Autor
Markus Pfister
Veröffentlicht
20. Februar 2025
Die Laubhaufen AG, ein fiktives Beispielunternehmen, ist mit ihren Führungsigeln seit Jahren erfolgreich unterwegs und dürfte regelmässigen InfoGuard Blog-Lesenden bereits ein Begriff sein. In der Folge wird die Laubhaufen AG kurz als «Laubhaufen» bezeichnet.
Das Kerngeschäft der Laubhaufen ist die Produktion von mobilen Fertig-Laubhaufen und Igelhäusern für den modernen Igel. Der Winterschlaf wird durch die GPS-unterstützte Standortwahl (trocken und schattig) optimal unterstützt. Weiter bieten die Behausungen der Laubhaufen Schutz gegen die wenigen Fressfeinde wie beispielsweise dem Dachs.
Die Laubhaufen zeigt Stacheln
Vor einem Jahr beschloss das Team der Führungsigel, sich dem Security Operations Center (SOC) der InfoGuard anzuschliessen. Die treibenden Kräfte zu diesem Entscheid waren Frau Stoppel (IT-Architektin) zusammen mit Herrn Reisig (CISO). Schliesslich genehmigte Frau Stachelig (CEO) das Vorhaben. Seither werden die Server und Clients der Laubhaufen rund um die Uhr 24/7 überwacht und es haben sich in diesem Jahr keine relevanten Sicherheitsvorfälle ereignet.
Wenn Herr Reisig auf IT-Sicherheitsthemen zu sprechen kam, lautete der Kommentar in der Regel: «Wir haben jetzt das SOC, da können wir auf diese Massnahme verzichten». Oder: «Das SOC kostet uns schon genug». Diese Situation war für den CISO nicht befriedigend.
In der Laubhaufen werden IT-Sicherheitsaufgaben als «IT-Sicherheitsdisziplin» bezeichnet. Dieser Artikel verwendet daher ausschliesslich diesen Begriff. Eine IT-Sicherheitsdisziplin beschreibt und definiert die IT der Laubhaufen aus der Sicherheitsperspektive.
Der CISO und sein Plan für eine integrierte Cyber Defence
Der CISO wollte aufzeigen, dass die IT-Sicherheitsdisziplinen und das SOC gegenseitige Abhängigkeiten aufweisen. Deshalb war er der Meinung, dass beide Komponenten als gemeinsam zu betreibende und weiter entwickelnde Einheit betrachtet werden sollten. Bliebe dieser Umstand unbeachtet, könnte es für die Laubhaufen bedrohlich werden. Dies wollten die IT-Architektin und der CISO erklären. Wie gewohnt, setzten sich der CISO und die IT-Architektin zusammen. Diesmal, um eine schlüssige Argumentationskette für das nächste Meeting der Führungsigel aufzuzeigen.
Auslegeordnung: Sichtung der IT-Sicherheitsdisziplinen
Die beiden trafen sich im Besprechungszimmer «Happy Winterschlaf» zu einem Brainstorming, um die IT-Sicherheitsdisziplinen zu sichten und zu ordnen.
Das Ergebnis war das folgende Slide mit den IT-Sicherheitsdisziplinen der Laubhaufen:
Abbildung 1: IT-Sicherheitsdisziplinen repräsentieren die IT-Landschaft
Herr Reisig war froh, dass sie eine ganze Reihe an IT-Sicherheitsdisziplinen identifiziert hatten. Diese repräsentieren die IT-Landschaft der Laubhaufen in ihrer Gesamtheit.
Trotzdem sah er etwas fragend drein. «Wie weiter mit unserer Story? Wie können wir das der CEO verständlich erklären?» «Lass uns morgen weitersehen, ich gehe jetzt zum Igel-Fitness», meinte Frau Stoppel. Und weg war sie.
Setzen Sie sich mit uns zusammen. Wir begleiten Sie beim strukturierten Aufbau eines eigenen SOC oder sichern Ihre 360°-Cyberabwehr mit unserem 24/7 compliance-applied Managed SOC-Service. Nutzen Sie die Expertise unseres ISO 27001-zertifizierten Cyber Defence Center (CDC) für eine compliance-applied Cyberabwehr.
SOC als Schaltzentrale: Input, Output und die Dynamik der IT-Sicherheitsdisziplinen
Am nächsten Tag ergänzte Frau Stoppel die IT-Sicherheitsdisziplinen mit Erläuterungen (s. Tabelle 1) und dem Hinweis, ob eine IT-Sicherheitsdisziplin Input an das SOC liefert bzw. das SOC Output für die IT-Sicherheitsdisziplin generiert.
