Die Bedrohungslage für Städte wird immer ernster: Cyberangriffe nehmen weiter zu, werden komplexer und sind schwerer zu erkennen. Zudem herrscht Fachkräftemangel und es fehlen spezielles Know-how und Zeit. Kurz: IT-Teams im kommunalen Umfeld sind mit ihren Aufgaben voll ausgelastet und nicht in der Lage, effektive IT-Sicherheit sicherzustellen. Ein Ausweg aus dem Dilemma bietet ein gemanagtes Security Operations Center (SOC).
Städte und kommunale Dienstleister stehen im Visier von Cyberkriminellen. Das zeigen die erfolgreichen Angriffe in den letzten Jahren auf die Südwestfalen-IT sowie die Städte Witten oder Siegen – und das sind nur ein paar Beispiele. Früher war der klassische Virenschutz auch in Kommunen die Standardlösung, um Schadprogramme zuverlässig aufzuspüren und zu stoppen. Heute funktioniert dies nur noch begrenzt, denn die Angreifergruppen haben ihre Taktiken angepasst und verändert: Sie setzen auf dateilose Vektoren und nutzen beispielsweise Sicherheitslücken in Anwendungen aus, um in die IT-Systeme einzudringen. Oft existieren hierfür bereits Updates, diese werden aus Zeitmangel in der IT-Abteilung aber nur verzögert eingespielt. Eine weitere Möglichkeit ist das Ausnutzen eigentlich legitimer Systemfunktionen, die in Verbindung mit anderen Tools und Aktionen einen Angriff ermöglichen. Zudem setzen die Kriminellen auf ausgefeiltes Social Engineering in Form von Phishing-Kampagnen, um Zugangsdaten für IT-Systeme zu erhalten. Bei diesen Angriffsformen ist ein klassischer Virenschutz nur begrenzt effektiv. Erkennt eine Sicherheitslösung ein Schadprogramm, ist der Angriff oft schon weiter vorangeschritten.
Abonnieren Sie unseren Newsletter mit Link zur kostenlosen PDF Ausgabe der Kommunalwirtschaft!
Ein weiteres Problem sind die oft hochkomplexe Anwendungslandschaft und IT-Systeme der Städte und deren Einrichtungen, die eine Absicherung erschweren. Sinnvoll ist daher ein umfassenderes Security-Konzept. Dieses sollte eine Angriffserkennung in einem frühen Stadium ermöglichen. Nur so ist es möglich, den Schaden möglichst klein zu halten und zum Beispiel den vollständigen Ausfall von kommunalen IT-Systemen zu verhindern.
24/7 ist Pflicht
Cyberkriminalität ist ein „Rund-um-die-Uhr-Geschäft“. Die Angreifergruppen sind auch nachts, an Wochenenden und an Feiertagen aktiv. Effektive IT-Sicherheit muss deshalb zwingend über den ganzen Tag und an 365 Tagen im Jahr gewährleistet sein, ansonsten ist sie lückenhaft und uneffektiv – dies kann ein klassischer Virenschutz nicht leisten. Die Aufgabe einer lückenlosen Überwachung übernimmt im Idealfall ein gemanagtes Security Operations Center. Das Analystenteam hat dabei die gesamte IT mit allen Vorgängen und Prozessen durchgehend im Blick – auch außerhalb der Geschäftszeiten. Alle sicherheitsrelevanten Logs und Daten werden zentral gesammelt, korreliert und ausgewertet. So lassen sich verdächtige Aktivitäten, die auf einen Cyberangriff hinweisen können, frühzeitig erkennen – etwa ungewöhnliche Rechtevergaben oder untypische Netzwerkbewegungen. Die SOC-Spezialistinnen und -Spezialisten bewerten diese Ereignisse in Echtzeit. Kommen sie zum Schluss, dass es sich um einen Cyberangriff handelt, leiten sie umgehend Gegenmaßnahmen ein. Dadurch können Angriffe in der Frühphase gestoppt werden, bevor sie erheblichen Schaden anrichten und dieser möglicherweise existenzbedrohend wird.
Für die Analyse von Vorgängen kommt bei einem SOC eine moderne und umfassende Sensorik zum Einsatz. Diese umfasst spezielle Technologien, zum Beispiel eine besondere Verhaltenserkennung, um Bedrohungen durch ihr Agieren zu entdecken. Dies wird bei einem Security Operations Center mit der Dienstleistung kombiniert, auf schädliche Vorfälle umgehend reagieren zu können – dies leistet eine Virenschutzlösung nicht.
