Die Wienerberger Gruppe ist auf digitalem Kurs. CISO Christoph Schacher baut dabei auf ein SOC von Kapsch BusinessCom. Weil es dafür einen Partner braucht … den richtigen allerdings.
In der Baubranche bleibt kein Stein auf dem anderen. Immer mehr Informationen werden über eine Vielzahl an Sensoren gesammelt, fließen in smarte Produkte ein, werden in vernetzten Supply Chains und Plattformen ausgetauscht und für neue Services genutzt. In Sachen digitale Innovationen mischt ein heimischer Baustoffproduzent mit über 200 Jahren Tradition ganz vorne mit: Die Wienerberger Gruppe. Von smarten Systemlösungen für das Abwasser- und Regenwassermanagement bis zu digitalen End-to-End-Lösungen für Planer und Architekten reichern neue Services das Kerngeschäft an … und machen es bereit für die Zukunft. Und das heißt, es nicht nur digital, sondern zugleich auch transparent und nachhaltig zu machen.
Auf dem Weg dorthin ist die Security vom ersten Schritt an mit dabei und eingebunden gewesen. Denn die digitale Zukunft ist auch mit einer Vielzahl von digitalen Risiken verbunden. Die Angriffspunkte und Bedrohungen werden immer vielfältiger und komplexer… technologisch und logistisch. Zu vielfältig und zu komplex für ein einzelnes Unternehmen, um sie selbst abzudecken, ist Christoph Schacher, Head of Information Security der Wienerberger Gruppe, überzeugt: „Auf den ersten Blick erscheinen wir vielleicht gar kein attraktives Angriffsziel zu sein, anders als eine Bank, ein Rüstungs- und High-Tech-Unternehmen. Trotzdem stellen wir eine Vielzahl von Angriffen auf unser Unternehmen fest. Der Schwerpunkt der Angriffe liegt derzeit bei Fraud und dem versuchten Absaugen von Daten, mit denen man Geld machen kann – einerseits über Social Engineering und andererseits über klassische Cyber-Attacken. Und die nehmen weiter rasant zu. Der Vielzahl von Alarmen in einem eigenen Security Operations Center 24/7 nachzugehen und zu analysieren, wo tatsächlich sicherheitsrelevante Vorgänge passieren, und wo entsprechende Maßnahmen getroffen werden müssen, würde die Ressourcen unseres internen Security Teams überfordern. Abgesehen von der Schwierigkeit, die dafür nötigen dedizierten Cyber-Defense-Spezialisten zu bekommen und langfristig im Unternehmen zu halten.“
Also entschied man sich beim Baustoffproduzenten 2017, das Security Operations Center, kurz SOC, auszulagern – an Kapsch BusinessCom und dessen Cyber Defense Center. Keine leichte Entscheidung, aber aus heutiger Sicht für Schacher die richtige.
Herr Schacher, die Information Security ist mit dem Kern-Business immer enger verzahnt. Wie neuralgisch und herausfordernd ist hier die Auswahl eines Managed-Services-Partners?
Es stimmt: Security rückt immer näher zum Unternehmenskern. Gartner sagt ja voraus, dass ein Sicherheits-Rating, ähnlich einem Kredit-Rating, in den nächsten Jahren ein entscheidender Faktor sein wird, um den Wert eines Unternehmens zu bestimmen. Vor diesem Hintergrund ist die Auswahl eines Partners für ein SOC tatsächlich eine schwierige Disziplin. Dort laufen zig Millionen an Log Lines und an technischen Daten durch, auch sehr neuralgische Daten, kritische Business-Informationen und auch Daten von Third Parties. Also gilt es zwei zentrale Fragen zu beantworten: Welchem Partner traut man die fachliche und technische Kompetenz zu, die Aufgaben bestmöglich zu bewältigen? Und zu welchem Partner hat man das Vertrauen, dass er mit all diesen Daten und dem Wissen tatsächlich absolut vertraulich umgeht?
Dabei ist es angesichts der wachsenden Komplexität und Vielzahl an Angriffsstrategien und -technologien vermutlich schon eine ziemliche Herausforderung, einzuschätzen, ob der Partner all das mit seinem fachlichen Know-how in der nötigen Tiefe und Breite abdecken kann. Beim Thema Security sind Referenzen ja nicht so leicht zu finden.
