Alarmanlage
Neben dem europäischen SOC gibt es noch drei weitere, die in den USA, in Indien und in Australien beheimatet sind. Jedes davon ist laut Dipper 19 Stunden am Stück online, so dass ständig zwei Center gleichzeitig verfügbar sind. Alle Center sind identisch aufgebaut und greifen auf die gleichen Kundendaten und Logfiles zu. Insgesamt beschäftigt Symantec in den vier SOCs rund 200 Mitarbeiter, die vor ihrer Einstellung alle eine gründliche Prüfung ihres beruflichen und privaten Werdegangs über sich ergehen lassen mussten. Berufseinsteiger kommen für Dipper nicht in Frage, zu vielfältig sind die Anforderungen und zu heikel die Aufgaben.
Bestens informiert: Auf den an der Wand hängenden Flachbildschirmen sehen die SOC-Mitarbeiter unter anderem, welche relevanten Cyber-Attacken gerade irgendwo auf der Welt geritten werden.
Um trotz sorgfältiger Mitarbeiterauswahl dennoch den möglichen Missbrauch von Informationen zu begrenzen, herrscht eine strenge Reglementierung: Nur ein oder zwei Entwickler – genau will sich der sonst so präzise SOC-Leiter Dipper nicht festlegen – des Systems können bei Bedarf Zugriff auf alle Analyse-Funktionen des Systems erlangen. Ansonsten sehen die Mitarbeiter nur die für ihren jeweiligen Arbeitsbereich notwendigen Daten wie Firewall-Logs, Meldungen der Einbruchserkennungssysteme und Kundenkontaktdaten.
Die Technik des SOCs soll in den von den Kundensystemen generierten Logdateien verdächtige Netzwerkaktivitäten aufspüren. Mehr als zwei Milliarden Log-Einträge fallen pro Tag an, alle drei Minuten schicken die in den Kundennetzwerken installierten Sensoren wie Firewalls, IDS- und IPS-Komponenten und andere Netzwerkgeräte ihre Logdateien an Symantec. Dabei spielt es keine Rolle, von welchem Hard- oder Softwarehersteller das Produkt stammt, das das Logfile erzeugt hat. Bei Symantec landen alle Informationen zunächst in einer Datenbank, bevor sie vom eigentlichen Herzstück des SOCs analysiert werden: Caltarian. So nennt Symantec das System, das zuerst alle Daten in unterschiedlichen Logformaten in eine einheitliche Form bringt und anschließend nach auffälligen Netzwerkaktivitäten sucht. Die gesammelten Daten fließen später auch in anonymisierter Form in Symantecs halbjährlich veröffentlichten Security Threat Report ein.
Bei der Erkennung spielen nicht nur Muster bekannter Cyber- und Malwareattacken eine Rolle, sondern auch das bisherige Verhalten der einzelnen Kundensysteme. Caltarian erkennt beispielsweise, wenn ein einzelner Mailserver eines Kunden im Vergleich zu den vergangenen Monaten plötzlich über Gebühr Datenverkehr erzeugt.
Grüppchenbildung: Die SOC-Mitarbeiter sitzen je nach Aufgabe wie Analyse von Firewall-Logs in Zweiergrüppchen nebeneinander.
Anhand einer solchen Anomalie entdeckte das vollautomatisch arbeitende System kürzlich, dass einer der vom SOC überwachten Mailserver mit einem Spam-Trojaner infiziert worden war: Der SMTP-Datenverkehr schwoll innerhalb eines Tages um mehr als das Zehnfache an und Caltarian schlug Alarm, da ein für genau diesen Server vorher festgesetzter Schwellwert überschritten wurde. Bei solch einem Alarm muss Symantec sehr schnell handeln: Der Sicherheitskonzern garantiert seinen Kunden, dass sie spätestens zehn Minuten nach der Warnung im SOC über kritische Sicherheitsprobleme informiert werden. In solchen Alarmsituationen müssen sich die Mitarbeiter auf ihre Erfahrung und Ausbildung verlassen können. Andernfalls ist es unmöglich, binnen so kurzer Zeit treffsicher zu entscheiden, ob es sich um ein echtes Sicherheitsproblem oder einen Fehlalarm handelt. Nach dem Absetzen des Alarms hat SOC seinen Job erledigt; für das Aufspüren und Beheben der Ursache sind laut Dipper dann wieder die IT-Experten auf Kundenseite zuständig.
Das SOC greife schon deshalb bei der Problembehebung nicht direkt ein, da es keine Kenntnisse über die Aufgaben eines Systems habe. So wüssten etwa nur die IT-Experten des Kunden vor Ort, ob ein betroffener Server oder eine infizierte Arbeitsstation zur Säuberung beispielsweise neu gestartet werden kann. Zudem will man natürlich einer Haftung aus dem Weg zu gehen, falls bei der Problembehebung mal etwas schief geht.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