Herr Reisig war erfreut, was dabei herauskam. «Das sind ja viele Beziehungen zwischen den IT-Sicherheitsdisziplinen und dem SOC, und zwar beidseitig», sinnierte er. Das lässt sich gut erklären und besprechen...
|
IT-Sicherheitsdisziplin |
Erläuterung |
Input an SOC |
Output vom SOC |
|
Monitoring und Reaktion |
Die laufende Überwachung der Laubhaufen auf Sicherheitsvorfälle ist die Kernaufgabe des SOC. Die IT der Laubhaufen stellt dem SOC die notwendigen Event- und Logdaten zur Verfügung. |
x |
x |
|
Software Bill of Materials, SBOM |
Die Laubhaufen rüstet Laubhaufen und Igelhäuser mit GPS, Wettersensoren und Betriebsstundenzähler aus. Weil die Produkte in EU-Länder geliefert werden, ist die EU-Gesetzgebung für Exporte in den EU-Raum zu befolgen [1]. |
|
|
|
Vendor Risk Management |
Die Laubhaufen ist über B2B-Systeme mit ihren Lieferanten verbunden. Dadurch ist diese möglichen Supply-Chain-Angriffen ausgesetzt. |
x |
x |
|
Zugriffsschutz |
Die Assets der Laubhaufen müssen vor unberechtigten Zugriffen geschützt werden. |
x |
x |
|
Disaster Recovery |
Die IT der Laubhaufen ist hybrid, d.h. diese wird On-Prem wie auch in der Cloud betrieben. In beiden Fällen muss eine den Bedürfnissen entsprechende Datensicherung stattfinden. Um gegen Ausfälle und z.B. Ransomware-Angriffe geschützt zu sein, sollten Backups offline und offsite aufbewahrt werden. |
x |
x |
|
Standards |
Die Produktion von Igelbehausungen ist streng reguliert. |
x |
x |
|
Patching |
Weil ein Igelkleid nur so gut schützt wie der schwächste Stachel müssen die von der Laubhaufen eingesetzten IT-Komponenten auf dem aktuellen Stand sein. |
|
x |
|
Architektur |
Damit sich die IT der Lauhaufen rasch an neue oder veränderte Anforderungen anpassen kann, muss die IT-Architektur modular und agil gestaltet sein und eine Komponenten-Architektur bereitstellen, die den Anforderungen gerecht wird. |
x |
x |
|
Cloud und Multi Cloud |
Die Integration von weiteren Providern soll möglich sein. Damit stehen der Laubhaufen alle Optionen bereit. |
x |
x |
|
Quanten-Kryptografie |
In Zukunft müssen Kryptografische Algorithmen der hohen Rechenleistung von Quanten-Computern widerstehen können. Dazu müssen bestehende Algorithmen ersetzt werden. |
x |
x |
|
Asset Management |
Damit die Folgen eines Angriffs abgeschätzt werden können, müssen die betroffenen Assets bekannt und der Wert eines angegriffenen Assets definiert sein. Dieser Input ist für das SOC zur Beurteilung eines erkannten Angriffs von essenzieller Bedeutung. |
x |
x |
|
Assessments und Checks |
Um Compliance-Anforderungen zu genügen und eine interne Sicht auf die IT zu haben, werden periodisch interne und externe Überprüfungen vorgenommen, um festzustellen, wo die Laubhaufen bezüglich IT-Sicherheit steht. |
x |
x |
|
Penetration Tests |
Penetration Tests sind unter realen Bedingungen durchgeführte Angriffsversuche, um die Wirksamkeit des Sicherheitsdispositives der Laubhaufen zu testen. |
x |
x |
|
Resilienz |
Die Laubhaufen stärkt ihre Widerstandsfähigkeit gegenüber Angriffen durch periodische Table-Top- und Disaster-Recovery-Übungen. |
x |
x |
|
Governance |
Die Governance der Laubhaufen beinhaltet auch die IT-Produktionsmittel. |
x |
x |
|
Reporting |
Metriken und Reports helfen im Sinne von «Plan, Do, Check, Act», den Hebel am richtigen Ort anzusetzen. |
x |
x |
Tabelle 1: IT-Sicherheitsdisziplinen und SOC
[1] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU).
