Cyber Defense Center: Von der Anforderung bis zur Umsetzung

So bauen Unternehmen eine moderne Sicherheitsarchitektur gegen heutige Bedrohungen auf

Cyberangriffe sind längst keine Ausnahmen mehr – sie sind alltägliche Realität für Unternehmen jeder Grösse. Professionelle Hackergruppen agieren zunehmend organisiert, raffiniert und oft über lange Zeiträume hinweg unerkannt. Gleichzeitig steigen regulatorische Anforderungen und die Bedeutung unternehmenskritischer Daten.

Wie können Unternehmen diesem neuen Risiko begegnen? Die Antwort lautet: mit einem systematischen, ganzheitlichen Sicherheitsansatz. Ein Cyber Defense Center (CDC) bildet dabei das Herzstück moderner Cyberresilienz. Es erkennt Angriffe frühzeitig, reagiert effektiv auf Vorfälle und schützt aktiv die digitalen Werte eines Unternehmens.

In diesem Artikel zeigen wir praxisnah, wie Unternehmen ein CDC aufbauen – von der Anforderung über die konkrete Umsetzung bis zur Integration in bestehende Infrastrukturen.

Einleitung: Warum Unternehmen ein Cyber Defense Center brauchen, um digitale Risiken wirksam zu beherrschen

Daten gewinnen in der heutigen Arbeitswelt zunehmend an Bedeutung. Sie schaffen einen wesentlichen Mehrwert für Unternehmen und sind eine zentrale Grundlage für die Entwicklung neuer Geschäftsmodelle. Die digitale Transformation führt dabei zu einer stark steigenden Menge an Daten, die verarbeitet und geschützt werden müssen.

Um den geschäftlichen Nutzen dieser Daten langfristig zu sichern, ist ein umfassender Schutz ihrer Vertraulichkeit, Integrität und Verfügbarkeit unerlässlich. Gleichzeitig nimmt die Bedrohung durch Cyberkriminalität deutlich zu. Mit der wachsenden Abhängigkeit von IT-Diensten rücken Daten und IT-Infrastrukturen zunehmend ins Visier professioneller, international agierender Hackergruppen. Diese versuchen durch gezielte Angriffe oder durch Diebstahl und Verschlüsselung von Daten finanzielle Vorteile zu erlangen. Berichte des Bundesamtes für Cybersicherheit (BACS) sowie internationale Analysen wie der Data Breach Investigations Report zeigen eine stetige Zunahme sowohl der Häufigkeit als auch der Raffinesse dieser Angriffe.

Zum Schutz der Geschäftstätigkeit ist daher der Einsatz wirksamer Cybersecurity-Massnahmen unabdingbar. Eine zentrale Rolle kann dabei ein Cyber Defense Center (CDC) übernehmen. Ein solches Zentrum ermöglicht die kontinuierliche Überwachung der IT-Infrastruktur und reagiert flexibel auf sich ständig verändernde Angriffsmethoden. Angesichts der Tatsache, dass viele Angriffe mit einer zeitverzögerten Wirkung – etwa durch monatelang unerkannte Infektionen – einhergehen, ist es entscheidend, potenzielle Bedrohungen frühzeitig zu erkennen. Ein CDC trägt dazu bei, Sicherheitsvorfälle präventiv zu verhindern, indem es Infektionen durch Schadsoftware (Malware) bereits in einem frühen Stadium identifiziert.

Vorgehen: So wird aus Theorie ein wirksames Schutzkonzept – die Bausteine eines modernen CDC

Um die IT-Systeme und die Daten erfolgreich zu schützen, ist es zunächst erforderlich, alle relevanten Systeme und Datenbestände zu identifizieren und ihren Schutzbedarf zu bestimmen. Dabei erfolgt auch eine Klassifizierung der Daten – etwa in die Kategorien öffentlich, vertraulich oder geheim –, um den angemessenen Schutzlevel festzulegen.

Die Schutzbestimmungen orientieren sich dabei am internationalen NIST Cybersecurity Framework, welches auch als Vorlage für die notwendige Umsetzung der Schutzmassnahmen inklusive dem Cyber Defense Center dienen kann.

Um die vorab identifizierten IT-Systeme und Daten vollumfänglich zu schützen, muss ein Cyber Defense Center eingesetzt werden, welches unterschiedliche Schutzmechanismen abdeckt. Dazu zählen:

• Security Information and Event Management (SIEM)
• Vulnerability Management
• Threat Intelligence
• Cybersecurity Incident Response & Forensics

Für jeden dieser Bereiche ist im Rahmen von Workshops zu definieren, wie und in welcher Tiefe die jeweiligen Massnahmen umgesetzt werden sollen. Nur durch ein abgestimmtes und integriertes Vorgehen lässt sich ein umfassender Schutz realisieren.

