DIGITALL Galaxy - der Leadership-Blog für Ihre digitale Transformation

Was ist ein Security Operations Center (und warum ist es wichtig)?

Geschrieben von Bozhidar Ginev | 21.09.2022 06:30:00

Mit den Vorteilen und der Flexibilität der Digitalisierung hat sich leider auch ein eher unschöner Aspekt des Wandels weiterentwickelt - Cyber-Attacken sind vielfältiger denn je und zwingen Unternehmen zu einem Umdenken der klassischen Sicherheitsmaßnahmen.

Inhalt: 

  1. Warum brauchen Sie ein Security Operations Center (SOC)?
  2. Was ist ein Security Operations Center (SOC)?
  3. Wie können Sie ein Security Operations Center betreiben?

Warum brauchen Sie ein Security Operations Center (SOC)?

Schönreden hilft leider nicht, Cyberangriffe auf Unternehmen und Organisationen nehmen exponentiell zu. Untersuchungen von Check Point Software (via Forbes) haben ergeben, dass die durchschnittliche Anzahl der wöchentlichen Angriffe pro Unternehmen im Jahr 2021 in allen Branchen gestiegen ist, wobei in einigen Branchen ein Anstieg von mehr als 60% zu verzeichnen ist (z.B. Bildung/Forschung, Gesundheitswesen, Beratung, Versicherungen usw.).

Laut einer von Forbes zitierten Studie von Positive Technologies benötigen Angreifer im Durchschnitt zwei Tage, um in das interne Netzwerk eines Unternehmens einzudringen, was in 71% der Fälle auf die Kompromittierung von Anmeldeinformationen zurückzuführen ist.

Auch im Jahr 2022 sind schwache Passwörter, das gleiche Passwort für mehrere Plattformen sowie Phishing-Angriffe immer noch die Hauptursachen für erfolgreiche Cyberangriffe. Es ist daher von entscheidender Bedeutung, Mitarbeitende nicht nur zu schulen, sondern sie auch vor schädlicher Kommunikation, z. B. Phishing-E-Mails, Textnachrichten oder Chat-Nachrichten, zu schützen, um Risiken zu verringern.

Eine Studie von ThoughtLab befragte rund 1.200 große Unternehmen aus verschiedenen Branchen und Ländern zu ihren Cyber Security-Strategien und stellte fest, dass die meisten Unternehmen mit einer Vielzahl an verschiedenen Themen kämpfen:

  • Komplexität der Lieferketten,
  • Das digitale Innovationstempo,
  • Fehlende Budgets
  • Mangelnde Unterstützung durch die Geschäftsleitung
  • Konvergenz von digitalen und physischen Vermögenswerten

Kurz gesagt: Die Infrastruktur eines jeden Unternehmens ist komplexer denn je, was stärkere, aber auch flexiblere Sicherheitslösungen sowie kontinuierliche Schulungen und Weiterbildungen erfordert, um menschliche Fehler zu vermeiden.

Darüber hinaus steigt die Zahl der Vorschriften und Compliance-Anforderungen aufgrund der Globalisierung in fast allen Kommunikations- und Geschäftsprozessen. Die meisten SOCs decken auch diese Themen ab, da sie eng mit Datensicherheitsmessungen, Transparenz und Kontrolle über alle sensiblen Daten innerhalb eines Unternehmens verbunden sind.

Es liegt auf der Hand, dass Unternehmen und Organisationen eine Lösung benötigen, die ebenso komplex ist wie ihre Infrastruktur und die Vermögenswerte schnell, innovativ und intelligent schützt und der Technologie für Cyberangriffe immer einen Schritt voraus ist. Genau hier kommt das Security Operations Center (SOC) ins Spiel.

Was ist ein Security Operations Center (SOC)?

Zurück zum Beitragsanfang

Ein SOC ist eine Kombination aus einem Team von IT-Sicherheitsexpert:innen, das für die Sicherheit der Infrastruktur eines Unternehmens sowie für die Anwendungen (Technologie und Prozesse) verantwortlich ist, um

"Cyber Security-Bedrohungen und -vorfälle zu verhindern, zu erkennen, zu bewerten und darauf zu reagieren sowie die Einhaltung von Vorschriften zu erfüllen und zu bewerten" (Research Analyst Siddarth Deshpande, Gartner).

Das Security Operations Center kann intern oder ausgelagert sein, es ist in der Regel rund um die Uhr aktiv und analysiert, erkennt und behebt Sicherheitsprobleme in Echtzeit mit einer Kombination aus automatisierten Prozessen, künstlicher Intelligenz und manuellen Maßnahmen.