Cyber-Angriffe sind für die meisten Unternehmen tatsächlich noch immer ein Tabu-Thema. In den Medien sieht man nur die Spitze des Eisbergs, die tatsächliche Anzahl von Cyberangriffen ist viel höher.
In der Community der CISOs und CIOs finden sich allerdings schon Möglichkeiten, One-To-One mit Kollegen dazu Erfahrungen auszutauschen. Letztlich gilt es, die Expertise aber in der Praxis zu testen. Wir haben dafür ein paar signifikante Use Cases entwickelt beziehungsweise auch ohnehin bekannte Szenarien auf unsere individuelle Situation zugeschnitten und diese dann von einem anderen Cyber-Spezialisten als Angreifer umsetzen lassen. Zum Beispiel mit einer Schad-Software, die zwar keinen ernsthaften Schaden hätte anrichten können, aber bestimmte Merkmale und Ausbreitungsmechanismen aufgewiesen hat. Damit haben wir uns genau angesehen, wie schnell unser zukünftiger Partner die Bedrohung erkennt und wie er sie behandelt. Über einen Zeitraum von drei Monaten hinweg, in denen jederzeit Angriffe erfolgen hätten können … an zwei Tagen passierten sie dann tatsächlich.
Das heißt dieser Test brachte die Entscheidung für das Cyber Defense Center von Kapsch BusinessCom als Partner?
Dass die Experten von Kapsch hier bei unserer Verteidigung sehr erfolgreich agiert haben, war durchaus ein wichtiges Entscheidungskriterium. Weil im Security-Bereich die Definition von Erfolg und Qualität noch einmal auf einem anderen Level stattfindet als bei anderen Outsourcing-Themen. Im Privatleben würde man auch nicht in den Urlaub fahren und sagen: Ich habe 90 Prozent der Fenster meines Hauses abgeschlossen, das reicht schon. 90 oder 95 Prozent sind beim Thema Sicherheit zu wenig. Ein offenes Fenster genügt dem Angreifer. Natürlich spielt wie bei anderen Outsourcing-Projekten bei der Partnerauswahl auch hier ein kompetitives Angebot eine Rolle, aber wenn der Test nicht geklappt hätte, wären wir wohl nicht mit Kapsch BusinessCom in die Umsetzung gegangen.
Was waren die anderen Entscheidungskriterien?
Die Ausschreibung war wirklich heiß umkämpft, weil viele Anbieter sehr interessiert waren.
Mit über 200 Standorten in 30 Ländern, galt es für unsere internationale Aufstellung genau abzuwägen, ob ein global Player mit weltweit verteilten Analysten der optimale Partner wäre, oder ob wir mit einem österreichischen IT-Anbieter an den Start gehen.
Kapsch BusinessCom ist ein österreichisches Unternehmen mit internationaler Erfahrung, mit dem sich der Kontakt direkt und auf Augenhöhe abspielt und der vor allem auch unserer Definition von Datenintegrität und -vertraulichkeit entspricht. Wie gesagt spielt hier, neben der fachlichen Expertise, Vertrauen eine extrem wichtige Rolle.
Aus heutiger Sicht war unsere Entscheidung für Kapsch die richtige, weil wir sehen, dass kurze Wege schon einen wesentlichen Vorteil bieten … auch in Zeiten der Globalisierung und auch, wenn sehr viel remote erledigt werden kann. Es ist hilfreich, die monatlichen Reports auch direkt besprechen zu können oder bestimmte Pläne gemeinsam abzustimmen. Die Zusammenarbeit beschränkt sich ja nicht nur auf die Kernaufgabe des Partners, Angriffe und Vorfälle zu erkennen. Informationssicherheit spielt sich für uns im Kreislauf Prevent – Protect – Detect – Respond ab. Und um den laufend zu verbessern, ist die Nähe des Partners wichtig, nicht nur räumlich, sondern auch beim Verständnis für unser Business.
Was sind die wichtigsten Erfolgsschlüssel für eine gut funktionierende Zusammenarbeit mit einem Managed-Security-Partner?