Das Security Information and Event Management (SIEM) ermöglicht die Echtzeitüberwachung von Bedrohungen über eine Vielzahl von Anwendungen und Systemen hinweg. Es korreliert und analysiert die gesammelten Informationen und liefert dadurch eine umfassende Sicht auf die IT-Sicherheitslage. Dabei werden auch Daten aus bestehenden Sicherheitslösungen wie Firewalls, Intrusion Prevention Systemen (IPS) und weiteren eingebunden und in die Analyse einbezogen. Das SIEM fungiert als zentrale Instanz zur Erkennung von Trends und Mustern, insbesondere bei Abweichungen vom Normalverhalten. So lassen sich potenzielle Sicherheitsvorfälle frühzeitig identifizieren. Sobald ein solcher Vorfall erkannt wird, greifen die zuvor definierten Prozesse, die in sogenannten Use Cases abgebildet sind. Diese Use Cases orientieren sich am MITRE ATT&CK Framework und beschreiben spezifische Bedrohungsszenarien sowie die Reaktionsmechanismen darauf. Für eine effektive Nutzung des SIEM ist es entscheidend, gemeinsam festzulegen, welche Daten und Systeme besonders schützenswert sind. Darauf basierend werden die relevanten Use Cases entwickelt – stets im Einklang mit den spezifischen Anforderungen des jeweiligen Unternehmens.

Das Vulnerability Management dient der kontinuierlichen Überwachung von eingesetzten Systemen, Softwarekomponenten und Konfigurationen auf potenzielle Schwachstellen. Diese Schwachstellen werden hinsichtlich ihres Risikos bewertet, um darauf basierend geeignete Mssnahmen zur Behebung zu entwickeln und Prioritäten für deren Beseitigung festzulegen. Für ein effektives Vulnerability Management ist der Einsatz eines spezialisierten Tools erforderlich, das in der Lage ist, die definierten Systeme und Konfigurationen umfassend zu analysieren. Dabei sollten auch Informationen über bekannte Schwachstellen – insbesondere Zero-Day-Lücken, die durch spezialisierte Dienste identifiziert und veröffentlicht werden – in das Tool integriert werden, um neue Bedrohungen frühzeitig zu erkennen. Darüber hinaus muss ein strukturierter Prozess definiert sein, der sicherstellt, dass erkannte Schwachstellen zeitnah und nachhaltig behoben werden.

Das Threat Intelligence ermöglicht eine schnelle und präzise Erkennung neuer Bedrohungen, indem sicherheitsrelevante Daten in einen breiteren Kontext gesetzt und analysiert werden. Beispielsweise können Informationen aus dem SIEM mit Threat-Intelligence-Daten angereichert werden, um eine ganzheitliche Sicht auf die Sicherheitslage zu erhalten und fundiertere Entscheidungen in kürzerer Zeit zu treffen. Das Threat Intelligence umfasst die systematische Sammlung, Auswertung und Nutzung von Informationen über bestehende und potenzielle Bedrohungen für IT-Systeme, Netzwerke und Daten. Dadurch wird ein proaktives Sicherheitsverhalten ermöglicht, das über rein reaktive Massnahmen hinausgeht.Darüber hinaus erlaubt Threat Intelligence eine gezielte und kundenspezifische Überwachung in schwer zugänglichen Bereichen wie dem Darknet, Tor-Netzwerken, Hackerforen, sozialen Medien, Blogs oder IRC-Channels. Dort kann aktiv nach digitalen Spuren, sensiblen Daten, Angriffswerkzeugen, Malware, gestohlenen Zugangsdaten, Kreditkarteninformationen oder geplanten Cyberkampagnen gesucht werden. Um Cyberbedrohungen frühzeitig zu erkennen, potenziellen Datendiebstahl aufzudecken und eine umfassende Analyse bei Sicherheitsvorfällen zu ermöglichen, sollte eine Threat-Intelligence-Lösung fester Bestandteil der Sicherheitsarchitektur sein. Dabei ist es essenziell, diese Lösung an die individuellen Anforderungen und Risiken des jeweiligen Unternehmens anzupassen.

Bei einem Sicherheitsvorfall ist es wichtig, möglichst rasch reagieren zu können, den Schaden in Grenzen zu halten und eine weitere Ausbreitung zu verhindern. Hierzu benötigt es ein Cybersecurity Incident Response Team, welches bei IT-Bedrohungen wie Cyberangriffe und Sicherheitsverletzungen schnell eingreifen kann. Das Vorgehen im Ernstfall basiert auf definierten Prozessen und Handlungsplänen, die je nach Art des Sicherheitsvorfalls variieren können. Ziel ist es, den Angreifer möglichst schnell zu identifizieren, betroffene Systeme zu isolieren, die Auswirkungen umfassend zu analysieren und den Vorfall effizient zu beheben. Ein wesentlicher Bestandteil des Incident Response ist zudem die forensische Sicherung relevanter Daten, um den Vorfall im Nachhinein nachvollziehbar aufzuarbeiten. Diese Erkenntnisse dienen nicht nur der Klärung des Geschehens, sondern auch der Ableitung von Massnahmen zur nachhaltigen Verbesserung der Sicherheitsvorkehrungen.

