TrickBot. Gozi. NovaLoader. BackSwap. ShadowHammer. Das sind keine Spitznamen für Superhelden oder Sternbilder. Das sind die Namen von Malware, Ransomware, Botnets und anderen Cyberangreifern, die eine ernsthafte Bedrohung für Unternehmen, Infrastrukturen und sogar die Gesellschaft darstellen. Und jedes Jahr tauchen neue, komplexere Bedrohungen auf.
Laut dem IBM X-Force Threat Intelligence Index Report 2020 wurden im Jahr 2019 mehr als 8,5 Milliarden Datensätze angegriffen – das ist mehr als dreimal so viel wie im Vorjahr 2018. Erschwerend kommt hinzu, dass es einen chronischen Mangel an qualifizierten IT-Sicherheitsexperten gibt, um diese Bedrohungen zu bekämpfen, und viele Unternehmen haben Schwierigkeiten, Talente einzustellen und zu halten.
Die Kombination aus der Gnadenlosigkeit von Cyberbedrohungen und dem Mangel an qualifizierten Arbeitskräften hat die Beziehung zwischen Unternehmen, die Sicherheitsservices benötigen, und denen, die sie anbieten, verändert. Da die internen IT-Sicherheitsteams überfordert sind, wenden sich kleine und mittelgroße Unternehmen (KMU) an Managed Service Provider, die ihnen intelligente Sicherheitslösungen zum Schutz ihrer digitalen Assets anbieten. Die Verantwortung für die Verwaltung, Erkennung und Eindämmung von Bedrohungen wird zu einer Gemeinschaftsaufgabe.
Als das in Luxemburg ansässige Unternehmen Excellium Services SA 2013 seine firmeneigene Lösung für das Management von Cybersicherheit, EyeGuard Cyber SOC, auf den Markt brachte, erfüllte es damit einen dringenden Bedarf an kostengünstigen und skalierbaren Sicherheitsservices. Die EyeGuard-Plattform basiert auf der IBM QRadar-Technologie der nächsten Generation für Security Information and Event Management (SIEM). Sie ermöglicht es Unternehmen, ihre kritischen Assets in Echtzeit zu überwachen, sodass sie bösartige Aktivitäten schnell und proaktiv erkennen und darauf reagieren können.
Durch den Abschluss eines Abonnements für EyeGuard Cyber SOC Services können Excellium-Kunden die Fähigkeiten ihrer internen Sicherheitsteams erweitern. KMU profitieren vom Fachwissen der EyeGuard-Experten, die auf der Grundlage definierter Service Level Agreements (SLAs) Leistungen wie die erweiterte und proaktive Rund-um-die-Uhr-Überwachung von Assets anbieten. Sie identifizieren auch externe Schwachstellen und helfen den Kunden bei der Entwicklung von Sicherheitsrichtlinien und -verfahren.
„Datenverstöße kommen regelmäßig vor und der Mangel an Ressourcen ist ein echtes Problem“, erklärt Christophe Bianco, Mitbegründer und Managing Partner von Excellium. „Der Trend in der Cybersicherheit geht also dahin, dass Kunden nach Partnern suchen und nicht nur nach Unternehmen, die Technologie weiterverkaufen. Die Kunden sagen: ‚Ich brauche Sie als Ergänzung zu meinem Betrieb, als Erweiterung meines Teams für operative IT-Sicherheit im Hinblick auf die Anforderungen an die Ausfallsicherheit.’“
Verbesserte Qualität
Erwartet eine Verbesserung der Qualität des Bedrohungsmanagements um 40 % durch die Formalisierung von Sicherheitsprozessen
Automatisierung
Beschleunigt die Autonomie neuer Mitarbeiter um bis zu 30–40 % durch die Automatisierung von Reaktionsverfahren
Doch der Mangel an qualifizierten Fachkräften ist nicht nur eine Herausforderung für die Kunden von Excellium, auch Excellium selbst spürt den Engpass beim Personal. Seit der Einführung der SOC-Plattform ist das Unternehmen von sechs auf mehr als 120 Mitarbeiter gewachsen. Excellium ist bereits für mehr als 180 Unternehmen ein zuverlässiger Anbieter und durch die Expansion in neue Märkte und Regionen wächst der Kundenstamm rasant.
