Gebündelt werden Fachwissen und Informationen zum Schutz vor Cyberangriffen in einem Security Operation Center (SOC). Die ICT des KSGR betreibt seit zwei Jahren ein solches SOC. Um auch Randzeiten abdecken zu können, ist das KSGR vor kurzem eine Zusammenarbeit mit einem externen Anbieter eingegangen. Dieser wird das KSGR im Bereich des SOC massgeblich unterstützen und die Analyse von Ereignissen ausserhalb der Bürozeiten übernehmen und damit die Fähigkeit des KSGR zur Früherkennung von Angriffen wesentlich stärken.
 

Keine Kapuzen-Nerds, sondern unternehmerisch organisiert

Cyberkriminalität verursacht weltweit Schäden in Höhe von ungefähr 600 Milliarden US-Dollar pro Jahr. Das entspricht 0.8 Prozent der weltweiten Wirtschaftsleistung.
Das klischierte Bild von jugendlichen Nerds mit schwarzem Kapuzen-Pulli, die sich die Nächte vor ihren Computern um die Ohren schlagen und fremde Rechner angreifen, entspricht nicht mehr der Realität. Längst setzen moderne Cyberkriminelle auf Arbeitsteilung, Kundendienst und Marketing. Im Darknet, dem verborgenen Teil des Internets, in welchem kriminelle Dienstleistungen und Informationen angeboten werden, existiert ein breites Angebot für offensive Dienstleistungen, was es einem Angreifer leichter macht, sich für einen Cyberangriff entsprechend zu munitionieren.
 

Die Gesundheitsbranche im Fadenkreuz der Cyberkriminalität

Die Gesundheitsbranche ist für Cyberkriminelle ein lohnenswertes Ziel. Neben der Offenlegung sensibler Patientendaten sind nicht nur die Persönlichkeitsrechte, sondern schlimmstenfalls ist sogar die Unversehrtheit von Personen gefährdet, wenn medizinische Geräte oder Systeme durch Cyberangriffe beeinträchtigt werden. Zudem werden medizinische Daten im Darknet höher gehandelt als beispielsweise Passwörter und Kreditkartendaten.
 

Fachwissen, Spürsinn und Ausdauer

Ein Kernaspekt des SOC ist es, den aktuellen Zustand der Applikationen und Systeme jederzeit zu kennen und möglichst früh Abweichungen vom Normalverhalten und damit potentielle Gefährdungen zu erkennen. Diese Anhaltspunkte werden von einem Analysten im SOC bearbeitet. Er analysiert, ob eine tatsächliche Gefährdung vorhanden ist und welche Schritte einzuleiten sind. Dazu sind nebst profundem Fachwissen in einer breiten Palette von IT-Fachthemen auch ein ausgewiesener Spürsinn sowie Ausdauer erforderlich. Nicht selten resultiert zum Ende aufwändiger Abklärungen auch die Erkenntnis, dass der vermeintliche Angriff auf ein Fehlverhalten eines Systems oder von Benutzer:innen zurückzuführen ist. Dann passt man das System an oder schult die Benutzer:innen.
 

150 Millionen Datensätze täglich zur Früherkennung von Angriffsmustern

Jeder Angreifer hinterlässt Spuren. Je professioneller der Angreifer vorgeht, umso schwieriger sind sie zu erkennen. Um ihre Spuren zu erkennen, werden die Protokollinformationen von Applikationen und Systemen laufend zentral gesammelt und verarbeitet. Über diese Protokollinformationen ist es möglich, Aktivitäten aufzuzeichnen. Eine erfolgreiche oder erfolglose Anmeldung auf einem System generiert beispielsweise eine solche Protokollinformation. Die Applikationen und Systeme am KSGR generieren täglich um die 150 Millionen solcher Protokollinformationen. Mit dem SOC und der Kooperation mit dem externen Dienstleister können diese nun rund um die Uhr analysiert und überwacht werden.