KI als Verbündete der Cybersicherheit

Schutz für alle

Ein Unternehmen in der Schweiz ist mit seiner proaktiven Verteidigungsstrategie bereits erfolgreich unterwegs: die Swisscom. Als grösster und wichtigster ICT-Konzern des Landes mit rund 6,3 Millionen Kunden und Kundinnen weiss man um die Verantwortung, nicht nur die eigenen, zentralen Netze zu schützen, sondern diesen Schutz auch zu privaten Kunden und zu Geschäftskunden zu verlängern. «Unsere Cybersecurity-Strategie orientiert sich am Nist Cybersecurity Framework mit den fünf primären Funktionen zur Stärkung der Resilienz: Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung sowie der übergeordneten Governance-Funktion», fasst es Marco Wyrsch, Head of Group Security Swisscom, zusammen. Im Hinblick auf die Messung des Erfolgs der Strategie spielt KI eine zentrale Rolle, denn «sie analysiert grosse Datenmengen in Echtzeit, erkennt Anomalien und hilft, Risiken schneller einzuschätzen und gezielter zu reagieren». Auf die genauen Informationen heruntergebrochen geht es konkret um Daten und Kennzahlen zur Wahrnehmung der Sicherheitskultur, zu Teilnahmen an Security-Trainings, zur benötigten Zeitdauer bis zur Erkennung und Eindämmung von Angriffen sowie der Einhaltung internationaler Standards wie ISO/IEC 27 001. «Im dynamischen Umfeld von mobiler Arbeit und Cloud-Nutzung reicht ein perimeterbasierter Schutz nicht mehr aus», so Wyrsch. «Deshalb setzen wir auf ein Zero-Trust-Modell, bei dem jeder Zugriff – nicht nur beim Login, sondern fortlaufend während der gesamten Sitzung – überprüft wird.» Mittels Segmentierung lassen sich Netzwerke in kleine, isolierte Bereiche teilen, was die Ausbreitung potenzieller Angriffe nicht nur erschwert, sondern sogar verhindern kann.

Schnelle Abwehr

Agiert wird nach dem sogenannten Least-Privilege-Prinzip. «Dabei entsteht ein dynamisches Sicherheitsmodell, das sich laufend neuen Bedrohungen anpasst und Risiken proaktiv minimiert. Hierbei kann KI direkt in die Sicherheitsarchitektur eingreifen», erklärt der Experte. So gilt beispielsweise: Wenn ein Zugriffsmuster vom Normalfall abweicht, löst die KI automatisch zusätzliche Sicherheitsprüfungen aus oder blockiert den Zugriff.

Für das Reagieren auf einen Angriff ist eine kurze Reaktionszeit entscheidend. Nur so lassen sich in aller Regel grössere Schäden verhindern. Im Swisscom Security Operation Center (SOC) werden daher die Infrastruktur überwacht und Sicherheitsvorfälle durch das Security Incident Response Team (CSIRT) so rasch wie möglich unter Kontrolle gebracht. «Sobald ein Angriff bestätigt ist, werden die betroffenen Systeme isoliert, schädliche Datenströme blockiert und Notfallprotokolle aktiviert», sagt Wyrsch. KI unterstützt diese Prozesse bei der Datenanalyse, identifiziert Anomalien, liefert den Mitarbeitenden im SOC und CSIRT kontextrelevante weitere Informationen oder übernimmt weitergehende Massnahmen.

Der Mensch bleibt wichtig

Neben der Technologie spielt jedoch auch weiterhin der Faktor Mensch eine zentrale Rolle. Dazu der Experte: «Eine starke Sicherheitskultur ist die Basis unserer Security-Strategie. Denn Cybersecurity beginnt im Kopf.» Entsprechend wird ein starker Fokus auf kontinuierliche Schulungen und Awareness-Kampagnen gelegt, um Mitarbeitende für aktuelle Phishing-Methoden und Social-Engineering-Taktiken zu sensibilisieren. Zudem unterzieht sich das Unternehmen regelmässig unabhängigen Prüfungen, die über gesetzliche Anforderungen hinausgehen, und setzt dabei auf einen Mix aus technischen und organisatorisch fokussierten Audits. Zusätzlich wird mittels Penetrationstests konstant die Widerstandsfähigkeit der Systeme überprüft, wobei auch interne Red- und Blue-Teams (Angriff und Verteidigung) eingesetzt werden. Auch im Bereich des Arbeitsalltags von Mitarbeitenden und im Kundengeschäft ist Sicherheit gewährleistet. Die Grundlage für die Datensicherheit, besonders wenn Mitarbeitende mobile Geräte oder Cloud-Dienste für die Arbeit nutzen, bildet eine Kombination aus klaren Sicherheitsregeln und technischen Schutzsystemen.

Zum Einsatz kommt unter anderem eine zentrale Verwaltung aller dienstlich genutzten Geräte. Damit können Sicherheits-Updates automatisch verteilt und es kann bei Bedarf der Zugriff auf Unternehmensdaten gesperrt werden. Überdies sichert die doppelte oder mehrfache Überprüfung der Identität den Zugang ab. Ihren Privatkunden bietet die Swisscom kostenlose Sicherheitsfunktionen, die direkt im Internetabonnement enthalten sind. Dazu gehören ein Webseitenschutz, der gefährliche Internetseiten blockiert, sowie Filter, welche betrügerische Textnachrichten oder unerwünschte Anrufe, bei denen die Rufnummer gefälscht wurde, erkennen. Zudem wird die E-Mail-Adresse auf Datenlecks überprüft. «Dabei hilft KI bei der Bedrohungserkennung und Ausspielung von personalisierten Warnungen», so Wyrsch. Und ihren Grosskunden bietet die Swisscom ein breites Spektrum an spezialisierten, durch Fachleute betreuten Sicherheitsdiensten an. Diese Dienste sind flexibel aufgebaut und passen sich den individuellen Anforderungen der Firmen an. Erst im vergangenen Mai wurde eine innovative und umfassende Sicherheitsplattform für Geschäftskunden jeder Grösse eingeführt. Diese Lösung integriert Sicherheitsfunktionen direkt ins Netzwerk und schützt automatisch alle verbundenen Geräte, Nutzer und Standorte. Das Herzstück ist ein eigenes, sehr sicheres Unternehmensnetzwerk, das in Schweizer Rechenzentren betrieben wird und über die üblichen IT-Sicherheitsstandards hinausgeht. Bei all diesen Diensten ist die Aufgabenverteilung zwischen dem Service des Anbieters und der Eigenverantwortung des Kunden klar geregelt.