Der wichtigste Erfolgsschlüssel heißt Integration. Die Integration der Werkzeuge, der Prozesse und natürlich auch eine enge Zusammenarbeit der handelnden Personen. Es ist ja noch nicht damit getan, dass das Cyber Defense Center extrem viele Alarmfälle möglichst frühzeitig meldet. Es kommt darauf an, wie schnell wir darauf reagieren können. Durch unsere verteilte beziehungsweise dezentrale Struktur, in der Alerts zum Teil direkt den Landesgesellschaften gemeldet werden, ist das umso wichtiger. Dazu brauchen wir kurze, prägnante Informationen: Handelt es sich um einen echten Alarm? Wo gibt es Handlungsbedarf? Wie müssen wir reagieren? Und was können wir im Nachhinein verbessern, damit so etwas nicht wieder passiert.
Um das sicherzustellen, automatisieren wir zusehends die Prozesse und Schnittstellen mit dem Cyber Defense Team von Kapsch. Genauso braucht es allerdings auch die Integration der Teams auf beiden Seiten.
Da ist es ein Vorteil, wenn es mit dem Partner die kurzen Wege und den direkten Kontakt auf mehreren Ebenen gibt, auf Management-Ebene genauso wie auf Operations-Ebene.
Natürlich kann das SOC auch gleich selbst bestimmte Maßnahmen treffen. Aber auch dazu ist zumeist eine Abstimmung nötig – es ist ja beispielsweise nicht das Ziel, dass das SOC ein Steuerungsgerät für einen Ziegelofen in Quarantäne nimmt. Das könnte im ungünstigsten Zeitpunkt zu einer Beschädigung des Ofens führen.
Eine Erkenntnis, die für ein erfolgreiches Outsourcing allgemeingültig ist, gilt hier besonders … eben weil die Security immer enger mit dem Kern-Business verflochten ist: Einen Bereich auszulagern, um sich dann nicht mehr darum kümmern zu müssen, ist die falsche Erwartungshaltung. Ein Partner kann uns bestimmte Aufgaben, wie den Detect-Bereich, abnehmen, für den es umfangreiche Ressourcen und spezifisches Know-how braucht. Dafür, dass die Schnittstellen zu den eigenen Security- und Operations-Teams und letztlich zum eigenen Business funktionieren, muss man aber schon selbst sorgen.
Gegen den Umstand, dass sich in den letzten Monaten die Social-Engineering-Angriffe auf die Mitarbeiter im Home Office verstärkt haben, kann allerdings vermutlich auch das beste SOC nicht viel ausrichten?
Dass die User im Home Office von Cyber-Kriminellen noch stärker als Schwachstelle für einen Angriff auf ein Unternehmen und dessen Finanzen adressiert wurden, war eigentlich zu erwarten. Gerade in der ersten Phase war es für manche Mitarbeiter durchaus glaubhaft, wenn ein angeblicher IT-Kollege über WhatsApp oder andere Umgehungswege irgendwelche Passwörter abfragte, weil ein System nicht mehr funktionierte und ähnliches. Oder vorgibt, eine neue Konferenzsoftware installieren zu wollen. Einfach einen Stock tiefer gehen und in der IT persönlich nachfragen, konnte man ja zu Corona Zeiten nicht. Dagegen half und hilft nur, die Mitarbeiter zu warnen, sie zu schulen und ihre Awareness zu stärken.
Aber natürlich gab es auch verstärkt Cyber-Angriffe auf den Arbeitsplatz, auf die Infrastruktur und die Verbindungen im und aus dem Home Office und die kann das das Cyber Defense Center sehr wohl erkennen: Ist ein User angegriffen worden? Ist ein Account möglicherweise kompromittiert worden?
Und zugleich ist es auch hilfreich, wenn der Security-Partner, so wie Kapsch, hier auch selbst viel Know-how einbringen kann, wie man Awareness generiert und was beispielsweise ganz aktuelle Social-Engineering-Strategien sind. Ich denke, dadurch, dass die User im Homeoffice zum Teil auch im privaten Kontext Ziele von Social Engineering wurden, ob im E-Banking, im Online-Handel oder über Phishing Mails, ist das Bewusstsein für diese Thema insgesamt deutlich merkbar angestiegen. Jetzt gilt es das bei der Rückkehr zur Normalität auch langfristig zu behalten.
Von Marion Degener; Fotos: Lisa Resatz