Telekomunternehmen betreiben kritische Infrastrukturen, deshalb gehören sie zu den am häufigsten angegriffenen Zielen von Cyberkriminellen. Ihre Netze bilden das Rückgrat der nationalen Kommunikation: Mobilfunk, Internet, Notfalldienste und der Geschäftsverkehr sind angewiesen auf einen reibungslosen Betrieb. Ein Ausfall, eine Störung oder ein gezielter Cyberangriff kann landesweite Folgen haben, essenzielle Dienste beeinträchtigen und sich auf die öffentliche Sicherheit oder die Wirtschaft auswirken.
Um sich gegen Cyberattacken zu verteidigen, hat Sunrise ein Team aus hochqualifizierten Spezialistinnen und Spezialisten zusammengestellt. Das Security Operations Center (SOC) ist für den Schutz der digitalen Infrastruktur, der Kundendaten und der internen Systeme des Unternehmens vor Cyberbedrohungen verantwortlich. Die Arbeit des SOC umfasst die Überwachung in Echtzeit, das Reagieren auf Vorfälle, Bedrohungsanalysen und präventive Massnahmen. Diese Aktivitäten helfen Sunrise dabei, Angriffe frühzeitig zu erkennen, sie rasch zu stoppen und ihre Auswirkungen zu minimieren.
Jeden Monat verarbeiten Telekomunternehmen wie Sunrise Millionen von Zugriffen auf ihre kommerziellen Webseiten. Diese Daten bilden die Basis für die Sicherheitsüberwachung und ermöglichen es Sunrise, Muster, Auffälligkeiten und potenzielle Angriffswellen frühzeitig zu erkennen.
Das Sunrise Security Operations Center setzt auf verschiedene Such-, Analyse- und Ereigniskorrelationslösungen, um enorme Mengen technischer Daten aus dem gesamten Sunrise-Netzwerk zu erfassen und auszuwerten. Dieses Open-Source-System hat eine riesige Bibliothek mit Milliarden einzelner Sicherheitsdatensätze gespeichert, die laufend aktualisiert werden.
Die Informationen stammen aus unterschiedlichen Bereichen der digitalen Infrastruktur, etwa von Firewalls, Web-Traffic-Filtern, DNS-Diensten, Login-Systemen oder VPN-Servern. Jede Quelle liefert kleine Hinweise darauf, was auf den öffentlich zugänglichen Systemen und innerhalb des Unternehmens gerade passiert.
Indem diese Daten zentral zusammengeführt werden, erhält das SOC die nötige Transparenz, um Sunrise, Kundinnen und die Kunden optimal zu schützen. Das Team reagiert schnell auf ungewöhnliche Verhaltensweisen, untersucht potenzielle Bedrohungen und analysiert, ob jemand versucht, Sunrise-Dienste sowie Kundinnen Kunden zu attackieren oder zu missbrauchen.
Jeden Monat werden Tausende schädlicher Bots blockiert
Zusätzlich zum regulären Datenverkehr identifiziert Sunrise monatlich mehrere Tausend automatisierte Angriffsversuche durch sogenannte «bösartige Bots». Solche Bots testen gestohlene Zugangsdaten, suchen nach Schwachstellen oder kopieren Inhalte von Webseiten. Das SOC analysiert den Datenverkehr und unterscheidet menschliche Login-Versuche von automatisierten.
«Selbst an vergleichsweise ruhigen Tagen erkennt das System innerhalb von nur 12 Stunden Hunderte automatisierte Login-Versuche», erklärt Adam Oczos, Leiter Cyber Defense von Sunrise. Bei starken Angriffswellen löst das System automatisiert Schutzmassnahmen aus, blockiert schädliche Anfragen und informiert das SOC-Team in Echtzeit.
In besonders intensiven Phasen im Jahr 2025 wurde Sunrise über mehrere Wochen hinweg gezielt mit automatisierten Login- und Angriffswellen konfrontiert. «An einigen Wochenenden wurden Millionen solcher Versuche registriert», sagt Oczos.
Solche Vorfälle treten häufig nachts oder zu Zeiten auf, in denen Angreifer mit einer geringeren Überwachung rechnen, zum Beispiel am Freitagnachmittag oder während Feiertagen. Bereits wenige erfolgreiche Login-Versuche können automatisierte Angriffsketten auslösen, darunter betrügerische Transaktionen oder Versuche, persönliche Daten zu entwenden.
Aus diesem Grund arbeitet das SOC eng mit dem internen Team zur Betrugsprävention und dem Kundendienst zusammen, um verdächtige Login-Muster sofort zu untersuchen. Die Überwachung und die Sicherheitsmaßnahmen laufen rund um die Uhr, 24/7, an jedem Tag im Jahr.
Geopolitische Spannungen haben das Entstehen immer raffinierterer Angreifer begünstigt, insbesondere bösartiger Botnetze. Das SOC-Team widmet diesen weit verzweigten Netzwerken kompromittierter Geräte besondere Aufmerksamkeit, da sie von Cyberkriminellen genutzt werden, um Organisationen zu stören, die Herkunft von Angriffen zu verschleiern oder enorme Mengen an digitalen Anfragen auszulösen, die Teile des Internets lahmlegen können.
«Botnetze werden heutzutage für alles Mögliche eingesetzt: von Angriffen auf Infrastrukturen über das Validieren von Zugangsdaten bis hin zur Erlangung von administrativem Zugriff», erklärt Adam Oczos. Deshalb überwacht das SOC Bedrohungsakteure besonders aufmerksam, sofern deren Aktivitäten auf Telekom-Infrastruktur abzielt.
Zu den bekanntesten Botnetzen zählen etwa Aisuru-Kimwolf und ResHydra, denen Expertinnen und Experten rekordverdächtige Angriffe, Einfluss auf geopolitische Spannungen und sogar Bedrohungen für nationale Infrastrukturen zuschreiben. «Früher war die Sorge auf Webseiten begrenzt, heute stehen Länder im Fokus», zitiert das Wall Street Journal Craig Labovitz, Leiter Technologie der Sparte Deepfield von Nokia.
Sunrise blockiert Angriffe durch gemeinsame Bedrohungsanalysen
Mittels der Kombination von Fingerprinting-Verfahren, Webanwendungs-Firewalls und internationalen Bedrohungsinformationen erkennt und blockiert Sunrise schädliche Aktivitäten. Der Datenverkehr wird über cloudbasierte Filter und interne Sicherheitsmechanismen geleitet, die gefährliche Muster automatisch aussortieren.
Die Sammlung von Informationen über Bedrohung spielen dabei eine zentrale Rolle: Sunrise arbeitet eng mit europäischen Telekom-Sicherheitsgruppen, zertifizierten Organisationen aus der Schweiz und Partnern aus der Branche zusammen. Durch diese Kooperationen werden Hinweise auf Angriffe, Listen mit Internet‑Protokoll‑Adressen, die als potenziell gefährlich, missbräuchlich oder schädlich eingestuft wurden wie auch Informationen zu neuen Bedrohungen ausgetauscht. Das SOC integriert diese Erkenntnisse direkt ins System, so erden bekannte Angriffsquellen in Echtzeit erkannt und automatisch blockiert.
Zusammengefasst: Sunrise schützt Unternehmens- und Kundendaten durch einen starken Rahmen für Cyber-Sicherheit und Cyber-Abwehr sowie durch eine enge Zusammenarbeit mit Partnern – und das selbst in Zeiten globaler Konflikte und Kriege.