Security braucht Menschen
Generationenkonflikt im SOC
Fortsetzung des Artikels von Teil 1
Hoher Stresspegel
Level-1-Analysen sind anstrengend, langwierig und eintönig. Alteingesessene Security-Experten lehnen diese Tätigkeit meist ab und übernehmen eher leitende Positionen. Die Aufgaben im SOC unterscheiden sich grundlegend von der herkömmlichen Arbeit in der Security-Abteilung: Dort können Beschäftigte etwas aufbauen und gestalten; sie haben ein Ziel, sehen ein Ergebnis und haben Erfolgserlebnisse. Im SOC geht es dagegen darum aufzupassen, dass nichts einstürzt. Mitarbeiter stehen unter ständigem Stress, keine Fehler zu machen und nichts zu übersehen. Das ist umso schwieriger, als die Security-Systeme täglich unzählige Warnmeldungen ausgeben. Zwar laufen diese meist zunächst in einem SIEM-System (Security-Information- und Event-Management) zusammen, das sie korreliert. Trotzdem überfluten noch Hunderte Alerts das SOC-Team, darunter zum Großteil False Positives. In diesem Grundrauschen die gefährlichen Meldungen zu entdecken ist schwer.
In einer Umfrage von Trend Micro erklärten 50 Prozent der IT-Security- und SOC-Entscheidungsträger, dass ihr Team von der Vielzahl der Alerts überfordert ist. 59 Prozent waren sich nicht sicher, ob ihr Unternehmen in der Lage ist, Meldungen richtig zu priorisieren und angemessen zu reagieren.
Da den CISOs der älteren Generation diese Erfahrungswelt fehlt, können sie häufig nicht nachvollziehen, unter welchem Druck die Jungen im SOC arbeiten. Sie selbst haben im Laufe der Jahre gelernt, auch einmal „Nein“ zu sagen, wenn die Arbeitsbelastung zu groß wird. Junge Beschäftigte trauen sich das oft nicht – oder wollen es nicht. Sie sind noch hochmotiviert, möchten sich beweisen und auf der Karriereleiter nach oben klettern. Viele empfinden Stress zunächst als positive Herausforderung und als Chance zu zeigen, was sie leisten können. Grenzen auszuloten, in Frage zu stellen und zu verschieben ist seit jeher ein Wesenszug der Jungend. Diese Dynamik ist für Unternehmen wichtig, um sich weiterzuentwickeln. Sie birgt aber auch die Gefahr, dass Beschäftigte sich selbst überschätzen und ihre eigenen Belastungsgrenzen überschreiten. Oft ist es die Kombination aus selbst auferlegtem Druck und den Anforderungen von außen, die am Ende zum Burnout führen.
Gerade die Tätigkeit im SOC bringt ein immenses Maß an Verantwortung mit sich. Denn wenn ein Mitarbeiter eine gefährliche Meldung übersieht, kann das schwerwiegende Folgen für das ganze Unternehmen haben. Wie die Trend-Micro-Umfrage zeigte, belastet der berufliche Druck viele SOC-Manager psychisch: 26 Prozent können im Privatleben nicht abschalten und 27 Prozent sind zu gestresst, um sich zu entspannen. Dies führt wiederum dazu, dass SOC-Teams bei der Arbeit nachlässiger werden, Warnmeldungen ignorieren oder gar deaktivieren. CISOs sind in der Pflicht, ihre Beschäftigten vor Überlastung zu schützen. Nur wenn diese gesund bleiben und Spaß bei der Arbeit haben, können sie auch gute Leistung bringen und einen sicheren SOC-Betrieb ermöglichen. Dafür ist es zunächst wichtig, das Gespräch zwischen den Generationen zu suchen.
Die älteren Security-Experten sollten sich erinnern, wie es ist, jung zu sein und Grenzen zu überschreiten. Sie müssen rechtzeitig gegensteuern, bevor Risiken entstehen. Die Jungen wiederum müssen lernen, sich gegen zu viel Stress zu wehren und Probleme offenzulegen. Auf technischer Seite sollten CISOs Lösungen einführen, die das SOC-Team entlasten und SOC-Prozesse optimieren. XDR (Extended Detection and Response) kann die Security Alerts zum Beispiel KI-gestützt und mittels Threat Intelligence so korrelieren, dass am Ende eine überschaubare Zahl verwertbarer Warnungen übrig bleibt. Die Level-1-Analysten sehen dann auf einen Blick, welche Meldungen wirklich wichtig sind und wie ein Angriff bisher verlaufen ist. Noch mehr Entlastung bietet Managed XDR: Ein Team externer Security-Analysten übernimmt hier das Monitoring und die Auswertung der Warnmeldungen.
Fazit: Nur mit Detection und Response
Ohne leistungsfähige Detection und Response wird es künftig nicht mehr möglich sein, Unternehmen angemessen vor Cy-berangriffen zu schützen. CISOs, die sich dafür entscheiden, ein eigenes SOC aufzubauen, sollten den Dialog mit ihren Nachwuchskräften suchen und sie mit moderner Technik bestmöglich unterstützen. Denn wenn die Beschäftigten überlastet sind oder gar ausbrennen, leidet die Sicherheit. Eine andere Lösung könnte sein, SOC-Services von einem spezialisierten Dienstleister in Anspruch zu nehmen. Bei einem Managed Service sorgt der Provider dafür, dass das SOC-Team immer richtig besetzt ist. CISOs lagern damit sowohl den Fachkräftemangel als auch den Generationenkonflikt aus.
Richard Werner ist Business Consultant bei Trend Micro.
- Generationenkonflikt im SOC
- Hoher Stresspegel
Lesen Sie mehr zum Thema
