USE CASE Stadtwerke München: Aufbau eines Cyber Defense Centers

Published by Mark Hayes
May 21, 2024 @ 11:42 AM

In einer Zeit, in der Cyberbedrohungen eskalieren und immer raffinierter werden, reichen herkömmliche Sicherheitsmaßnahmen nicht mehr aus. Geopolitische Konflikte und professionelle Cyberkriminelle stellen erhebliche Risiken für kritische Infrastrukturen und Unternehmen dar.

Zur Vorbereitung unseres anstehenden Online Use Case Briefings am 24.06.2024 zum Thema "Wie baut man eigentlich ein Cyber Defense Center von der Pieke auf?" haben wir vorab ein Interview mit Michael Fischer, Product Owner des Cyber Defence Centers der Stadtwerke München, und Robert Wortmann, Principal Security Strategist bei Trend Micro geführt, um mehr zu erfahren über die treibenden Kräfte hinter diesem Projekt, über die Herausforderungen – sowohl technologisch als auch hinsichtlich der menschlichen und kulturellen Aspekte – und wie diese gemeistert wurden. Viel Spaß beim Lesen!

 

DE202405_Blog_CyberDefenseCenter

 


Was war die betriebliche Herausforderung?

 

Die Gefahr von Angriffen aus dem Cyber-Raum steigt seit Jahren stetig an. Die Angreifer werden professioneller, die globale politische Lage verkompliziert sich. Geopolitische Konflikte gehen mit Cyber-Angriffen einher, die nicht selten auf kritische Infrastrukturen zielen. Infolgedessen hat sich das Bedrohungsbild dahingehend verändert, dass auch die Angriffe auf Unternehmen kommerzialisiert wurden. Threat Actors arbeiten als Affiliates und machen das Geschäft so für eine breitere Masse lukrativ. Insbesondere Ransomware, welche Daten verschlüsselt, die meist durch die Gruppierungen noch veröffentlicht werden, hat sich zum Kassenschlager entwickelt. Die Stadtwerke München haben vor Jahren erkannt, dass der alleinige Schutz des Unternehmensnetzwerks durch konventionelle Sicherheitssysteme wie Firewalls nicht mehr ausreicht. Aus diesem Grund wurden Sicherheitssysteme implementiert, die das Netzwerk auf Anomalien analysieren sollten. 


Wie war der Ansatz und welche Lösung wurde gefunden?

 
Zunächst wurden neue Systeme implementiert, um das Thema Anomalie-Erkennung auf technischer Ebene anzugehen. Zu dieser Zeit gab es bereits etablierte SIEM-Systeme auf dem Markt, die jedoch einen hohen personellen Aufwand benötigten. Das Unternehmen entschloss sich deshalb dazu, für diese Themen dediziertes Personal zu beschäftigen, um den Reifegrad in der eigenen Organisation zu erhöhen. Zusätzlich wurde die vorhandene SIEM-Lösung durch eine aktuellere Technologie nach dem heutigen Stand der Technik ersetzt.

Im nächsten Schritt wurden bei den Stadtwerken München grundlegend neue technologische und prozessuale Strukturen aufgebaut. So wurde z. B. das Thema Malware Protection in das operative Security-Team integriert. Um die Entwicklung und den Aufbau eines Cyber Defense Centers (CDC) zu beschleunigen, wurden die verantwortlichen Mitarbeiter in Workshops zusammengebracht. Ziel der Workshops  war es, ein maßgeschneidertes Modell eines Cyber Defense Centers zu entwickeln, das sowohl den pragmatischen operativen Betrieb ermöglicht und gleichzeitig die konstante  Weiterentwicklung der Fähigkeiten des Cyber Defense Centers fördert. Inzwischen arbeiten im CDC der SWM sechs Personen im Dev/Ops-Modus. Um die Transparenz und die Priorisierung von Themen zu fördern, wurden außerdem agile Methoden adaptiert, die eine intensivere Zusammenarbeit innerhalb des CDCs ermöglichen.
 
Als zentrale Technologie wurde Splunk Enterprise Security implementiert, und damit einhergehend folgte die Entwicklung und Umsetzung entsprechender Logging-Konzepte. Das Grundkonzept der Security Operation fokussiert sich auf die gesamte IT-Infrastruktur, in der alle relevanten Systeme an das zentrale SIEM-System angebunden sind. Zudem wurde die vorhandene Malware Protection um das Trend Micro Vision One mit XDR erweitert. Dieses bringt neben einem Out-of-the-Box Logging und somit zuverlässig funktionierenden Detection-Rules weitere Funktionen in den Bereichen Threat Intelligence und Attack Surface Risk Management mit. Dadurch ist das Cyber Defense Center der Stadtwerke München in der Lage, die Aktivitäten von Akteuren zu beobachten, die eigene Angriffsfläche zu minimieren und gleichzeitig das Netzwerk auf Bedrohungen zu überwachen. Entsprechende Prozesse beschreiben das Vorgehen im Incident Response sowie auch die Analyse von Security Events innerhalb des Cyber Defense Centers.

Was war das Ergebnis bis heute?

 

Das Ergebnis sind solide implementierte Technologien sowie eine neue Organisationsstruktur, die die Basis für eine stetige Weiterentwicklung der Abwehrkräfte des Cyber Defense Centers bilden. Neben der Weiterentwicklung des Cyber Defense Centers in den Bereichen Technologien und Prozesse, wird durch das CDC schon heute eine breite Palette wichtiger Aufgaben umgesetzt, darunter die Analyse von Security Events, das Monitoring von Akteuren und das daraus folgende aktive Prüfen auf Angriffsindikatoren. Weiterhin werden mögliche Schwachstellen und Risiken in den Bereichen Internet Facing Assets, Identitäten und Endpunkten aktiv analysiert und adressiert.

Vielen Dank für die spannenden Einblicke in die aufregende Umsetzung des Cyber Defense Centers der Stadtwerke München!

Sind Sie, wie wir, gespannt darauf, welche weiteren Erfahrungen uns Michael Fischer und Robert Wortmann noch geben werden und wie es bei den Stadtwerken weiter geht? 

Dann melden Sie sich gern über diesen Link zum Use Case Online Briefing mit beiden Impulsgebern am 24. Juni von 17:00 bis 18:00 Uhr an! Wir freuen uns auf Ihre Teilnahme!

===========================================================

Weitere Veranstaltungen und Aktivitäten von CIONET in Deutschland finden Sie in unserer Event-Übersicht - es erwarten Sie viele relevante Themen und spannende Formate.

 
 
Posted in:CIONET Germany

No Comments Yet

Let us know what you think

You May Also Like

These Stories on CIONET Germany

Subscribe by Email