„Aufgrund der zunehmenden Regulierung und Digitalisierung ist der Bedarf an Sicherheit enorm“, sagt Bianco. „Aber die Ressourcen sind knapp. Damit wir mehr Services für unsere Kunden verwalten und bereitstellen können, mussten wir unsere Effizienz und die Produktivität der Mitarbeiter in unseren SOC-Services verbessern. Und um unser Wachstum aufrechtzuerhalten, mussten wir unsere Fähigkeiten ausbauen und neue Technologien in einen Service für unsere Kunden umwandeln.“
Um die Effizienz und Produktivität seines SOC-Teams zu unterstützen und die Fähigkeiten seines gesamten Sicherheitstechnologie-Ökosystems zu erweitern, implementiert Excellium eine Vielzahl von IBM® Security-Angeboten.
Eine wichtige Technologie ist die IBM Resilient Security Orchestration, Automation and Response (SOAR) Platform. Die Plattform automatisiert Aufgaben im Zusammenhang mit dem Umgang mit Cyber-Ereignissen, wie z. B. Datenschutzverletzungen, und orchestriert die Menschen, Prozesse und Technologien, die mit der Reaktion auf Vorfälle verbunden sind. Durch die Integration mit der bestehenden QRadar SIEM-Technologie von Excellium kann die Resilient SOAR-Plattform Daten austauschen und Aktionspläne bereitstellen, damit SOC-Teams schneller auf Sicherheitsereignisse reagieren und diese beheben können. Sie liefert auch Informationen und Kontext zu Vorfällen, sodass Excellium den nötigen Einblick erhält, um auf komplexere Cyberbedrohungen zu reagieren.
Das Unternehmen nutzt die Technologie von Resilient SOAR auch, um die Expansion in neue Märkte zu unterstützen und neue Kunden und Partner in seine geschäftlichen Aktivitäten einzubinden. Dank der Plattform kann Excellium besser sicherstellen, dass alle Analysten und Sicherheitsspezialisten unabhängig von ihrem Standort die gleichen Richtlinien, Prozesse und Methoden verfolgen. Auf diese Weise kann das Unternehmen seinen Kunden in der Nähe und in der Ferne einen gleichbleibend hochwertigen Service bieten und Risiken und Strafen im Zusammenhang mit der Nichteinhaltung von Vorschriften besser eindämmen.
„Kunden generieren immer mehr Ereignisse, die wir verwalten und berücksichtigen müssen. Deshalb müssen wir unsere Prozesse automatisieren und formalisieren“, erläutert Bianco. „Resilient ermöglicht es uns, unsere Prozesse und die Governance innerhalb der Abläufe unserer Partner zu erweitern, sodass wir unseren Kunden die Services auf transparente Art und Weise anbieten können. Dank Resilient können wir schneller und mit weniger Ressourcen skalieren.“
Einem Whitepaper von Enterprise Management Associates (EMA) zufolge passieren 99 % der Cyberangriffe auf irgendeine Weise das Netzwerk. Um die Transparenz seines Netzwerks zu erhöhen, implementierte Excellium die IBM QRadar Network Insights-Software. Die Technologie bietet Analysten einen besseren Einblick in den Netzwerkverkehr, um verdächtige oder bösartige Aktivitäten in Echtzeit zu erkennen. Außerdem liefert sie zusätzlichen Netzwerkkontext, der den Sicherheitsanalysten hilft, eindeutige Triage-Entscheidungen zu treffen.
Schließlich integriert Excellium die Informationen der IBM X-Force Exchange-Plattform in sein SOC-Service-Angebot. Mit X-Force Exchange erhält das Unternehmen Zugang zu wichtigen Informationen und Berichten über die neuesten Sicherheitsvorfälle und Bedrohungen, wie z. B. potenziell bösartige IP-Adressen.
„Wir sind immer auf der Suche nach zusätzlichen Technologien, die wir in die QRadar SIEM-Funktionen integrieren können, um Bedrohungen besser erkennen und auf sie reagieren zu können“, sagt Bianco.
Mit den IBM Security-Angeboten, die den Betrieb unterstützen, und den EyeGuard Cyber SOC Services verbessert Excellium die Produktivität und Effizienz seiner Sicherheitsanalysten und kann den Onboarding-Prozess für Partner und Kunden beschleunigen. Darüber hinaus geht man beim Unternehmen davon aus, dass die Qualität des Vorfallmanagements verbessert wird.