Zu den allgemeinen Aufgaben des SOC gehören:

  • Die Analyse von Daten, die Bewertung von Tools und die Prozessreview, um Warnmeldungen bei identifizierten Vorfällen zu managen.
  • Das Priorisieren für Vorfälle und damit die Zuweisung von Ressourcen sowie die Entscheidung über Maßnahmen auf der Grundlage des Bedrohungsrisikos.
  • Die Dokumentation und Analyse aller Vorfälle sowie der Nachweis, dass die Bedrohungen erfolgreich eingedämmt wurden. Die Kombination und Interpretation aller Informationen, die dem SOC, aber auch dem gesamten Unternehmen helfen, aus Vorfällen zu lernen.

Weitere Aufgaben, die das SOC-Team übernehmen kann, sind:

  • Das Management einer Bedrohung (Threat Intelligence-Verfahren und die tiefergehende, proaktive Bedrohungsjagd (Threat Hunting))
  • Das Sicherstellen der notwendigen Abdeckung von Schwachstellen zum Schutz aller Systeme innerhalb des Unternehmens

Die Abläufe innerhalb eines SOC basieren in der Regel auf dem PPT-Rahmen, der auf die Verbesserung der betrieblichen Effizienz abzielt: Menschen, Prozesse und Technologien.

Die spezielle Kombination der vielen verschiedenen Elemente innerhalb eines SOC ist wichtig, um die Anforderungen der komplexen Systemlandschaften, Risiken und anderen Anforderungen zu erfüllen.

KI, vorhandene Prozessautomatisierung und das Know-how von Sicherheitsexpert:innen werden in allen Bereichen des SOC eingesetzt und bilden so ein umfassendes Arsenal an Intelligenz und Maßnahmen, um zu überwachen, zu reagieren und zu sichern.

Die Überwachung bietet Transparenz über alle vorhandenen Technologien, Prozesse und Beteiligten. Sie kann so eingerichtet werden, dass ungewöhnliche Aktivitäten in Echtzeit erkannt werden.

Werden Aktivitäten identifiziert, sorgt die Incident Response (Reaktion auf Vorfälle) dafür, dass Risiken schnell und angemessen bearbeitet und minimiert werden.

Threat Intelligence sind alle Informationen, die Aufschluss über vergangene, aktuelle oder potenzielle Angriffe auf ein Unternehmen geben können. Da die Daten in der Regel unstrukturiert sind, müssen sie strukturiert, analysiert und in Maßnahmen und bewährte Verfahren zum Schutz des Unternehmens umgewandelt werden.

Streamen Sie unser Expert:innen-Webinar und werfen Sie einen Blick auf die praktische Umsetzung und Abläufe eines SOC.

Wie können Sie ein Security Operations Center betreiben?

Zurück zum Beitragsanfang

In-House

Das SOC-Team ist im Unternehmen selbst verortet und verfügt über eigene Anwendungen und Personal für 24/7-Support.

Das Unternehmen hat die volle Kontrolle über alle Technologien, Prozesse und Ressourcen. Dies bedeutet jedoch auch, dass die erforderlichen Fähigkeiten, Ressourcen und Technologien bereitgestellt werden müssen.

SOC-as-a-Service (SOCaaS)

SOCaaS ist ein verwalteter Sicherheitsdienst, der ein ausgelagertes SOC-Team anbietet, das dediziert oder gemeinsam genutzt werden kann. Oft kann ein Unternehmen wählen, ob es interne Mitarbeitende für die Zusammenarbeit einbeziehen möchte.

Das Unternehmen teilt die Kontrolle mit dem Anbieter und kann die Kosten je nach den erbrachten Dienstleistungen anpassen. Der Anbieter kann das SOC einrichten, mit Personal ausstatten und/oder internes Personal für den Betrieb des SOC schulen. Das externe Personal verfügt von Anfang an über alle erforderlichen Fähigkeiten und Kenntnisse und muss daher nicht zusätzlich geschult werden.

Dedizierte

Das SOC ist entweder firmenintern oder als SOCaaS mit einem dedizierten Personal für einen bestimmten Kunden für 24/7-Support aktiv.

Verteilt (Distributed)

Das SOC wird sowohl von Voll- als auch von Teilzeitkräften betrieben und umfasst sowohl interne Analyst:innen als auch SOCaaS-Analyst:innen. Es kann rund um die Uhr oder nur während der Arbeitszeiten aktiv sein.

Das Unternehmen hat die volle Kontrolle, und die Kosten sind viel niedriger als bei einem rund um die Uhr betriebenen, vollständig dedizierten SOC. Allerdings sind die Reaktionszeiten auf tatsächliche Sicherheitsereignisse viel langsamer, und aufgrund der Teilzeitbeschäftigung sind die SOC-Mitarbeitenden möglicherweise nicht so erfahren im Umgang mit Problemen wie ein voll engagiertes Personal.

Wir von DIGITALL unterstützen Sie bei der Evaluierung, dem Aufbau und dem Management Ihres Security Operations Centers. Ganz gleich, ob Sie eine eigene Abteilung aufbauen wollen oder Managed Services für den Sofortbetrieb benötigen, wir sind für Sie da.