Einzelne Ereignisse sagen allerdings wenig aus, erst in der Masse ergeben sich Zusammenhänge. Beim Herstellen dieser Zusammenhänge erhalten die Security Analysts im SOC darum unter anderem Unterstützung von IBM Watson. Die Analysesoftware stellt Zugriffe grafisch dar und macht so auch Verstecktes sichtbar. Dank Cognitive Computing lernt IBM Watson ständig dazu und bringt Wissen von anderen Quellen ein.
Mittlerweile hat sich Evrim mit ihrem Kollegen abgesprochen, das Briefing ist durch. Sie beginnt, ihre E-Mail-Inbox zu durchforsten. Als Teil ihrer Tätigkeit beantwortet sie einen steten Zustrom von Anfragen zu Sicherheitsthemen aus anderen Abteilungen und Teams bei SIX. Auch dank mehreren riesigen Wandmonitoren – jeder vier Quadratmeter gross – behält sie die Aktivität auf dem Netzwerk dabei trotzdem im Blick. Das Beantworten der E-Mails benötigt Zeit, bringt aber auch viel. «Indem wir unsere Kolleginnen und Kollegen für Cyber Security sensibilisieren, erleichtern wir unsere Arbeit im SOC. Jede Phishing-E-Mail, die nicht geöffnet wird, bedeutet einen Alarm weniger.»
Industrialisierung der Cyberkriminalität
Als hätte es einer Untermauerung ihrer Aussage bedurft, schlägt das Überwachungssystem in diesem Moment wieder an. Und tatsächlich, ein Phishing-Versuch ist erfolgt. Evrim analysiert den Vorfall und stuft ihn als Bedrohung ein. Offenbar hat sich ein Kollege über eine gefälschte E-Mail auf eine verseuchte Website locken lassen und sich dort Malware eingefangen. Die Reaktion erfolgt blitzschnell: Gemäss Vorschrift benachrichtigt Evrim sofort ihre internen Ansprechpartner und informiert sie über alle Details. Die Experten für Eindämmung und Beseitigung sind erreichbar und reagieren ebenfalls umgehend. Die Kommunikationswege funktionieren einwandfrei. Der Phishing-Versuch bleibt ohne Folgen.
«Die Qualität und Quantität der Angriffe steigt stetig», stellt Evrim fest. Dies sei auf eine immer stärkere Industrialisierung der Cyberkriminalität zurückzuführen. «Früher musste ein Cyberkrimineller die gesamte Produktionskette im Griff haben. Bei einer Phishing-Attacke musste er die E-Mail selbst schreiben – und das glaubwürdig – und sie selbst verschicken. Dafür benötigte er nicht nur Adressen, sondern auch eine Software. Und er musste auch noch die Website selbst bauen, auf die er seine Opfer locken wollte. Heute kauft er sich das als Gesamtpaket einfach und günstig ein. Vielleicht sogar Geldwäsche inklusive.»
Das Vokabular zeigt es klar, es braucht für die Arbeit als Security Analyst auch ein kriminalistisches Gespür. «Ich vergleiche das SOC gerne mit einer Polizeistation – einer sehr modernen Polizeistation. Auch wir jagen Gauner – Gauner, die nicht mit Bullets, sondern mit Bits schiessen.» Auf der Polizeiakademie war sie dennoch nicht. Evrim ist ausgebildete Informatikerin mit Vertiefung als Systemtechnikerin und einer zusätzlichen Zertifizierung in Cyber Security. Zurzeit macht sie ihren Bachelor in Applikationsentwicklung.
Die absolute Sicherheit gibt es nicht
Evrim und ihre Kollegen im SOC kämpfen nicht alleine gegen die Cyberkriminellen. SIX greift in ihren Bedrohungsanalysen auf die Informationen eines ganzen Netzwerks zurück. Das liefert laufend Informationen zu aktuellen Bedrohungen. «So lernen wir ständig und schnell. Trotzdem gibt es die absolute Sicherheit nicht», stellt Evrim trocken fest. «Wir können uns auf vieles vorbereiten. Aber jede Bedrohung komplett zu erfassen, bevor sie überhaupt auftaucht, das geht nicht.» Für die kleine Detektivin, die in Evrim steckt, wäre das wohl auch zu langweilig. «Solange am Schluss alles plangemäss funktioniert, gehört ein bisschen Action dazu», gesteht sie und freut sich schon fast ein bisschen auf den nächsten Alarm. Der kommt an diesem Tag aber nicht mehr. Bis zu ihrem Feierabend bleibt alles ruhig. Jetzt ist es an ihr, den Kollegen aus der nächsten Schicht zu briefen, denn das SOC schläft nie.