Excellium kann seine Prozesse und Abläufe standort- und partnerübergreifend formalisieren, um einen einheitlicheren Service zu gewährleisten. Die SOC-Teams haben außerdem mehr Kontext, Einblicke und Informationen über Sicherheitsbedrohungen, sodass sie ihre Behebungsstrategien entsprechend anpassen können.
Die Erwartungen von Bianco sind hoch: „Die Qualität des von uns erbrachten Service sollte sich deutlich verbessern, weil er konsistent ist, unabhängig davon, wer zum Zeitpunkt eines Vorfalls im Einsatz ist. Daher erwarte ich eine Verbesserung der Qualität des Vorfallmanagements um mindestens 40 %.“
Durch die Automatisierung von Aufgaben und Prozessen, die früher mühsam manuell durchgeführt wurden, können sich die SOC-Teams von Excellium nun auf ihre eigentliche Aufgabe konzentrieren: die Erkennung und Beseitigung von Bedrohungen.
„Kunden aus Europa verstehen, dass es im Grunde unmöglich ist, alles zu erkennen“, erklärt Bianco. „Sie erwarten, dass wir ihr System anhand eines risikobasierten Ansatzes umfassender betrachten. Mit Resilient können wir uns mehr auf die Premium-Aktivitäten konzentrieren. Wir können tiefer in die Analyse und in das Informationssystem des Kunden eindringen, um die großen Herausforderungen anzugehen, wie z. B. eine massive Bedrohung eines wichtigen Systems."
Im Jahr 2016 kam es bei einem der zahlreichen Kunden von Excellium zu einem erheblichen Ausfall.
Bianco erinnert sich: „Damals waren wir bereits ihr Sicherheitsanbieter. Wir haben die Bedrohung erkannt, darauf reagiert und die Auswirkungen auf das Unternehmen begrenzt. Darüber hinaus haben wir alle Funktionen entwickelt und implementiert, um die Produktion so schnell wie möglich wiederherzustellen. Und da wir uns auf die Wiederherstellung der Produktion konzentrierten, wurden wir zu einem vertrauenswürdigen Partner.“
Im Zuge der Expansion nach Afrika und in andere Märkte nutzt Excellium die Technologie von Resilient auch, um den Onboarding-Prozess für Partner zu beschleunigen. Früher dauerte es manchmal mehrere Monate, bis ein neuer Partner seine Arbeit aufnehmen konnte, da das Unternehmen die erforderlichen Technologien bereitstellen und Schulungen durchführen musste. Das Unternehmen musste dann die Interaktion zwischen den verschiedenen Teams koordinieren, um eine einheitliche Reaktion auf Vorfälle zu gewährleisten.
Heute kann sich Excellium über die Resilient SOAR-Plattform mit neuen Partnern verbinden und so den Onboarding-Prozess erheblich beschleunigen. „Wir bauen unser Geschäft in Afrika deutlich aus. Leider kann ich meine SOC-Kapazitäten nicht in demselben Tempo ausweiten, wie ich neue Kunden gewinne“, erklärt Bianco. „Der Einsatz von Resilient bietet mir die Möglichkeit, einen Partner in mein Unternehmen einzubinden, der meinen Prozessen, meiner Governance und meiner Dokumentation folgt, aber über eigene lokale Kapazitäten verfügt. Jetzt dauert es weniger als zwei Monate, um sie in unsere Prozesse einzubinden, damit sie einsatzbereit sind.
Excellium arbeitet auch neue Kunden schneller ein, sodass das Team von Bianco Bedrohungen schneller erkennen kann. „Die Sorge unserer Kunden ist ein Verstoß auf der Ebene der Geschäftsanwendungen“, sagt er. „Aber früher hat es lange gedauert, das Onboarding für einen Kunden durchzuführen, die Prozesse einzurichten und mit der Erkennung zu beginnen. Ich gehe davon aus, dass ich das Onboarding mit dieser Technologie in der Hälfte der Zeit erledigen kann, die es früher gedauert hat.“
Innerhalb des SOC von Excellium werden neue Mitarbeiter schnell autonomer, wenn es um Prozessabläufe und Governance geht, und zwar bis zu 30 bis 40 % schneller. Bisher dauerte es 6 bis 8 Monate, bis neue Mitarbeiter eine Schicht alleine leiten konnten. „Da Resilient unsere Prozesse unterstützt, können neue Mitarbeiter jetzt schneller eingearbeitet werden“, sagt Bianco. „Ein Mitarbeiter kann innerhalb eines Monats einsatzbereit sein.“
Laut Bianco bietet IBM Security Excellium einen Wettbewerbsvorteil gegenüber größeren Unternehmen. „Unser wichtigstes Unterscheidungsmerkmal zu unseren Wettbewerbern sind Agilität und Nähe“, erklärt er abschließend.
