In einer komplexen digitalen Landschaft sind schnelle Erkennung und gezielte Reaktion auf verdächtige Cyberaktivitäten entscheidend, um Datenverlust und Reputationsschäden zu verhindern. Ein Security Operations Center (SOC) kann durch kontinuierliche Überwachung und Analyse verdächtiger Aktivitäten einen wichtigen Beitrag leisten.
Gastbeitrag von Nicola Aloise (Chief Technology Officer bei Nomasis) und Alexander Schmidt (Senior Sales Engineer bei Arctic Wolf)
Die Cyberlage in der Schweiz bleibt angespannt, und zwar nicht nur für Grossunternehmen, sondern zunehmend auch für KMUs. Die aktuelle Entwicklung zeigt vor allem ein Muster: Angriffe werden schneller, zielgerichteter und operativ professioneller, während viele Unternehmen in komplexen IT- und Cloud-Umgebungen nur begrenzt Überblick über ihre tatsächliche Angriffsfläche haben. Besonders relevant ist dabei, dass sich die Bedrohung nicht mehr auf klassische Schadsoftware beschränkt. Im Fokus stehen heute Ransomware, Datendiebstahl und Business Email Compromise, also manipulierte Geschäftsprozesse per E-Mail, die gemeinsam einen grossen Teil der gemeldeten Vorfälle ausmachen. Für Unternehmen bedeutet das: Nicht nur die Erpressung selbst ist das Problem, sondern auch der mögliche Verlust von Kundendaten, geistigem Eigentum und Reputation.
Angriffswege werden direkter
Dabei zeigt sich ein klares Bild typischer Einstiegspunkte. Häufig nutzen Angreifer offene Dienste, schwache Remote-Zugänge oder verwertbare Schwachstellen, um erste Rechte im Netz zu erlangen. Besonders kritisch sind extern erreichbare Remote-Desktop-Dienste, da sie einen direkten Weg in Unternehmenssysteme eröffnen können. Sobald ein erster Zugang gelingt, folgen oft rasch weitere Schritte wie das Anlegen neuer Konten, das Ausweiten von Zugriffsrechten, das Ausspähen interner Systeme und das spätere Abgreifen von Daten.
Auch die Geschwindigkeit, in der die Vorfälle vonstatten gehen, ist bemerkenswert. In dokumentierten Angriffen können innerhalb weniger Stunden komplette Umgebungen kompromittiert, Daten exfiltriert und Sicherungsmechanismen deaktiviert werden. Die Praxis zeigt, dass Angreifer nach dem Erstzugang zunächst interne Systeme kartieren, dann Werkzeuge zur Datenkomprimierung und zum Transfer einsetzen und schliesslich Ransomware ausrollen, während Wiederherstellungsoptionen wie solche mit Shadow Copies gezielt ausgeschaltet werden. Damit werden auch automatische Sicherungskopien von Dateien oder Systemzuständen, die es ermöglichen, frühere Versionen nach Datenverlust oder -änderung wiederherzustellen, ausser Kraft gesetzt. Betroffenen Firmen bleibt dann oft nur noch der Krisenmodus.
Warum auch KMU stärker ins Visier geraten
Früher richteten sich viele Angriffe vor allem gegen grosse Konzerne. Heute geraten vermehrt auch kleinere und mittelgrosse Unternehmen ins Visier, weil sie oft ebenfalls wertvolle Daten und geschäftskritische Abläufe besitzen, aber nicht im gleichen Umfang geschützt sind. Hinzu kommt, dass hybride Infrastrukturen mit lokalen Systemen, Cloud-Diensten, externen Zugängen und verteilten Endpoints die Transparenz erschweren.
Derweil sind Aufbau und Betrieb eines eigenen Security Operations Centers angesichts von Fachkräftemangel, 24/7-Betrieb und laufender Analyse- und Reaktionsarbeit äusserst anspruchsvoll und ressourcenintensiv. Gerade für mittelgrosse, aber auch für grosse Unternehmen wird damit die Frage wichtiger, wie sich ein Mindestmass an operativer Sicherheit dauerhaft und wirtschaftlich erreichen lässt.
Sichtbarkeit statt blinder Flecken
Ein zentrales Problem vieler Organisationen sind nicht nur die Angriffe selbst, sondern die geringe Sichtbarkeit im Vorfeld. Wenn Systeme, Konten, Ports, Zugriffswege und Protokolle nicht durchgängig überwacht werden, bleiben verdächtige Aktivitäten lange unentdeckt. Genau hier setzen moderne Sicherheitsansätze an, die kontinuierliche Erkennung, Kontextanalyse und schnelle Reaktion verbinden. Sinnvolle Schutzmassnahmen beinhalten unter anderem Netzwerksegmentierung, Intrusion-Detection- und Prevention-Systeme, Multifaktor-Authentisierung, konsequentes Patchen, Rechteverwaltung, Schwachstellen-Scans, Awareness-Trainings und laufendes Monitoring. Entscheidend sind dabei nicht die einzelnen Massnahmen, sondern das Zusammenspiel derselben. Wer nur punktuell schützt, reduziert zwar Risiken, baut aber noch keine belastbare Erkennungs- und Reaktionsfähigkeit auf.
MDR als Betriebsmodell
In diesem Umfeld gewinnt MDR (Managed Detection & Response) an Bedeutung. Gemeint ist ein Betriebsmodell, bei dem Überwachung, Analyse und erste Reaktionsschritte laufend durch spezialisierte Sicherheitsanalysten unterstützt oder übernommen werden. Für viele Unternehmen ist das attraktiv, weil sie damit nicht selbst eine komplette Schicht aus Tools, Personal und Prozessen aufbauen müssen. Der strategische Wert liegt vor allem in der Kombination aus permanenter Überwachung, Reduktion von Fehlalarmen, geführter Eskalation und strukturierter Incident Response – strukturierten Ansätzen zur Erkennung, Eindämmung und Behebung von Cyberangriffen. Ergänzt um Vulnerability-Management, Security-Awareness und Echtzeit-Überwachung der Endgeräte, mit der Angriffe automatisch erkannt und automatisch reagiert wird. Damit kann daraus eine deutlich robustere Sicherheitsarchitektur entstehen als mit isolierten Einzellösungen. Für Unternehmen mit begrenzten internen Ressourcen ist das besonders relevant.
Incident Response als Teil der Sicherheitsplanung
Priorität haben eine ehrliche Standortbestimmung und ein realistischer Blick auf die eigenen Angriffsflächen. Welche Systeme sind aus dem Internet erreichbar, welche Konten haben zu viele Rechte, welche Protokolle sind offen, und wo fehlen Protokolle oder Alarmierungen? Erst wenn diese Fragen durchgehend transparent beantwortet sind, lässt sich die Verteidigung sinnvoll verbessern. Wichtig sind ausserdem schnelle Reaktionswege. Wer im Ernstfall nicht weiss, wer entscheidet, wer isoliert, wer kommuniziert und wer forensisch prüft, verliert wertvolle Zeit. Darum sollte Incident Response nicht als Ausnahmefall verstanden werden, sondern als Teil der Sicherheitsplanung. In einer Lage, in der Angriffe oft in wenigen Stunden eskalieren, ist Vorbereitung kein Luxus, sondern ein Muss.
