In Deutschland entsteht durch Cyberangriffe nach aktuellen Erkenntnissen ein geschätzter Schaden von über 100 Mrd. Euro pro Jahr - Tendenz durch die stetige Digitalisierung steigend. Ein Security Operations Center (SOC) ist ein internes Team von IT-Sicherheitsexperten, welches die IT-Infrastruktur eines Unternehmens rund um die Uhr überwacht, um die genannten Cyberangriffe möglichst schnell und effektiv zu erkennen und abzuwehren. Somit werden die kompletten Datenströme der Kunden überwacht.

Für einen ganzheitlichen Sicherheitsansatz benötigt jedes Unternehmen eine solide Ausganglage. In regelmäßigen Abständen wird durch das Schwachstellen-Management die IT-Landschaft auf sicherheitskritische Schwachstellen wie z. B. fehlende/default Passwörter oder verwundbare Softwareversionen gescannt. Die erkannten Schwachstellen werden durch Sicherheitsexperten analysiert und je nach Schweregrad bewertet. Dadurch kann eine nachhaltige Erhöhung der Sicherheit und Stabilität der IT-Infrastruktur garantiert werden.

Das Schwachstellen-Management leistet bereits einen wichtigen Beitrag für die Sicherheit der IT-Infrastruktur, dennoch kommt es in jedem Unternehmen zu Angriffen oder Fehlfunktionen. Auf solche Events muss nicht nur richtig, sondern vor allem auch schnell reagiert werden können. Beides kann durch ein intelligentes Security Event Management ermöglicht werden. Events aus diversen Datenquellen werden direkt per E-Mail oder per Syslog/SIEM übertragen und vom Event Management System korreliert. Anschließend erfolgt eine Kategorisierung der Events in false positive, irrelevant oder relevant. Kritische Security Events erhalten den Status Incident und werden durch Security Experten bearbeitet.

Sollte im Unternehmen der Verdacht eines Cyberangriffs vorliegen, müssen die betroffenen Computer oder Server bestenfalls sofort vom Netzwerk getrennt werden, entweder durch Ziehen das LAN-Kabels und/oder die Deaktivierung der Netzwerkkarte und der WLAN-Verbindung. Die Computer und Server sollten allerdings nicht komplett runtergefahren werden. So können Security-Analysten anhand temporärer Speicherdaten den Ursprung und den Hergang des Angriffs besser rekonstruieren. Erst, wenn sich die Isolierung aus dem Netzwerk nicht zeitnah bewerkstelligen lässt, ist das Herunterfahren der betroffenen Endsysteme die nächstbeste Lösung.

Durch die Digitalisierung und Industrie 4.0 gelangen vermehrt IoT- und OT Devices in die Unternehmensnetzwerke. Durch die hohe Anzahl neuer Assets und dynamische Veränderungen dieser OT-Netzwerke ist eine transparente Darstellung fast unmöglich. Server, Systeme, Datenverkehr und Anwendungen der IT sowie alle Industrieanlagen mit verschiedensten Maschinenprotokollen der sogenannten OT in einer Monitoring-Lösung müssen überwacht werden, um diese zu schützen.

Angesichts der ständigen Entwicklung, die es neben dem Internet of Things auch die Industry of Things ermöglicht, darf sich IT-Monitoring nicht nur auf die Technologie zur Datenverarbeitung beschränken, sondern muss die Operational Technology (OT) mit einbeziehen. Das originäre Ziel des OT ist die Gewährleistung zuverlässiger Primärprozesse eines Unternehmens.

Die Umsetzung des Zero Trust Ansatzes benötigt Produkte und Technologien, diese für die Umgebung der Sicherheitsarchitektur adaptiert ist. Der weitere Implementierungsprozess kann in einer fünfstufigen Methodik umgesetzt werden:

1. kontinuierlicher passiver Netzwerkscan ohne Beeinflussung kritischer Umgebungen
2. Visualisierung bekannter und unbekannter Assets im IoT/OT-Netzwerk
3. Erarbeitung von Handlungsempfehlungen zur Entwicklung eines sicheren IT/OT-Netzwerkes
4. Asset-Management mittels Inventarisierung und Kategorisierung der im Netzwerksegment kommunizierenden Geräte
5. Event-Quelle für Schwachstellen und Events aus dem Bereich IoT und OT

Kritische Netzwerkumgebungen erhalten mehr Transparenz. Dadurch entsteht eine Basis mit effizienteren und flexibleren Produktionsprozessen für ein ganzheitliches Segmentierungskonzept unter der Berücksichtigung der IoT/OT Umgebung im Security Operations Center (SOC).