Hochschuleinrichtungen sind eines der lukrativsten und attraktivsten Ziele für Cyberkriminelle. Die Beute ist zu verlockend: geistiges Eigentum, Forschungsergebnisse und personenbezogene Daten von Studierenden und Lehrkräften. Weil Cybersicherheitsmaßnahmen und entsprechende Technologien in Hochschulumgebungen oft nur punktuell eingesetzt werden, können sich böswillige Angreifer in der Regel einfach Zugriff auf diese leicht zu stehlenden Informationen verschaffen. Oft fehlt nämlich ein übergreifendes System zur Prävention und Reaktion, das mehrere Fachbereiche und Abteilungen einer Universität oder Hochschule abdeckt.
„Es gibt so viele verschiedene Fachbereiche, die alle etwas anderes machen, sodass sich der Schutz der gesamten Umgebung schwierig gestaltet“, erklärt Andrew Frank, Manager für IT Security Services am Mohawk College in Hamilton, Ontario. „Ohne gut durchdachtes Sicherheitsprogramm werden die Techniker in der Regel erst einmal alles tun, um die Umgebung zu schützen. Sie besorgen dann schnell ein paar Malwareschutzprogramme oder installieren vielleicht coole, neue Firewalls der nächsten Generation. Auch wenn diese Maßnahmen sehr wichtig sind, sind sie an einer Hochschule wie Mohawk nur ein Teil des Puzzles im Kampf gegen Cyberangriffe.“
Es ist nicht überraschend, dass Mohawk in puncto Cybersicherheit auf eine umfassende Lösung setzt. Schließlich legt die Hochschule den Schwerpunkt auf angewandte Forschung. Es werden mehrere Studienrichtungen angeboten, die es den Studierenden ermöglichen, praktische Erfahrungen in Unternehmen in Hamilton und dem Großraum Toronto zu sammeln. Die Hochschule ist für ihre innovativen Betriebsabläufe bekannt, mit umweltfreundlichen Gebäuden und Heizungs- sowie Kühlsystemen, die nach dem LEED-Standard zertifiziert sind.
Am Mohawk Collage wird auch das Fach Cybersicherheit unterrichtet. Außerdem verfügt die Hochschule über eine umfassende zentrale IT-Abteilung, die die Cybersicherheit der Einrichtung überwacht. Vor einigen Jahren wurde klar, dass die Hochschule technologisch ausgereifte Cybersicherheitstools zum Schutz vor und zur Verteidigung gegen böswillige Angreifer benötigt.
Frank erinnert sich daran, wie sich die Cybersicherheitsumgebung der Hochschule entwickelt hat. „Unser Vorstand fing an, Fragen dazu zu stellen, und wollte wissen, wie wir ein Programm zum Schutz unserer kritischen Assets entwickeln könnten“, erzählt er. Die zentrale IT-Abteilung befasste sich zunächst mit verschiedenen Branchenframeworks für die Sicherheit. Dazu gehörten beispielsweise die ISO-Normen 27001 und 27002 für das Management der Informationssicherheit. Dann wurde das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) herangezogen, um eine Schwachstellenanalyse durchzuführen und eine Selbsteinschätzung anhand der fünf Säulen des Frameworks vorzunehmen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.
Die Hochschule wusste, dass die Identifizierung der zu schützenden Assets und der Schutz dieser Assets im Allgemeinen gut funktionierte. Allerdings schnitt das Mohawk College bei der Erkennung nicht gut ab. Das heißt, wenn die Kontrollen doch einmal versagten, konnte die Hochschule solch einen Verstoß nicht schnell genug identifizieren und infolgedessen auch nicht zeitnah darauf reagieren, geschweige denn, Maßnahmen zur Wiederherstellung ergreifen. „Sie können all diese Investitionen in Ihre Schutzmechanismen stecken, aber es gibt keine Patentlösung“, bestätigt Frank. „Am Ende ist das Risiko einer Kompromittierung hoch und die Umgebung komplex.“
Das Mohawk College beschloss, sich auf die Erkennung zu konzentrieren und in diesen Bereich zu investieren. „Wir wollten sicherstellen, dass wir Angreifer, die unsere Schutzmaßnahmen überwunden haben, schnell erkennen und aus unserem Netzwerk entfernen können“, sagt Frank. Im Hochschulbereich kann es manchmal Monate dauern, bis jemand merkt, dass Angreifer in ein System eingedrungen sind. „Dies wollten wir im Falles eines Angriffs auf unsere Systeme verhindern“, sagt er.
„Neben der schnellen Erkennung war für uns auch wichtig, was danach passiert“, erklärt Frank. „Man möchte in der Lage sein, Dinge zu reproduzieren, um zu wissen, was genau passiert ist und welche Systeme angegriffen wurden. Das ist notwendig, um seine Systeme nach einem Angriff wiederherzustellen und sein Netzwerk wieder abzusichern.“
Das Mohawk College machte sich auf die Suche nach einer branchenführenden Erkennungsplattform. Die Hochschule arbeitete zu diesem Zeitpunkt bereits mit IBM zusammen, um das Thema „SIEM-Tools“ (wie die QRadar-Lösung) in sein Ausbildungsprogramm für Cybersicherheit zu integrieren. Mit dieser Synergie im Hinterkopf begannen Frank und seine Kollegen, SIEM-Lösungen für die Hochschule genauer unter die Lupe zu nehmen.
Frank beschreibt, welche Kriterien wichtig waren: „Wir wollten ein einfach zu bedienendes Tool, das kein umfangreiches Training für die Benutzer erfordert, um die Daten zu durchsuchen und Ereignisprotokolle sowie den Netzwerktraffic zu analysieren.“ Die Hochschule benötigte ein Tool, das nicht nur die Informationen für die Suche speichert, sondern auch Vorfälle identifiziert und priorisiert und die Option zur Anwendung von KI bietet, um Verstöße schneller zu untersuchen.
QRadar stellte sich schnell als eine der besten Lösungen heraus, die Mohawk genauer untersuchte. Das Tool hob sich in vielen Aspekten von den anderen in Betracht gezogenen Lösungen ab: Es wurde von Gartner in seinem Bericht „Magic Quadrant for SIEM“ als eine der führenden SIEM-Lösungen eingestuft, es hatte eine gute Reputation bei den Providern von Public Clouds und es hatte gute Referenzen von anderen Hochschulen erhalten.