Dynamisches Umfeld
Frau Stoppel wies darauf hin, dass sich die IT-Landschaft der Laubhaufen stetig ändert. Dies beeinflusst die IT-Sicherheitsdisziplinen, da sie, wie erwähnt, die IT-Landschaft abbilden. Herr Reisig schlug vor, die Dynamik der IT-Sicherheitsdisziplinen tabellarisch aufzuzeigen. Gesagt, getan:
|
IT-Sicherheitsdisziplin |
Beschreibung der Dynamik |
Einstufung |
|
Monitoring und Reaktion |
Angriffe können jederzeit erfolgen. Aus diesem Grunde muss das Monitoring und die Reaktionsbereitschaft permanent aufrechterhalten werden. |
sehr hoch |
|
Software Bill of Materials, SBOM |
Im Normalfall verwendet die Laubhaufen in ihren Produkten Komponenten, die über langfristig abgeschlossene Lieferverträge bezogen werden. Darum gibt es wenig Änderungen am Aufbau und den Funktionen der extern bezogenen Komponenten. |
gering |
|
Vendor Risk Management |
Die B2B-Systeme der Lieferanten unterliegen den durch die Lieferanten definierten Sicherheitsmassnahmen. Die Anfälligkeit der B2B-Systeme von Lieferanten kann sich jederzeit verbessern oder verschlechtern. |
gering-mittel |
|
Zugriffsschutz |
Aufgrund der erfolgreichen Geschäftstätigkeit gibt es bei der Laubhaufen viele Mutationen wegen Ein-, Aus- und Übertritten. Neue Funktionen werden in Anwendungen integriert und entsprechend berechtigt. Dies alles verursacht Mutationen bezüglich den erteilten Berechtigungen. |
mittel |
|
Disaster Recovery |
Die Disaster-Recovery-Pläne müssen sowohl bestehende als auch neu hinzugekommene Funktionen berücksichtigen. |
mittel |
|
Standards |
Aktuell sind weder Änderungen an den Regulationen noch an den geltenden gesetzlichen Anforderungen zu erwarten. |
gering |
|
Patching |
Viele Schwachstellen an den Komponenten sind mit einer hohen Kadenz zu patchen. Bei der Laubhaufen liefert das SOC den Input zu Komponenten mit Schwachstellen. |
sehr hoch |
|
Architektur |
Die IT-Architektur hat einen mittel- bis langfristigen Fokus. Das Ziel ist, eine erweiterbare Komponenten-Architektur zu bieten, ohne dass die Basis wesentlich umgestaltet werden muss. |
gering |
|
Cloud und Multi-Cloud |
Wenn das Business der Laubhaufen eine neue Funktionalität wünscht, die nur vom Service- oder Cloud-Provider X bereitgestellt wird, führt dies zu einer Multi-Cloud-Architektur. |
gering-mittel |
|
Quanten-Kryptografie |
Es ist damit zu rechnen, dass die bestehenden kryptografischen Algorithmen in absehbarer Zeit durch Quantencomputer-resistente Algorithmen (PQC) ersetzt werden müssen. |
mittel |
|
Asset Management |
Bedingt durch die dynamische Geschäftsentwicklung der Laubhaufen sind Änderungen (Neuzugänge und Ablösungen) sowie Konfigurationsänderungen an den Assets häufig. Dies hat Einfluss auf Disaster Recovery, Monitoring, Patching usw. |
sehr hoch |
|
Assessments und Checks |
Die Compliance Checks werden regelmässig durchgeführt. |
mittel |
|
Penetration Tests |
Änderungen an der Systemlandschaft der Lauhaufen sowie die Einführung neuer Funktionalität erfordern periodische Penetration Tests zur Überprüfung des Schutzes gegen Angriffe. |
gering-mittel |
|
Resilienz |
Die Erkenntnisse aus den Disaster-Recovery-Übungen und Angriffsmustern aus dem SOC fliessen in die Gestaltung der IT der Laubhaufen ein. |
mittel |
|
Governance |
Die Governance-Vorgaben haben langfristigen Charakter und werden nach Möglichkeit wenig geändert. |
gering |
|
Reporting |
Anforderungen an Reports und Metriken helfen, das Geschäft der Laubhaufen zu steuern und werden häufig optimiert. |
hoch |
Tabelle 2: Dynamik der IT-Sicherheitsdisziplinen
Der Kreislauf von SOC und IT: The Big Picture
Frau Stoppel suchte eine Illustration, die den folgenden Prozess illustrieren sollte:
- Die Ergebnisse aus dem SOC-Monitoring und der darauf basierenden Aktionen fliessen in die IT-Landschaft ein.
- Die gegenseitige Rückkoppelung zwischen den IT-Sicherheitsdisziplinen und dem SOC.
