Eine Summe von bis zu zwei Milliarden Events pro Tag - das ist Alltag im Cyber Defense Center (CDC) von Siemens. In einem Webcast der Computerwoche berichtet der Konzern von seinen Erfahrungen. Christian Böhm, Head of Cyber Defense Systems Europe bei Siemens, und Tuncay Eren, Director Central Europe bei CrowdStrike, skizzieren, wie das Unternehmen diese Herausforderung managt. Dabei geht es auch um die Arbeit von CrowdStrike, einen Partner von Siemens. Fachjournalist Heinrich Seeger von der Computerwoche moderiert den Webcast.

"Stellen Sie sich vor, Ihr Unternehmen wird durch Emotet bekannt…" Mit diesem Schreckensszenario steigt Böhm ein. Sein Hintergrund: Mit fast 400.000 Mitarbeitern bietet Siemens rund 400.000 potenzielle Einstiegspunkte. Deshalb verfügt der Konzern seit 2014 über ein Cyber Defense Center. Seit 2018 agiert es - nach der Verschmelzung mit einem weiteren Bereich - als Cyber Security Defense. Seit 2019 operiert Siemens mit der eigenen Analytics-Plattform Argos. Die Partnerschaft mit CrowdStrike begann 2014. Heute erkennt die EDR-Lösung 73 Prozent der Angriffe, sagt Böhm: "Damit ist das die wichtigste Quelle!"

Doch wie organisieren die Webcast-Zuschauer die Cyber-Abwehr in ihrem Unternehmen? Eine Umfrage, in der Mehrfachantworten möglich sind, zeigt folgendes Bild: bei 49 Prozent gehört das intern zur Verantwortung der IT, 47 Prozent haben eine zentrale Einheit wie bei Siemens und elf Prozent beschäftigen externe Dienstleister als zentrale Cyber-Abwehr. Als größte Herausforderungen gelten fehlendes Fachwissen und Mitarbeiter (44 Prozent) sowie die mangelnde Sichtbarkeit von Sicherheits- und Infrastrukturereignissen (39 Prozent). Eren bestägt: "Der Treiber für das Einführen neuer EDR-Lösungen ist zu 80 bis 90 Prozent Visibility!"

Das Profil des Chief Information Security Officers

Eren skizziert die Aufgaben so: Der CISO (Chief Information Security Officer) ist für Design und Architektur sowie neben anderen Aufgaben für die interne und externe Auditierung zuständig. "Idealerweise hat er ein eigenes Budget und berichtet direkt an den Vorstand", sagt er. Seiner Beobachtung nach sitzen in Deutschland etwa 20 Prozent der CISOs außerhalb der IT und berichten direkt an den Vorstand. In jedem Falle sollte der CISO mindestens ein unabhängiges Mandat und ein eigenes Team haben.

Nochmal zurück zu Emotet: Der Schädling wurde 2014 erstmals gesehen. "Das war ein klassischer Banking-Trojaner", erinnert sich Böhm. 2018 habe sich das geändert. Der Schädling hat die nächste Stufe der Gefährlichkeit erreicht. "Aktuell hat er fünf Module, die er nachladen kann, darunter eines, mit dem er Mail-Passwörter und Emails auslesen kann", weiß der Siemens-Manager. "Damit kann er sich in interne Inhalte einnisten, um noch glaubwürdiger zu wirken. Und das neueste ist Ransomware mit der Verschlüsselung von Daten - für Firmen sehr gefährlich."

Wie kann man Emotet abwehren? Böhm nennt drei Punkte. Erstens natürlich den Klassiker, also Spamfilter. Zweitens für die Schädlinge, die doch noch durchkommen, die EDR-Lösung (inklusive Erkennen in der Frühphase, Threat Hunting, Real Time Response) und drittens schließlich reaktive Maßnahmen. "Wir können mit Stolz sagen, dass Emotet Siemens bisher nicht so getroffen hat, dass es zu einer lateralen Verbreitung gekommen wäre", sagt Böhm.

Viele Phishings nutzen die Corona-Angst der Menschen aus

"Wie hat sich Corona ausgewirkt?", will Moderator Seeger wissen. Böhm beobachtet, dass viele Phishings mit Covid als Thema agieren und mit der Angst der Menschen spielen. "Es gibt unterschiedliche Zahlen, aber jeder bestätigt, dass die Zahl der Angriffe gestiegen ist", bestätigt Eren. Die Experten stellen definitiv fest, dass viele Unternehmen nicht auf diese Menge an Homeoffice-Workern vorbereitet waren. "Es haben auch Awareness-Trainings für die Mitarbeiter gefehlt", sagt Eren.

Von seinen Peers hört Böhm zum Thema Gefahrenabwehr immer wieder fünf typische fünf Fragen. Im Einzelnen:

1. Wen muss man in die Planung des Rollouts einbeziehen? So lautet die erste Frage. Seine Antwort: alle IT-Kollegen. Wichtig ist aber, sich vorher zum Beispiel mit Legal zu unterhalten. "Darf ich das Produkt überall auf der Welt ausrollen?", das ist ein Punkt, der geklärt werden muss. Auch Datenschutz und Betriebsrat sind einzubeziehen: "Reden Sie offen darüber, was man mit der Software tun kann und was nicht", rät er.

2. Was ist beim Rollout technisch zu beachten? "Sie müssen sicherstellen, dass die Firewalls überall offen sind, und dafür sorgen, dass Ausnahmen nicht mit ausgerollt werden. Dafür braucht man extra Tools", so die Erfahrung des Siemens-Managers.

3. Wie hält man das alles synchron bei 400.000 Endpoints? Seine knappe Antwort: "Ein Lob an den IT-Dienstleister!"

4. Was ist beim Rollout der Lösung zu beachten? Böhm rät, erstmal alle Schalter runterschalten und dann langsam hochzudrehen. "Eigenprogrammierungen bereiten da manchmal Probleme", sagt er. Man habe sich bei Siemens zwei Jahre Zeit gelassen, um alle Anwendungen zu evaluieren. Der eigentliche Rollout lief dann binnen drei Wochen ab.

5. "Hand aufs Herz: skaliert das wirklich?", so lautet Frage Nummer fünf. Auch hier ist die Antwort schnell gegeben: "Wir hatten noch nie Probleme!"

ROI zwischen sechs und neun Monaten

Zum Schluss der Sendung haben die Zuschauer das Wort. "In welchen Ländern hostet Crowdstrike seine Dienste und wie steht es um die DSGVO?", will einer wissen. Dazu Eren: "Wir haben Data Center in Deutschland und in den USA." Die europäischen Kunden "wollen Festland-Europa, nicht Irland", so der Crowdstrike-Manager weiter. Er betont, dass beide GDPR-compliant sind.

"Und welches Einsparpotenzial lässt sich durch den Einsatz von Prevent erzielen?", so eine weitere Zuschauerfrage. Böhm antwortet: "Wir werden den Aufbau weiterer Analysten um circa 20 Prozent verlangsamen können." Eren fügt an: "Ein Business Value Assessment gehört bei uns dazu. In der Regel erzielen sie zwischen sechs und neun Monaten einen ROI!"

Hier den Webcast ansehen