Hat Ihr Unternehmen wirklich einen Ein-Aus-Schalter? Dieses Unternehmen darf keines haben.

Der Energiesektor gehört zur kritischen Infrastruktur. ESB ist eine besondere Herausforderung, die es zu verteidigen gilt. 

Es ist ein Erdgas- und Stromversorger für 120.000 Haushalte in Süddeutschland und damit der größte Betreiber in der Region mit einer komplexen, weitläufigen Umgebung, die 2.000 IP-Adressen und hochsensible industrielle Kontrollsysteme umfasst.

Wie so viele Energieunternehmen befindet sich auch ESB in einem Transformationsprozess: Es reagiert auf den Klimawandel, setzt auf erneuerbare Energien, Solarparks, Ladeinfrastruktur für Elektrofahrzeuge und versucht sogar, alte Gasleitungen für den Transport von Wasserkraft zu nutzen.

Im Zuge dieses Wandels, der auch IT- und Sicherheitsprobleme mit sich bringt, hat Deutschland das IT-Sicherheitsgesetz verabschiedet. Es verpflichtet kritische Infrastrukturen wie die ESB, fortschrittliche Cybersecurity-Programme einzuführen, um die Verfügbarkeit und die Integrität der IT-Infrastruktur zu gewährleisten und regelmäßige Nachweise über die Einhaltung der Vorschriften vorzulegen. Bei Nichteinhaltung drohte eine Geldstrafe von mehreren hunderttausend Euro.

Es war eine Entwicklung vom Betrieb im Alleingang zu echter Raffinesse. Rapid7 war jeden Tag zur Stelle. 

Nawrath bezeichnete sich selbst früher als "Ein-Mann-Cyberarmee".

Mit der Rapid7 Command-Plattform war alles einfach einzurichten und zu warten, mit einem einzigen Agenten, der für alles zuständig ist, sagt er. Durch die Vereinheitlichung von SIEM, User Behavior Analytics (UBA) und Extended Detection and Response (XDR) konnte er die Einhaltung von Vorschriften erleichtern und 60 % Zeit einsparen.

Doch irgendwann möchte auch der engagierteste Sicherheitsbeauftragte einmal ausschlafen. Vielleicht sogar einen Urlaub. Das war der Zeitpunkt, an dem Nawrath begann, das Unternehmen in die Managed Services von Rapid7 zu überführen, was er als natürlichen nächsten Schritt betrachtete.

Managed Detection and Response (MDR) bietet kontinuierliche Angriffserkennung rund um die Uhr und regelmäßige Updates der Erkennungsregeln, um den Schutz vor den neuesten Bedrohungen zu gewährleisten. Der Service umfasst eine 13-monatige Datenspeicherung, die es den Kunden ermöglicht, Compliance-Anforderungen zu erfüllen und langfristige Analysen durchzuführen.

Rapid7's MDR bietet außerdem unbegrenzten Incident Response (IR) und forensischen Support und gibt die Gewissheit, dass alle Sicherheitsvorfälle umgehend und gründlich behandelt werden.

Als nächstes folgte das Upgrade auf Managed Threat Complete . Das Ziel: eine strategische Neuausrichtung der Arbeit. 

Managed Threat Complete kombiniert MDR mit der branchenführenden Technologie für das Schwachstellenmanagement. Es ist für Kunden gedacht, die der Meinung sind, dass Cybersecurity zu sehr auf Reaktivität ausgerichtet ist, was zu Überlastung, Burnout und verpassten Bedrohungen führt. Es ist an der Zeit, Umgebungen so zu gestalten, dass die Wahrscheinlichkeit einer Panne von vornherein verringert wird.

Rapid7 kümmert sich weiterhin um die Überwachung und Reaktion rund um die Uhr, und Nawraths Team ist proaktiv und schließt Schwachstellen. Aber er arbeitet auch täglich mit der Plattform, um Anomalien im Auge zu behalten und seine eigene Aufgabenliste durchzugehen. Er findet die Schnittstelle von Microsoft Defender for Endpoint kompliziert, so dass alle Warnungen über das SOC von Rapid7 laufen. (Es ist an der Zeit, „Nein“ zur Blackbox-Technologie zu sagen und „Ja“ zu Ereignisquellen von Drittanbietern, Leute!)

In die Offensive gehen und schauen, was passiert. Die Reaktionsgeschwindigkeit von ESB ist nun 40 % schneller. 

Threat Command von Rapid7 ermöglicht es Nawraths Team, wichtige Informationen für die ESB und den deutschen Energiesektor aus dem offenen, Deep- und Dark-Web zu entdecken. Wie immer ließ es sich einfach und mühelos in die Plattform integrieren.

Als das Team bösartige IPs und Hashes von Malware-Dateien überwachen wollte, um Bedrohungen schneller zu erkennen, erhielt es mit der Threat Intelligence Platform (TIP) von Rapid7 Zugriff auf die Bedrohungsdatenbank von Rapid7 und konnte tief in die Bedrohungen des Dark Web eintauchen. Die Threat Library geht sogar noch weiter, indem sie Feeds aus verschiedenen anderen vertrauenswürdigen Quellen einbezieht und so einen breiteren Überblick über die Bedrohungslandschaft bietet.

Obwohl es immer etwas zu tun gibt, hat Nawrath noch nie so viel Vertrauen in das Sicherheitsprogramm gehabt. "Es ist eine Managed Plattform, auf der alles zusammenläuft", sagt er, "und ich bin nicht der Einzige, der damit arbeitet. Es ist eine All-in-One-Lösung."

Teamwork: Dafür ist Rapid7 da.