Ein Security Operation Center überwacht rund um die Uhr Computer, Netzwerke, Server und Geräte, die zur Verwaltung der gesamten IT-Infrastruktur eingesetzt werden. Wenn es erfolgreich ist, tut es das Nötige, um die Situation schnell zu beheben und den Schaden so weit wie möglich zu begrenzen.
Dafür verwendet es eine breite Palette hochentwickelter Tools wie SIEM (Security Information and Event Management), welche fortschrittlichen und klar definierten Prozessen folgen, um Sicherheitslücken zu ermitteln. Wenn ein verdächtiges Ereignis festgestellt wird, geht das SOC der Sache nach und reagiert entsprechend.
Wenn Sie sich fragen, wie nützlich ein SOC für Ihr Unternehmen wäre, könnte die Antwort lauten, dass der Wert eines SOCs proportional zu dem Schaden ist, den ein erfolgreicher Cybersicherheitsangriff verursachen könnte. Wenn Sie aktuell veraltete Sicherheitstechnologien verwenden, kann es je nach Studien von Gartner, IDC oder Forrester im Durchschnitt 70 bis 150 Tage dauern, bis Ihr Unternehmen eine Sicherheitslücke erkennt. Aber abseits der Analysteneinschätzung, selbst wenn es „nur“ eine Woche wäre, eine Datenpanne kann auch dann leicht hunderttausende von Euros kosten und ein erfolgreicher Ransomware-Angriff wird sich in Ausfallzeiten und hohen Aufwänden für die Systemwiederherstellung niederschlagen.
Sollte der Schaden unter idealen Voraussetzungen auch schnell behoben werden können, geht es in der Folge immer noch darum, das Vertrauen der Kunden wiederzugewinnen. Ob Kollateralschaden oder punktueller Angriff mit begrenzten Folgen, die Minimierung eines Cybersicherheitsrisikos erfordert in jedem Falle eine 24/7-Überwachung der gesamten IT-Infrastruktur. Dafür sollte Ihr Unternehmen in der Lage sein, ein Sicherheitsteam in mehreren Schichten zu besetzen und sicherstellen, dass interne Sicherheitsexperten rund um die Uhr verfügbar sind.
Sie müssen dazu laufend über die zu überwachenden Infrastruktur up-to-date sein und auf wichtige Fragen eine klare Antwort geben können. Aus welchen Komponenten besteht ihr gesamtes Netzwerk? Welche Komponenten kommen tagesaktuell dazu? An welchem Standort werden Sie genutzt? Wie sind sie vernetzt? Wer ist der Mitarbeiter, dem ein neues Gerät zugewiesen wurde? Spätestens hier stellt sich die Frage: Verfügen Sie über die Voraussetzungen, um ihre Systeme gründlichst verteidigen zu können und können Sie alle Bereiche des Unternehmens täglich schützen?
SOC als logischer Schritt angesichts aktueller Bedrohungen
Ein SOC bietet unumstrittene Vorteile: Kontinuierliche Netzwerküberwachung und Transparenz. Ihre IT-Infrastruktur wird zudem vor Ort und in der Cloud laufend auf Bedrohungen überwacht. Im Falle einer Malware-Infektion wird die Verbreitungszeit auf ein Minimum reduziert. KI-gesteuerte Sicherheitsautomatisierungen helfen, Angriffe schnell und präzise zu identifizieren und darauf zu reagieren. Kurzum: Früherkennung und Reaktionsfähigkeit verlaufen weitaus effektiver, strukturierter und rascher. Im Idealfall ermöglicht ein SOC, eine Bedrohung sogar in Echtzeit zu erkennen.
SOC ist somit keine temporäre Modeerscheinung oder alleskönnender Sicherheitsturbo, sondern bildet ein grundlegendes Element, um sicherheitsrelevanten Ereignissen vorzubeugen oder diese zu behandeln.
Ist ein SOC wirklich die Investition wert?
Ja. Auch wenn die Aufrechterhaltung und der Aufbau eines eigenen SOCs teuer sein kann, auch wenn es nur einen einzigen Cyberangriff abwehrt, bevor dieser Schaden anrichtet, hat es bereits eine beträchtliche Investitionsrendite erbracht.
Muss ich ein eigenes SOC aufbauen?
Quelle: Gravitate GmbHEin eingespieltes SOC-Team übernimmt eine Führungsrolle bei der proaktiven Erkennung von Cyberangriffen.
