und derzeit rund 200 Mitarbeitern hat sich auf die rasend schnelle Erkennung und Abwehr von Cyberangriffen spezialisiert. Und offenbar machen die IT-Strategen dabei nicht alles falsch – die Nachfrage nach genau ihren Diensten steigt und steigt. Das Umsatzwachstum der vergangenen drei Jahre beziffert Radarservices mit einem Wert deutlich über 1000 Prozent. Im Ranking der tausend am schnellsten wachsenden Unternehmen, die von der britischen Wirtschaftszeitung „Financial Times“ durchgeführt wird, taucht Radarservices das dritte Jahr in Folge unter den ersten hundert auf. Auch die Wirtschaftsberatung Deloitte listet das Unternehmen heuer wieder unter den hundert schnellstwachsenden Technologieunternehmen im Raum Europa, dem Nahen Osten und Afrika. 

„Made in Europe“ als Argument

Ein echter ­„hidden champion“ – nur so richtig österreichisch ist das Unternehmen spätestens seit dem heurigen Februar nicht mehr. Schon in den Jahren zuvor holte Radarservices seine Mitarbeiter vor allem aus Osteuropa, mit der Begründung, in Österreich seien keine geeigneten Spezialisten verfügbar. Den in der IT häufig formulierten Vorwurf, dass es hier eher um die Löhne als um die Eignung geht, will man bei Radarservices nicht gelten lassen. Im Februar verkauften die Firmengründer und heutigen Geschäftsführer Thomas Hoffmann, Harald ­Reisinger und Christian Polster die Mehrheit an die Münchner Firma Cyoss, die ihrerseits zum deutschen IT-Konzern ESG mit rund 1700 Mitarbeitern gehört. 

Es gibt mehrere Punkte, die Radarservices mit dem neuen Mutterkonzern gemeinsam haben. Einer davon: Beide werben überall, wo sich die Gelegenheit bietet, mit dem Slogan „Made in Europe“. Auch dieses Argument überzeugt. Denn es sei ein offenes Geheimnis, heißt es in der Branche, dass in zahlreichen am Markt verfügbaren Schutztechnologien aus Übersee versteckte Hintertüren eingebaut seien, um später das Netzwerk des Kunden sehen zu können. 

Anti-Cloud-Strategie im Zentrum

Für den Erfolg scheint jedoch ein anderes Merkmal zentral zu sein, das hinter den vielen verschiedenen Diensten von Radarservices steht: Das Unternehmen ignoriert den großen Trend zur Verlagerung in die „Cloud“ vollkommen und macht damit das Gegenteil dessen, was unzählige IT-Berater auf dem ganzen Globus predigen. Tatsächlich sind die Vorteile der Auslagerung auf externe Server genau dann vorbei, wenn es um wirklich sensible Daten geht. Statt der Lobgesänge auf die „Cloud“ gilt also bei Radarservices der gegenteilige Grundsatz: Sensible Daten des Kunden verlassen niemals die internen Netzwerke des Kunden. Auch dieses Argument überzeugt. Unter den Auftraggebern finden sich Anlagenbauer, Automobilzulieferer, Stahl­hersteller und Baufirmen ebenso wie Medienhäuser, Banken und Behörden. Der größte Kunde ist ein Global Player mit 350.000 Mitarbeitern, zu den bekanntesten zählen das Bundesland Salzburg, der Flughafen Salzburg und Red Bull. 

Das Herzstück der Firma ist ein großer abgedunkelter Raum in einem ehemaligen Industriegebäude in Wien-Neubau. Hier betreibt Radarservices sein sogenanntes „Security Operations Center“, nach eigenen Angaben das größte auf Cyberabwehr spezialisierte Operationszentrum Europas. Im Jahr werden derzeit 617 Petabyte Daten, 74 Billionen Events und 917 Millionen Schwachstelleninformationen analysiert. Die Zahl der erkannten „Vorfälle“ beziffert der Dienstleister mit 2,9 Millionen pro Jahr. 

So funktioniert die Blackbox

Das Besondere jedoch ist nicht dieses Rechenzentrum, sondern die Verbindung zu den Firmennetzwerken der Kunden. Sehr stark vereinfacht funktioniert diese Technologie so: Im Netzwerk des Kunden wird eine „Blackbox“ installiert. Die Kiste ist mit Algorithmen gefüttert, die teilweise für genau diesen Kunden maßgeschneidert sind. Diese Plattform überwacht rund um die Uhr alle Vorgänge in den Netzwerken des Kunden. Dabei registriert sie vor allem die ungewöhnlichen Vorgänge, etwa wenn ein vermeintlicher Mitarbeiter plötzlich innerhalb von Stunden mehrmals ein neues Passwort anfordert oder durch eine nicht autorisierte Person ein neuer Account erstellt wird. Sobald ein Prozess seltsam erscheint, schlägt die Box im Operationszentrum in Wien Alarm. Daraufhin wählen sich die Techniker des Dienstleisters über eine gesicherte Verbindung in die Box ein und prüfen dortige Aufzeichnungen. Falls der Verdacht auf einen Angriff begründet erscheint, benachrichtigen sie wiederum die IT-Spezialisten der jeweiligen Firma und schildern was passiert ist und was dahinter stehen könnte. 

Das bedeutet: Die firmeninternen Netzwerke bleiben so stark abgeschirmt wie möglich. Auch die Techniker von ­Radarservices können sich nicht einwählen. Für sie bleiben über eine gesicherte VPN-Verbindung nur die Vorgänge in der Blackbox sichtbar. Diese massive Barriere ist wie ein Schutzschild, das trotzdem eine Überwachung ermöglicht – bei der Angriffe sehr viel schneller erkannt werden als andere. Das zeigt die Zeitspanne, die es üblicherweise braucht, um einen gut gemachten Cyberangriff zu entdecken („time to detection“, TTD). Der Telekommunikationskonzern Cisco gibt an, dazu brauche es im Durchschnitt weit über hundert Tage. In seinem „Cybersecurity Report 2018“ verkündet der IT-Riese stolz, bei seinen eigenen Diensten die Erkennungszeit auf 4,6 Stunden gesenkt zu haben. Rararservices dagegen beziffert seinen TTD-Wert mit einer Zeit zwischen zwei Stunden und fünf Minuten. Der Anspruch für die kommende Zeit sei es, Angriffe innerhalb von zwei bis vier Minuten zu erkennen.