Die Deutsche Cyber-Sicherheitsorganisation DCSO wurde als Antwort auf die asymmetrische Bedrohung durch global organisierte Cyberkriminalität und Wirtschaftsspionage von der deutschen Wirtschaft gegründet. Sie bietet der Wirtschaft einen geschützten und vollkommen herstellerneutralen Raum zur vertrauensvollen Zusammenarbeit, unter dessen Dach führende deutsche Unternehmen, DCSO-Experten, Forschungsinstitute und Behörden zusammenkommen.
Dr. Andreas Rohr
Spezialist für Fragen rund um Sicherheit von Unternehmen im Internet.
Vor allem soll die Wirtschaft so bestmöglich vor kriminellen Hackern, Wirtschaftsspionage, staatlichen Angriffen und Sabotage geschützt werden. Gemeinsam wird das Wissen über Bedrohungen der Cyber-Sicherheit gebündelt, werden Strategien zur effektiven und effizienten Verteidigung entwickelt und Services, deren Vorteile allen teilnehmenden Unternehmen zugutekommen, bereitgestellt. Unternehmen müssen sonst oft allein agieren und mit ihrem begrenzten IT-Sicherheitsbudget auskommen, während hochprofessionelle Angreifer entlang der Kill-Chain organisiert, arbeitsteilig mit spezialisierten Methoden und gewaltigen Ressourcen arbeiten. Gegen diese gebündelten Attacken steht die Gemeinschaft der DCSO.
„Es ergibt sich ein sich selbst verstärkendes System“
Im Interview verrät Dr. Andreas Rohr, CTO der DCSO, wie die Community dafür sorgt, dass man gemeinsam erfolgreicher gegen die Gefahren von außen agiert und wie die DCSO vor Wirtschaftsspionage schützt.
Vier der größten deutschen Konzerne sind Gesellschafter der DCSO. Können nur Unternehmen dieses Kalibers Teil der DCSO-Community werden?
Natürlich nicht! Grundsätzlich kann jeder Teil der DCSO werden, unabhängig von der Größe. Die Frage ist nur, in welcher Form. Wir wollen gemeinsam gewonnenes Wissen und gemeinsam gewonnene Erkenntnisse operationalisieren und weitergeben. Praktisch soll unsere Arbeit dazu führen, dass sich unsere Kunden gegenseitig schützen.
Jeder, der bei uns Services nutzt, trägt implizit zum Gesamtlagebild bei und profitiert von eingebrachten Erkenntnissen aller, was letztlich jedem in dem so gebildeten Ökosystem zugutekommt.
Können Unternehmen sich überhaupt noch allein gegen Wirtschaftsspionage und Cyberattacken schützen?
Nein, ökonomisch ist dies nicht sinnvoll möglich. Wir bündeln daher das Wissen von Unternehmen, die eigene, große IT- Sicherheitsabteilungen haben, mit Unternehmen, die sich solche Abteilungen nicht im gleichen Umfang leisten können. Und selbst den großen Firmen ist es übrigens unmöglich, sich komplett vor allen Gefahren zu schützen.
Wie kann man von Ihren Services profitieren bzw. Teil der Community werden?
Es gibt einen Bereich bei uns, in den Unternehmen Erkenntnisse aus eigener Beurteilungsfähigkeit heraus einbringen. In diesem Teil sind überwiegend große Unternehmen vertreten. Diese tauschen sich untereinander und mit uns vertrauensvoll aus. Man kann aber auch, ohne eigene Erkenntnisse beitragen zu können, Teil der DCSO-Community werden. Dazu muss man z.B. nur unsere Sensorik ins eigene Netzwerk integrieren.
Durch die Verwendung dieser Sensorik wird eine Art Feedback-Schleife gebildet, die zu einem Gesamtlagebild beiträgt. Damit können wir beispielsweise feststellen, ob Angriffe zielgerichtet oder eher großflächig auftreten.
Viele Unternehmen fürchten das Risiko von Cyberattacken, haben aber keine inhouse Expertise. Wie kann Ihr Service Threat Detection & Hunting dieses Risiko senken?
Der erste Teil des Service umfasst das Wissen der Gefahren an sich, die sogenannte Threat Intelligence. Man muss ja wissen, wonach man überhaupt sucht. Die zweite Komponente ist die Sichtbarkeit. Das ist unsere Sensorik, diese wird in zentrale Netzwerkknotenpunkte eines Unternehmens gestellt. Auf den Sensoren wird dann das Wissen um die Gefahren angewendet, wonach man suchen muss. Das verstehen wir als Threat Detection. All dies ist die notwendige Bedingung für den dritten Teil, das Hunten.
Dabei geht es darum, die erkannten Gefahren in einen Kontext zu bringen und auf Fehlalarme zu prüfen. Die Bewertung besteht aus Kontext, Wahrscheinlichkeit und Nachprüfungen. Das Nachprüfen ist (entgegen anderslautenden Marktaussagen) sehr schlecht automatisierbar und deshalb genau das, was sich nahezu niemand allein leisten kann, da es enorm auf Know-how, Erfahrungen und menschlichen Analysten basiert. Man muss beurteilen können, ob es ein Fehlalarm oder richtiger Alarm ist, wenn Gefahr droht. Dafür muss man auch links und
rechts sowie zeitlich davor und danach schauen, um ein einzelnes Ereignis überhaupt einschätzen zu können.
Wie verbindet dieser Service Erkenntnisse aus Community, Behörden und eigenen Analysen?
Wir kombinieren die Erkenntnisse unserer eigenen Analysten, die das Internet kontinuierlich nach neuen Bedrohungen durchsuchen, mit den Informationen, die uns die deutschen Sicherheitsbehörden übermitteln, sowie den Beobachtungen, Erkenntnissen und Daten, die unsere Community generiert, zu einem umfassenden Gefahrenbild. Dieses Gefahrenbild wenden wir auf den Sensoren an und können so Angriffe sehr gut erkennen.
Nicht jedes Unternehmen wird gleichzeitig angegriffen. Wir führen die Erkenntnisse aus allen Quellen und vergangenen Angriffen zusammen und operationalisieren sie. Später Betroffene können wir sofort alarmieren und mit konkreten Handlungsempfehlungen zur Gefahrenabwehr sowie Rat und Tat zur Seite stehen. So schützen wir vor Wirtschaftsspionage und bewahren die teilnehmenden Unternehmen vor Schaden.
Sie haben eine in der Branche einzigartige Verbindung zum BSI. Was hat es damit auf sich und welche Folgen hat dies?
Die Sicherheitsbehörden wollen ihre Erkenntnisse an Unternehmen weitergeben, sodass sie sich schützen können. Doch eine öffentliche Warnung hätte zur Folge, dass die Angreifer dies mitbekommen und eben ihr Verhalten ändern. Dadurch würde die Warnung nutzlos. Behörden warnen deshalb Unternehmen einzeln. Nicht jedes Unternehmen kann diese Informationen unmittelbar zum eigenen Schutz verwenden. Wir nehmen die Erkenntnisse der Behörden, operationalisieren sie für die Kunden, damit die Wirtschaft geschützt bleibt und die Erkenntnisse der Behörden auch zielgerichtet und zeitnah genutzt werden.
Sie möchten mehr erfahren?
Weitere Informationen finden Sie unter www.dcso.de