Damit das Cyber Defense Center reibungslos funktioniert, muss ein Operating Model erstellt werden, welches die Aufgaben und Zuständigkeiten zwischen allen Beteiligten klärt. Dazu muss zuerst definiert werden, welche Form des CDC eingesetzt werden soll; soll dieses intern als eigene Abteilung innerhalb der Firma, aufgebaut werden, vollständig von einem CDC Provider bezogen werden oder eine Hybrid-Lösung eingesetzt werden. Unabhängig vom gewählten Modell müssen im Operating Model die Zuständigkeiten klar definiert sowie die relevanten Aufgaben, Prozesse und Schnittstellen detailliert ausgearbeitet werden. Nur so lässt sich eine effiziente und koordinierte Zusammenarbeit sicherstellen.

Trotz umfassender Sicherheitsmassnahmen kann es zu Sicherheitsvorfällen kommen. In einem solchen Fall ist eine schnelle, strukturierte und angemessene Reaktion entscheidend. Um in der kritischen Phase eines Vorfalls gezielt und koordiniert vorgehen zu können, werden im Vorfeld Security Playbooks erstellt. Diese Playbooks definieren standardisierte Abläufe für verschiedene Arten von Sicherheitsvorfällen – von der Vorbereitung und Erkennung über die Eindämmung und Behebung bis hin zur Nachbereitung und Analyse des Vorfalls. Je nach Szenario (z. B. Ransomware, Datenabfluss, Phishing) sind spezifische Playbooks notwendig, die den jeweiligen Besonderheiten Rechnung tragen. Um die Wirksamkeit der Playbooks sicherzustellen, sollten sie regelmässig in Form von Übungen und Simulationen getestet und aktualisiert werden. So kann gewährleistet werden, dass die Abläufe auch unter realen Bedingungen handhabbar und zielführend bleiben.

Nutzen: Welche konkreten Vorteile ein individuell aufgebautes CDC für Ihr Unternehmen bietet

Durch die gesammelten Erfahrungen aus unterschiedlichen Projekten unterstützt Sie In&Out bei der Einführung und Verbesserung eines massgeschneiderten Cyber Defense Centers – von der strategischen Planung über die Umsetzung bis hin zu Erweiterungen und Optimierungen im laufenden Betrieb. Dabei werden gezielt die Sicherheitsleistungen mit dem Kunden ausgearbeitet, welche für ihn notwendig sind, um Sicherheitsvorfälle und Schwachstellen zu detektieren und diese auch möglichst zu verhindern. Dabei werden die bereits bestehenden Sicherheitseinrichtungen berücksichtigt. 

Gemeinsam mit dem Kunden werden gezielt jene Sicherheitsfunktionen definiert, die erforderlich sind, um Sicherheitsvorfälle und Schwachstellen wirksam zu erkennen und möglichst zu verhindern. Dabei werden bestehende Sicherheitslösungen und Infrastrukturen konsequent berücksichtigt und in das Gesamtkonzept integriert.

Ein zentraler Bestandteil ist die Entwicklung eines individuellen Operating Models, das in enger Abstimmung mit dem Kunden erarbeitet wird. Dieses Modell berücksichtigt sowohl die spezifischen Anforderungen als auch die vorhandenen Fähigkeiten des Unternehmens. Auf dieser Basis werden Verantwortlichkeiten, Abläufe und Zuständigkeiten klar definiert, um einen reibungslosen und effizienten Betrieb zu gewährleisten.

Für die relevanten Sicherheitsbereiche – wie SIEM, Incident Response oder Vulnerability Management – werden Use Cases entwickelt, die den grösstmöglichen Nutzen für das Unternehmen bieten. Die Einführung dieser Use Cases erfolgt nach einem strukturierten Vorgehen, das sicherstellt, dass nur relevante Informationen im Betrieb verarbeitet werden. Während der Umsetzung werden die Use Cases eng mit dem Kunden abgestimmt und bei Bedarf angepasst.

Bei der Erstellung von Security Playbooks kann auf eine grosse Erfahrung von bereits erstellten Playbooks zurückgegriffen werden. Die Entwicklung erfolgt nach einem klar definierten Prozess, der alle Phasen eines Vorfalls abdeckt – von der Vorbereitung über die Reaktion bis hin zur Nachbereitung und kontinuierlichen Verbesserung. Auf Wunsch unterstützen wir Sie auch bei der Durchführung von Simulationen und Übungen, um die Praxistauglichkeit der Playbooks zu testen – entweder eigenständig oder eingebettet in eine übergeordnete Krisenübung.