WAS MACHT EIGENTLICH… EIN IT SECURITY ANALYST?

„Die Mitarbeiter bekommen es meistens gar nicht mit, wenn ihr PC mit einer Schadsoftware infiziert ist“

Matthias Tauber vom Team Cyber-Security-Operation-Center der DZ BANK schützt die Infrastruktur und die Systeme

Viren, Würmer, Trojaner oder Spyware – Hacker verfügen über viele Wege, sich in Computer einzuschleichen, um dort Daten zu klauen oder einfach Schaden zu verursachen. Unternehmen wie die DZ BANK müssen sich davor absichern. Matthias Tauber vom Team Cyber-Security-Operation-Center (CSOC) kümmert sich mit seinen fünf Teamkollegen darum, die Infrastruktur und die Systeme der Bank zu schützen und zu überwachen. „Die Mitarbeiter bekommen es meistens gar nicht mit, wenn ihr PC mit einer Schadsoftware infiziert ist“, erklärt Tauber. Die IT Security aber schon. Denn die Datenbewegungen in den IT-Systemen der Bank werden von einer Sicherheitssoftware analysiert. Gibt es ungewöhnliche Datenströme, lösen spezielle Filter sofort einen Alarm aus. „Das können zum Beispiel auffällig viele Anmeldeversuche mitten in der Nacht an einem PC sein oder unerwartet große Datenmengen, die ins Internet hoch- oder aus dem Netz heruntergeladen werden“, sagt Tauber.  

Durchschnittlich zwölf solcher Alarme laufen täglich zunächst im Security-Operation-Center (VR SOC) auf. Dort arbeiten Tag und Nacht Kollegen und checken mithilfe sogenannter „runbooks“, ob es sich um eine gefährliche Bedrohung oder einen Fehlalarm handelt. Häufig rufen sie dann zum Beispiel direkt den Nutzer des betroffenen PCs an und klären mit ihm, ob er selbst für die ungewöhnlichen Bewegungen verantwortlich ist.

Kann hier keine schlüssige Erklärung ermittelt werden, geht die Meldung zur Detailanalyse in das Team von Tauber. Das passiert rund ein- bis zweimal am Tag. „In den letzten vier Jahren hat es in der DZ BANK noch keinen wirklichen Cyber-Sicherheitsvorfall gegeben“, beruhigt Tauber. In kleinerem Umfang habe es mal eine Verschlüsselungssoftware in die Infrastruktur geschafft. Das sei aber mithilfe eingespielter Prozesse mit dem IT-Betrieb schnell rückgängig gemacht worden. Regelmäßig müssten jedoch PCs neu aufgesetzt werden, weil es immer wieder Kollegen gebe, die Anhänge oder Web-Links in Mails mit Schadsoftware öffneten.

Die Alarmanalyse ist nur ein kleiner Teil der Arbeit von Tauber, der 1998 die erste Firewall bei der Landesbank Hessen-Thüringen aufgebaut hat. Viel wichtiger ist die Prävention. Daher ist der Diplom-Ingenieur für Nachrichtentechnik vor allem mit dem Erstellen von Sicherheitskonzepten und der Sicherheitsberatung beschäftigt. „Firewalls reichen heutzutage nicht mehr aus“, erklärt er, „ihr Wirkungskreis ist viel zu eingeschränkt. Man kann damit vielleicht die Einfallwege reduzieren, aber ist erstmal jemand in unsere ‚Burg‘ hineingelangt, dann braucht es auch dort Schutzmechanismen.“

100-prozentige Sicherheit gebe es letztlich nur, wenn ein System keinen Netzwerkzugang habe. „Hat man eine Lücke geschlossen, gibt es draußen viele Aktivisten, die einen neuen Weg finden.“ Darum muss sich Tauber auch ständig mit der neuesten Technik vertraut machen, die Cyber-Kriminelle nutzen, und die Schutzvorrichtungen entsprechend aufrüsten. Vorsichtig ist der 48-Jährige Vater von zwei Teenagern auch im privaten Netzwerk zuhause: „Ich habe aktuelle Virenscanner und das automatische Aktualisieren der Software aktiviert. Und selbstverständlich verwende ich komplexe und unterschiedliche Passwörter bei Web-Diensten.“