Weil dies eine «unendliche Geschichte» ist, stellte die IT-Architektin den Sachverhalt als Kreis dar. Zufrieden blickte sie auf die Illustration. Es zeigt, dass IT-Sicherheitsdisziplinen und SOC zwei Ausprägungen der gleichen Sache sind: Die Aufrechterhaltung der IT-Sicherheit bei der Laubhaufen.
Abbildung 2: Rückkoppelung zwischen der IT-Landschaft und dem SOC
Rückkoppelung zwischen IT und SOC: Insights und Massnahmen zur Behebung blinder Flecken
Was geschieht, wenn die Rückkoppelung zwischen den IT-Sicherheitsdisziplinen und dem SOC nicht oder unvollständig implementiert ist? Und wie wirkt sich das auf die IT-Landschaft aus, die durch die Disziplinen abgebildet wird?
Frau Stoppel wollte den Sachverhalt mit ein paar Beispielen am Meeting der Führungsigel untermauern.
Insight 1: Wie Informationen aus den IT-Sicherheitsdisziplinen das SOC unterstützen
Die Laubhaufen hat sich eine neue Anwendung für die Fertigungskontrolle der Laubhaufen beschafft. Jeder Laubhaufen wird mit einem Qualitäts-Zertifikat über die Einhaltung der Industriestandards versehen.
Nach Einführung der Anwendung erkennt das SOC durch die Scans den neuen Server, verfügt jedoch nur über unvollständige Informationen zur neuen Anwendung. Die nachstehende Aufstellung zeigt die Informationen aus den IT-Sicherheitsdisziplinen, die das SOC zur Aufgabenerfüllung benötigt:
|
Information |
Begründung |
Massnahmen durch das SOC |
|
Die Wichtigkeit der Anwendung für die Laubhaufen |
Ist die Verfügbarkeitsanforderung einer Anwendung bekannt, kann die Überwachung intensiviert und bei einem Vorfall zeitnah reagiert werden. |
Schutz gemäss den definierten Verfügbarkeitsanforderungen. |
|
Art der Verbindungen zu Umsystemen, die von der Anwendung ausgehen |
Die neue Anwendung verfügt über eine grafische Web-Oberfläche und kommuniziert mit einer Datenbank. Diese Systeme könnten bei einem Angriff auf die neue Anwendung seitliche (laterale) Angriffsziele sein und sollten entsprechend geschützt werden. |
Schutz der identifizierten horizontalen und lateralen Angriffspfade. |
|
Schutzbedarf der verarbeiteten Daten |
Je nach Schutzbedarf werden Massnahmen wie Anonymisierung oder Pseudonymisierung implementiert, um das Risiko bei einem Datenleck so tief wie möglich zu halten. |
Bei sensitiven Daten wird die Überwachung durch das SOC intensiviert. |
|
Betriebsort der Anwendung |
Je nach Betriebsort ist eine Anwendung mehr oder weniger gegenüber Angriffen exponiert und benötigt den entsprechenden Schutz. |
Schutz gemäss der Exposition einer Anwendung bzw. Anwendungskomponente. |
Tabelle 3: Beispiel für den aus IT-Sicherheitsdisziplinen abgeleiteten Schutzbedarf durch das SOC.
Sind diese Informationen dem SOC nicht bekannt, wird der für IT-Systeme und Komponenten der Laubhaufen vorgesehene Basisschutz angewandt. Dieser Schutz reicht jedoch für kritische Systeme nicht aus.
Insight 2: Erkenntnisse aus dem SOC als Input für die IT-Sicherheitsdisziplinen
Das SOC stellt fest, dass der Laptop von Herrn Kugel (Produktmanager) seit einem halben Jahr nicht mit Updates versehen wurde. Es fliessen die nachstehenden Informationen aus dem SOC zum Betrieb:
|
Informationen aus dem SOC |
Begründung |
Aufgaben Betrieb |
|
Der Patch-Level Windows OS ist veraltet. |
Nachführen der Konfigurations-Management-Datenbank. Automatisches Einspielen der Patches oder Information an Herrn Kugel, dass er seinen Laptop beim Helpdesk patchen lassen muss. |
Aufrechterhalten der aktuellen Konfigurations-Management-Datenbank und der aktuellen Patching Levels. |
|
Zertifikate sind abgelaufen |
Automatisches Einspielen neuer Zertifikate oder Information an Herrn Kugel, dass er diese vom Helpdesk erneuern lassen muss. |
Sicherstellen der Identität, einem sicheren Remote-Zugriff und von gültigen Signaturen. |
|
Fehlende Virenscans |
Automatisches Update von Virenscanner und Virendefinitionen oder Input an Herrn Kugel, dass er seinen Laptop beim Helpdesk zum Beheben des Virenscanners vorbeibringen soll. |
Sicherstellen, dass der Virenschutz auf allen Systemen funktionstüchtig und aktuell ist. |
Tabelle 4: Beispiel-Informationen aus dem SOC an die IT-Sicherheitsdisziplinen
Weiter stellte das SOC fest, das sich Herr Kugel mitten in der Nacht von einem unüblichen Ort remote in die Laubhaufen einwählen wollte. Auch hier fliessen Informationen vom SOC zum Betrieb und zum CISO:
|
Information aus dem SOC |
Begründung |
Aufgaben Betrieb und CISO |
|
Überwachung und Beurteilung des User-Verhaltens |
Vorschläge für die Definition von «Conditional Access Policies», mit welchen verdächtige Verhaltensmuster erkannt und automatisch blockiert werden. |
Etablieren von «Conditional Access Policies» und Definition entsprechender «Story Books», mit welchn nach Möglichkeit automatisiert auf Vorfälle reagiert werden kann. |
Tabelle 5: Beispiel Information aus dem SOC an die IT-Sicherheitsdisziplinen
Fehlt das Feedback vom SOC an die IT-Sicherheitsdisziplinen oder an den Betrieb, laufen die Erkenntnisse aus dem SOC ins Leere.