Fachwissen auf dem neuesten Stand
Die komplexe Aufgabe, eine IT-Infrastruktur kontinuierlich zu überwachen und Cyberangriffe in den Anfängen zu stoppen, können Kommunen und städtische Unternehmen im Regelfall nicht in Eigenregie stemmen. Die IT-Teams sind mit dem Betrieb der Systeme und Dienste bereits voll ausgelastet und damit nicht in der Lage, einen weiteren umfassenden Arbeitsbereich zu übernehmen. Ein Rund-um-die-Uhr-Schichtbetrieb ist daher illusorisch und der Aufbau eines eigenen SOCs nicht möglich. Hierfür braucht es eine Vielzahl an qualifizierten und erfahrenen Fachleuten. Diese sind allerdings Mangelware und stehen auf dem Arbeitsmarkt nicht zur Verfügung. Gerade im Bereich IT und Security herrscht Fachkräftemangel: Allein in Deutschland fehlten 2023 fast 105.000 Spezialistinnen und Spezialisten für IT-Sicherheit und eine Verbesserung dieser prekären Lage ist aktuell nicht in Sicht (Quelle: Cybersicherheit in Zahlen von G DATA CyberDefense, Statista und Brand eins). Zudem handelt es sich hier um Fachkräfte, denen üblicherweise hohe Gehälter gezahlt werden. Sie haben daher häufig kein Interesse, nach öffentlichem Tarif entlohnt zu werden. Ohne die Unterstützung eines externen Anbieters ist effektive Security daher oft nicht machbar.
IT-Security ist außerdem ein hoch spezialisiertes Feld, das weit über IT hinaus geht. IT-Fachleute kennen sich nicht zwangsweise auch mit IT-Sicherheit aus – hier ist viel Know-how und Erfahrung gefragt. Ein SOC-Analystenteam verfügt über dieses spezielle Security-Fachwissen. Dies ist die Grundlage dafür, dass potenziell schädliche Vorgänge im Netzwerk aufgespürt, analysiert und richtig eingeschätzt werden können. Auf dieser Basis kann dann die passende Reaktion erfolgen. Fehler wie das Nichterkennen einer Attacke hat schnell fatale Folgen. Daher macht es für Kommunen großen Sinn, sich auf externe Expertinnen und Experten zu verlassen. Das Analystenteam ist immer auf dem neuesten Wissensstand. In einem internationalen Netzwerk erfolgt ein regelmäßiger Austausch über neue Angriffsvektoren, Techniken und Methoden der Kriminellen. Von dieser Expertise profitieren Kommunen und Unternehmen, weil dies nicht nur die Erkennung schädlicher Aktionen fördert, sondern weil daraus auch Handlungsempfehlungen für mehr IT-Sicherheit entstehen – dies ist oft Bestandteil der Managed-Security-Operations-Center-Dienstleistung. So fördert ein SOC auch proaktiv die Security-Architektur und die Resilienz.
Digitale Souveränität
Haben kommunale IT-Verantwortliche sich für ein gemanagtes SOC entschieden, stellt sich die Frage nach dem Anbieter. Hier ist auch das Thema „Digitale Souveränität“ von großer Bedeutung. Damit einhergehend ist entscheidend, wo der Managed-SOC-Anbieter seinen Unternehmenssitz hat. Handelt es sich um eine Firma aus Deutschland, ist der strenge deutsche Datenschutz die gesetzliche Grundlage. Hiervon profitieren Städte und Gemeinden direkt: Es werden nur die Daten im Zuge der SOC-Dienstleistung eingesehen, die für die Überwachung, Analyse und Behebung von Vorfällen nötig sind. Andere Informationen bleiben unangetastet. Dieser Aspekt ist sehr wichtig, denn Managed-SOC-Dienstleistungen erfordern grundsätzlich, dass Anbieter einen umfassenden Einblick in die Daten des Unternehmens erhalten.
IT-Verantwortliche sollten daher bei der Anbieterauswahl gezielt nach den Server-Standorten fragen. Zu klären ist, welche Informationen im Zuge der Zusammenarbeit vom beauftragten Unternehmen eingesehen werden und zu welchem Zweck dies geschieht. Zudem sollte es möglich sein, auf die individuellen Wünsche und Gegebenheiten einer Gemeinde oder eines kommunalen Unternehmens einzugehen, zum Beispiel beim Vorgehen einer Response.
Fazit: Ein Managed SOC ist ein gutes Match
Für Städte, kommunale Einrichtungen und Unternehmen ist ein gemanagtes Security Operations Center eine sinnvolle Anschaffung. Sie heben ihre IT-Sicherheit auf ein neues Niveau. IT-Verantwortliche treten damit aber auch dem Fachkräftemangel entgegen und überlassen speziell geschulten und erfahrenen Fachleuten ihre IT-Security. Diese stoppen Angriffe in den Anfängen, bevor beispielsweise Bürgerdienste lahmgelegt sind und schwere Schäden auftreten. Die Kosten für ein Managed SOC sind planbar und kalkulierbar im Vergleich zu kostspieligen Folgen einer erfolgreichen Attacke. Die Investition rechnet sich daher und führt schnell zu einem „Return of Invest“ (ROI).
Kommunale IT-Verantwortliche sollten bei der Anbieterwahl allerdings genau hinschauen und dabei unbedingt die Fragen des Unternehmensstandortes und den Umgang mit den Daten klären – dann steht einem effektiv und vertrauensvoll arbeitenden Managed SOC nichts im Weg.
Abonnieren Sie unseren Newsletter mit Link zur kostenlosen PDF Ausgabe der Kommunalwirtschaft!
