Security braucht Menschen
Generationenkonflikt im SOC
Bisher betreiben vor allem große Unternehmen ein eigenes SOC (Security Operations Center). Doch durch die verschärfte Sicherheitslage und höhere regulatorische Anforderungen rückt das Thema auch für viele Mittelständler in den Fokus. Doch im SOC schwelt ein Generationenkonflikt. Denn hier arbeiten vorwiegend junge Nachwuchskräfte – oft am Rande ihrer Belastungsgrenze. Dies gefährdet letztendlich die Sicherheit. CISOs (Chief Information Security Officers) müssen deshalb gegensteuern.
Mit dem neuen IT-Sicherheitsgesetz werden Systeme zur Angriffserkennung für alle Kritis-Betreiber Pflicht. Aber auch wer nicht in diese Gruppe fällt, sollte sich an den Vorgaben orientieren und sie als Empfehlung betrachten. Denn Cybervorfälle sind heute das größte Geschäftsrisiko. Sie schnell zu erkennen und zu stoppen ist damit für Unternehmen überlebenswichtig. Um dies zu bewerkstelligen, müssen Security-Teams in der Lage sein, sicherheitsrelevante Daten aus der gesamten IT-Umgebung zu sammeln, zu analysieren und auszuwerten – am besten rund um die Uhr an sieben Tagen die Woche. Denn Cyberangriffe erfolgen meist hochautomatisiert und halten sich nicht an die üblichen Bürozeiten. Wer 24/7-Security Monitoring etablieren will, kommt deshalb an einem SOC nicht mehr vorbei. Viele Mittelständler überlegen gerade, eines aufzubauen oder entsprechende Services bei einem Dienstleister einzukaufen.
Dies ist nicht nur eine technische, sondern auch eine menschliche Herausforderung: In IT Security-Abteilungen schwelt ein Generationenkonflikt, der sich, bleibt er unerkannt, selbst zur Sicherheitslücke entwickeln kann. CISOs stammen meist aus der ersten Generation der Security-Experten und zählen heute zu den Über-50-Jährigen. Sie bauten die Security-Abteilung seinerzeit auf und definierten die Prozesse. Damals funktionierte IT-Security noch einfacher. IT-Umgebungen waren kleiner, es gab noch keine Cloud, kein IoT (Internet of Things), keine Smartphones und keine professionelle Cybercrime-Szene. Anfangs reichte es aus, eine Firewall und einen Virenscanner zu betreiben. Außerdem stellte die Security-Abteilung Regeln auf, an die sich alle Mitarbeiter im Unternehmen halten mussten.
Seither hat sich viel verändert. Ein solch restriktiver Ansatz ist nicht mehr zeitgemäß, denn Security darf die Digitalisierung nicht ausbremsen, sondern muss sie vorantreiben und ermöglichen. Gleichzeitig ist es viel komplexer geworden, IT-Umgebungen zu schützen. Heute sind Security-Teams mit einer kontinuierlich wachsenden, hochdynamischen Angriffsfläche konfrontiert. CISOs stehen vor der Herausforderung, die Security so zu transformieren, dass sie den neuen Anforderungen gewachsen ist. Ein wichtiger Baustein ist dabei eine leistungsfähige Bedrohungserkennung über alle Ebenen der hybriden IT-Umgebung hinweg.
Detection and Response (Angriffserkennung und -abwehr) ist eine vergleichsweise junge Disziplin. Entsprechend arbeiten in einem SOC vorwiegend jüngere Beschäftigte. Insbesondere im Bereich der Level-1-Analysen sind häufig Berufseinsteiger beschäftigt, die diesen Job als Sprungbrett für ihre Security-Karriere nutzen. In der Regel gliedert sich ein SOC in mehrere Ebenen: Auf der untersten Stufe (Level 1) geht es darum, die Logfiles der angeschlossenen Security-Systeme zu untersuchen. Dies erfordert mühevolle manuelle Fleißarbeit. Die Beschäftigten müssen analysieren, ob ein Log-Event auf einen Sicherheitsvorfall hindeutet oder nicht. Dafür gleichen sie die Daten mit ähnlichen Alarmen aus der Vergangenheit ab und ziehen Informationen aus Threat-Intelligence-Quellen heran.
Entdeckt ein Level-1-Mitarbeiter einen Hinweis auf ein gefährliches Event, übergibt der den Fall an die nächste SOC-Ebene. Dort übernehmen erfahrenere Analysten die tiefere Untersuchung und stoßen Maßnahmen an, um die Bedrohung zu bewältigen.
- Generationenkonflikt im SOC
- Hoher Stresspegel
Lesen Sie mehr zum Thema