Ein endloses Muster: gefährliche Lücken zwischen SOC und IT-Sicherheitsdisziplinen
In den beschriebenen Szenarien laufen sowohl das SOC und die durch die IT-Sicherheitsdisziplinen repräsentierte IT-Landschaft auseinander. Je länger dieser Zustand andauert, um so grösser werden die blinden Flecken.
Aus der nachstehenden Abbildung ist ersichtlich, dass sich links und rechts Lücken auftun:
Abbildung 3: Unvollständige Abdeckung IT-Landschaft und SOC
Diese Lücken sind ohne Übertreibung brandgefährlich. Jeder Hacker weiss diese zu schätzen, um ungestört der schädlichen Tätigkeit nachzugehen.
Konklusion oder «Die Notwendigkeit einer ganzheitlichen Strategie»
Der CISO hatte nun alle Informationen beisammen, um eine adressatengerechte Präsentation für das Meeting der Führungsigel zu erstellen. Im abschliessenden Slide fasste er die Erkenntnis der Betrachtungen zusammen:
- Die IT-Sicherheitslandschaft, die sowohl durch die IT-Sicherheitsdisziplinen als auch das SOC bzw. dessen Konfiguration abgebildet wird, steht in Wechselwirkung. Änderungen sind beidseitig nachzuführen.
- Werden IT-Sicherheitsdisziplinen und SOC als getrennte Elemente behandelt, entstehen blinde Flecken, die für Angriffe ausgenutzt werden können. Die blinden Flecken werden mit der Zeit grösser und damit gefährlicher.
Fazit: Aus diesem Grunde sollte die Laubhaufen weiterhin in die IT-Sicherheitsdisziplinen und ins SOC investieren und den wechselseitigen Informationsfluss sicherstellen. Damit stellt die Laubhaufen sicher, dass die investierten Mittel den optimalen Nutzen generieren.
Wie unterstützt InfoGuard Ihr Unternehmen bei der Umsetzung konkret?
InfoGuard unterstützt Unternehmen mit dem Betrieb eines Managed SOC unter dem Einsatz von dedizierten Business & Compliance-Usecases, damit Sie 360° sicher und compliance-applied agieren können.
Darunter fallen folgende Service-Komponenten:
- Sicherstellen oder Definieren wechselseitiger Informationsflüsse zwischen SOC und IT-Sicherheitsdisziplinen.
- Erstellen von Migrationsszenarien in ein SOC.
- Bewerten und verbessern einer bestehenden SOC-Integration.
- Erarbeiten und bewerten einer branchenkonformen IT-Sicherheitsarchitektur.
Wir begleiten Sie bei der Umsetzung eines 24/7 compliance-applied Managed SOC mit den Services unseres ISO 27001-zertifizierten Cyber Defence Center (CDC) und beraten Sie ebenfalls gerne rund um Themen zu Risk Management & Compliance.
Bildlegende: eigenes Bildarchiv
Blog
Blog
Perfekte Cyber-Defence-Symphonie: SOC und Security-Disziplinen im Einklang
Cyber Security
Architektur
Blog
Sicheres Cloud Computing: So bleiben Compliance-Verstösse aussen vor
Risk & Compliance
Blog
Trends, Herausforderungen und Innovationen in der Cyber Security: Das war der 13. InfoGuard Innovation Day
Cyber Defence
Cyber Security