Zurück
Website

Gemeinsam in die digitale Zukunft.

Stärkung der Resilienz gegen Cyberbedrohungen

Angesichts der stetig zunehmenden Cyberbedrohungen ist es essenziell, nicht nur präventive Sicherheitsmassnahmen zu ergreifen, sondern auch aktiv die Widerstandsfähigkeit dieser
Sicherheitsmassnahmen gegenüber Attacken zu stärken. Eine zügige Erkennung und Abwehr von Cyberangriffen erfordert technologische und organisatorische Massnahmen, die sich flexibel an die ständig wechselnde Bedrohungslage anpassen können. Ergänzend zu den bereits vorhandenen Sicherheitsmassnahmen sollen deshalb weitergehende IT-Services und Dienstleistungen im Bereich SOC/SIEM aufgebaut werden.

Einführung von SOC/SIEM-Services

Bereits 2023 wurde im Rahmen eines interkantonalen Austauschs zwischen den sechs Kantonen AI, AR, GL, SH, SG und TG das Synergiepotenzial einer gemeinsamen Ausschreibung und Beschaffung von SOC-/SIEM-Services und -Dienstleistungen erkannt: eine optimierte Erkennung und Abwehr von Cyberbedrohungen zu wirtschaftlich attraktiven Konditionen. Nach ausführlicher Evaluation der im Rahmen des Ausschreibungsverfahrens eingegangenen Offerten erhielt Swisscom Schweiz AG im Februar 2024 den Zuschlag.

Security Operation Center (SOC) im 24 7-Betrieb

  • Erstbeurteilung, Triage und Bearbeitung von Sicherheits-Incidents, potenziellen Schwachstellen, Cybervorfällen und Cyberangriffen
  • Bereitstellung eines Incident-Response-Teams mit Reaktionszeiten gemäss Service-Level

Security Information and Event Management (SIEM)

  • Bereitstellung einer IT-Sicherheitslösung, die Log-Daten sammelt, analysiert und Sicherheitsvorfälle in Echtzeit erkennt.
  • Sie unterstützt, Bedrohungen frühzeitig zu identifizieren und auf Angriffe zu reagieren.

Endpoint Detection & Response (EDR)

  • Zentrale Plattform für Analyse, Auswertung, Berichterstellung und Weiterleitung von Logs / Alerts an die SIEM-Plattform
  • Response-Möglichkeiten zur Ausführung von Aktionen auf den Endpunkten (z.B. Stoppen von Prozessen, Dateiwiederherstellung, Fernzugriff per Konsole, Client-Isolation usw.).

Im April 2024 fanden bereits erste Detailabklärungen zwischen ARI und Swisscom statt – parallel zum Kick-off mit dem Kanton St.Gallen, der die Leistungen als erster Kanton bis Jahresende bereits eingeführt hat. Zur Beschaffung und Realisierung eines SOC-Services für Appenzell Ausserrhoden stehen mehrere Lösungsvarianten zur Verfügung. Einen definitiven Variantenentscheid wird ARI erst mit der Konkretisierung des Leistungsumfangs im weiteren Projektverlauf treffen.

Das umfangreiche Projekt zur Einführung der SOC-/SIEM-Lösung für Appenzell Ausserrhoden wird bei ARI unter der strategischen Initiative «Integrale Sicherheit» geführt. Die Umsetzung ist in mehreren Etappen von 2026 bis 2028 geplant. Die erste Etappe umfasst die Einführung eines SOC-/SIEM-Services mit Swisscom anfangs 2026. Dafür werden bei ARI bereits 2025 umfangreiche Vorbereitungsarbeiten in enger Zusammenarbeit mit Swisscom getätigt. Auch mit den Partnerkantonen der Ausschreibung findet weiterhin ein regelmässiger Austausch zum Thema SOC/SIEM statt.

«Die Bedrohungslage durch Cyberkriminalität bleibt angespannt. Insbesondere werden in der ganzen Schweiz vermehrt DDoS-Angriffe verzeichnet. Davor schützen wir uns mittels redundanter Anbindungen an verschiedene Internet Service Provider und Technologien wie Anti-DDoS, z.B. das sog. ‹Blackholing›. SOC/SIEM ist eine ideale Ergänzung zu unserem Sicherheitsansatz ‹defence in depth›. Nach dem Zwiebelschalenprinzip bietet es zusammen mit unserem überarbeiteten Business Continuity Management und den laufenden Awareness-Massnahmen beste Voraussetzungen für die Abwehr oder schnellstmögliche Bewältigung eines Cybervorfalls.»

Christoph Schwalm
Chief Information Security Officer (CISO) AR Informatik AG

Business Continuity Management bei ARI

Business Continuity Management (BCM) ist ein Ansatz für den Umgang mit «Business-Notfällen». Mit diesem Ansatz soll sichergestellt werden, dass geschäftskritische Prozesse aufrechterhalten resp. wiederhergestellt werden können, falls ausserordentliche Ereignisse und Situationen die Geschäftstätigkeit des Unternehmens gefährden.

Eine Überarbeitung der ARI-internen Regelung zum BCM war infolge der rasanten Entwicklungen der letzten Jahre nötig. Aus diesem Grund hat das ARI-Sicherheitsteam im Berichtsjahr die bestehende BCM-Weisung und -Richtlinie komplett überarbeitet, Business-Impact-Analysen durchgeführt und fünf Ausfallszenarien inkl. konkreter Massnahmen zur Schadensbegrenzung, Notfallpläne und Anforderungen an das interne IT Service Continuity Management (ITSCM) für IT-Störungen bzw. IT-Notfälle erarbeitet. Die nötige «Krisenresistenz» der ARI-Organisation wird durch regelmässige Schulungen für die Mitarbeitenden, Tests und Übungen sowie eine kontinuierliche Überprüfung und Aktualisierung der Dokumentationen und Prozesse erzielt.

Alle ARI-Mitarbeitenden haben bereits zum Jahresende 2024 eine erste Pflichtschulung zum überarbeiteten BCM-Prozess absolviert. Eine Evakuierungsübung wurde ebenfalls erfolgreich durchgeführt. 2025 sind weitere Massnahmen zur optimalen Vorbereitung der ARI-Organisation auf den Ernstfall vorgesehen. Sie beinhalten u.a. die Durchführung eines simulierten Cyberangriffs im Rahmen einer «Table Top Exercise».

Schwerpunkte