Der IBM Business Partner Excellium (Link befindet sich außerhalb von ibm.com) wurde 2012 gegründet und hat seinen Sitz in Contern, Luxemburg. Das Unternehmen ist ein führender Anbieter von Cybersicherheits- und SOC-Diensten mit starken Kompetenzen in den Bereichen Integration, Beratung und Prüfung. Es bietet eine breite Palette anpassbarer Services für Finanz-, multinationale und Regierungsorganisationen und betreut mehr als 180 Kunden in sieben Regionen. Excellium hat seine Aktivitäten auf Belgien, Frankreich, Senegal und Marokko ausgeweitet und beschäftigt mehr als 120 Mitarbeiter, darunter 100 Cybersicherheitsspezialisten.
Fußnoten
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Hergestellt in den Vereinigten Staaten von Amerika, Juni 2022.
IBM, das IBM Logo, ibm.com, IBM Security, QRadar, Resilient und X-Force sind Marken der IBM Corporation in den USA und/oder anderen Ländern. Weitere Produkt‐ und Servicenamen können Marken von IBM oder anderen Unternehmen sein. Eine aktuelle Liste der IBM Marken ist im Web unter www.ibm.com/de-de/legal/copytrade verfügbar.
Das vorliegende Dokument ist ab dem Datum der Erstveröffentlichung aktuell und kann jederzeit von IBM geändert werden. Nicht alle Angebote sind in allen Ländern verfügbar, in denen IBM tätig ist.
Die genannten Leistungsdaten und Kundenbeispiele dienen ausschließlich zur Veranschaulichung. Tatsächliche Leistungsergebnisse hängen von den jeweiligen Konfigurationen und Betriebsbedingungen ab. DIE INFORMATIONEN IN DIESEM DOKUMENT WERDEN OHNE JEGLICHE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE ZUR VERFÜGUNG GESTELLT, EINSCHLIESSLICH DER GARANTIE DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER GARANTIE ODER BEDINGUNG DER NICHTVERLETZUNG VON RECHTEN. Die Garantie für Produkte von IBM richtet sich nach den Geschäftsbedingungen der Vereinbarungen, unter denen sie bereitgestellt werden.
Erklärung zu guten Sicherheitsverfahren: IT-Systemsicherheit umfasst den Schutz von Systemen und Informationen durch Prävention, Erkennung und Reaktion auf unzulässigen Zugriff innerhalb und außerhalb Ihres Unternehmens. Unbefugter Zugriff kann dazu führen, dass Informationen verändert, vernichtet, veruntreut oder unsachgemäß gebraucht werden. Er kann auch zu Schäden an Ihrem System oder zum Missbrauch davon, u. a. im Rahmen von Angriffen gegen Dritte, führen. Kein IT-System oder -Produkt darf als vollkommen sicher betrachtet werden und es gibt kein Produkt, keine Dienstleistung und keine Sicherheitsmaßnahme, das bzw. die alleine vollständig vor einer unsachgemäßen Verwendung oder unbefugtem Zugriff schützen kann. Die Systeme, Produkte und Dienstleistungen von IBM werden als Teil eines rechtmäßigen, umfassenden Sicherheitsansatzes konzipiert. Daran sind notwendigerweise weitere Betriebsverfahren beteiligt und es können weitere Systeme, Produkte oder Dienstleistungen erforderlich sein, um eine möglichst hohe Effektivität zu erzielen. IBM GEWÄHRLEISTET NICHT, DASS SYSTEME, PRODUKTE ODER DIENSTLEISTUNGEN GEGEN SCHÄDLICHES ODER RECHTSWIDRIGES VERHALTEN JEGLICHER PARTEIEN IMMUN SIND ODER IHR UNTERNEHMEN DAGEGEN IMMUN MACHEN.