Eine zentrale Aufgabe wie das SOC auszulagern, klingt im ersten Ansatz widersinnig. Der Kostenaspekt ist aber der häufigste Grund, weshalb nur sehr wenige Unternehmen eine eigene SOC-Abteilung einrichten. Ein ausgelagertes SOC ermöglicht es, diese Kosten zu senken. Die Anschaffungskosten entfallen.
Dadurch besteht kein Investitionsrisiko. Trotzdem setzen Sie auf ein Team von qualifizierten Technikern, die in der Lage sind, hochentwickelte Tools zu nutzen und auf dem neuesten Stand der Entwicklungen zu bleiben, ohne dass die notwendige Aus- und Weiterbildung Ihr Budget zusätzlich belastet.
Wie wähle ich den für mich richtigen Partner?
Der Weg in eine sichere IT ist immer auch ein Weg ins Unbekannte. Ihr Partner sollte es deshalb als zentrale Aufgabe sehen, sich selbst und seine Lösungen immer wieder auf neue Anforderungen hin abzustimmen und weiterzuentwickeln. Folgende Aspekte sollten Sie bei der Auswahl besonders berücksichtigen.
- Der beste Service kommt von Partnern, die mit Ihren Systemen, Prozessen, Compliance-Anforderungen und Sicherheitszielen vertraut sind. Das heißt jeder Dienstleister, mit dem Sie zusammenarbeiten, sollte in der Lage sein, die von Ihnen bereits genutzten Systeme zu integrieren. Prüfen Sie in jedem Fall die genauen Leistungsbausteine eines SOCs, um Sie mit dem eigenen Bedarf abzugleichen.
- Wenn Sie einen SOC-Partner in Betracht ziehen, sollten Sie einen Blick auf die Technologie werfen, die der Anbieter einsetzt. Welche Analysetools werden verwendet, die bei der Auswertung der Daten helfen? Ist das Team für die Nutzung der eingesetzten Tools geschult und zertifiziert? Werden OSINT-Modelle eingesetzt? Wie steht es um den Einsatz von Monitoring-Tools, Endpoint Security, Penetrationtests. Wie werden die SOC-Analysten regelmäßig fortgebildet?
- Wo befindet sich der Standort Ihres Dienstleisters? Ein virtuelles SOC bedeutet, dass das Team, mit dem Sie zusammenarbeiten, sich überall auf der Welt befinden kann. Die Einhaltung von Vorschriften kann zur Folge haben, dass Sie die Dienstleistungen von einem bestimmten Land aus erbringen müssen. Es sollte außerdem rund um die Uhr und 365 Tage die Woche erreichbar sein, damit Sie sicher sein können, dass Sie rund um die Uhr betreut werden.
- Wenn es um Cybersicherheitsoperationen geht, sind die Kosten ein wichtiges Thema. Viele Anbieter machen es sehr einfach, die Preise für ihren Service vorherzusagen. Aber vorhersehbare Kosten bedeuten nicht gleich niedrigere Kosten. Denken Sie an den Wert der tatsächlich erbrachten Leistung. Der richtige Anbieter hat vielleicht nicht den niedrigsten Preis, aber er bietet Ihnen die Dienstleistungen, die Sie brauchen und die Sie sich für eine langfristige Beziehung wünschen.
Quelle: Gravitate GmbHBei der Suche nach dem passenden SOC-Anbieter sollten Sie bedenken, dass es sich um eine dauerhafte Partnerschaft handeln wird. Sie werden über Jahre hinweg eng zusammenarbeiten. Ihr Anbieter sollte vom ersten Kontakt an Maßnahmen ergreifen, um diese Beziehung proaktiv aufzubauen. Wenn er sich nicht von Beginn an um einen guten Service oder maßgeschneiderte Pläne kümmert, können Sie später nicht viel mehr erwarten.
Die Bereitstellung hervorragender Sicherheit erfordert auch ein tiefes technisches und prozessuales Verständnis Ihres Unternehmens. Mit Standard-Tools ist die Vielzahl an Aufgaben der IT-Teams nicht zu bewältigen. Wohl aber mit zukunftsfähigen, ausgewählten Technologien, deren Zusammenspiel individuell auf Ihre IT- und Geschäftsprozesse abgestimmt ist.
Aus diesem Grund sollte er sich von Anfang an mit Ihrem Unternehmen und seinen Anforderungen vertraut machen. Er wird erkennen, dass tiefergehende und nachhaltige IT-Security eine menschliche Beziehung voraussetzt. IT-Security ist nur dann wirksam, wenn sie im dynamischen Einklang mit Ihren Teams und Ihren Strukturen steht.
Claus Huber ist Geschäftsführer der Gravitate GmbH.
