Startseite > Security > Leitzentrale für die Unternehmenssicherheit

Security Operations Center

Leitzentrale für die Unternehmenssicherheit

17. Oktober 2023, 10:30 Uhr | Autor: Jacques Boschung / Redaktion: Diana Künstler

Phishing, Ransomware und DDoS-Attacken – der Geschäftsalltag im Netz wird zunehmend riskanter. Trotzdem begnügen sich viele Unternehmen damit, lediglich auf Schulungen oder Firewalls zu setzen. Doch die Methoden der Online-Kriminellen werden immer raffinierter. Ein SOC kann Abhilfe schaffen.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Wie gestaltet sich die Cybersecurity-Bedrohungslage im Vergleich zu 2022?
Was ist ein Security Operations Center (SOC)?
Für wen lohnt sich ein SOC?
Wie kann ein Security Operations Center aufgebaut sein?
Wie lässt sich ein SOC in die IT-Infrastruktur integrieren?
Welche unterschiedlichen Tools, Software und Technologien verwenden SOC-Teams?
Welche Rolle spielt die Automatisierung von Prozessen in einem SOC?
Welche Punkte sprechen für einen externen Dienstleister in Sachen SOC?

Die Frage ist seit Langem nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann. Wenn Sicherheitslücken in der eigenen IT-Infrastruktur bestehen, kann es teuer werden. Daher muss der Schutz vor Cyberkriminalität auf jeder Agenda stehen. Das bestätigt eine Studie der Experten für Wirtschaftsprüfung und -beratung von KPMG¹. 84 Prozent der befragten Unternehmen beobachten eine Verschärfung der Bedrohungslage im Vergleich zu 2022. Das gilt nicht nur für Phishing und Ransomware, auch die Sorge vor DDoS-Attacken (Distributed Denial of Service) sei deutlich gestiegen. Trotzdem wähnen sich neun von zehn Unternehmen in Sicherheit und denken, dass sie diese Angriffe frühzeitig erkennen und abwehren können. Dieses Sicherheitsgefühl steht in krassem Gegensatz zur Tatsache, dass noch immer nur eine Minderheit der Unternehmen eine umfassende 24/7-Überwachung ihrer digitalen Sicherheit implementiert hat.

Ein lückenloses Sicherheitskonzept und ein umfassender Schutz vor Online-Angriffen sind allerdings essenziell, um hohe Folgekosten und langfristigen Schaden an der Reputation einer Marke zu verhindern. Hier hilft ein sogenanntes Security Operations Center (SOC). Aber worum handelt es sich dabei? Wie unterstützt es die Business-Security? Und für wen lohnt es sich?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Umfassender Online-Schutz

Bei einem SOC werden eine beträchtliche Anzahl IT-Events gesammelt, analysiert und verarbeitet. Das SOC ist das Nervenzentrum für alle wichtigen Abwehrmaßnahmen einer digitalen Infrastruktur. Doch nicht nur Aufzeichnungen, Daten und Vorfälle finden sich dort. Der wichtigste Bestandteil eines SOCs sind die Menschen selbst – Spezialisten für Datenanalyse, Software-Engineering und Netzwerk-Management-Fachleute. Sie überwachen alle Vorkommnisse dank effektiven State of the Art-Tools und behalten dadurch den Überblick über die Cybersicherheitslage des Unternehmens. Sobald sie verdächtige Aktivitäten oder Anomalien beobachten, untersuchen sie diese und reagieren zeitnah, um Cyberangriffe bereits im Keim zu unterbinden.

Üblicherweise gibt es unterschiedliche Kategorien von Mitarbeitern in einem SOC. Sämtliche Aktivitäten werden von einem SOC-Manager überblickt und verwaltet – SOC-Manager bilden sozusagen das Gehirn der Security-Operationen. Sicherheitsanalysten bilden die Augen eines SOCs und liefern die Grundlage für alle Maßnahmen. Sie untersuchen die Daten und bewerten die Informationen. Wenn erforderlich geben sie die Ergebnisse an sogenannte „Cyber Incident Response“-Teams (CIRT) weiter – die eingreifenden Hände des SOCs. Diese Experten haben sich auf eine aktive Bekämpfung von Online-Attacken spezialisiert, und sie kümmern sich um eine möglichst schnelle Eindämmung der Bedrohung.

Es gibt viele Möglichkeiten, wie ein SOC aufgebaut oder in die IT-Infrastruktur eines Unternehmens eingebunden sein kann. Eine davon ist ein firmeninternes SOC mit Mitarbeitern, die von dem Unternehmen selbst beschäftigt werden. So hat ein Unternehmen die direkte Kontrolle über sein ganzes Cybersicherheits-Team. Allerdings kann das im 24/7-Betrieb auch zu höheren Verwaltungs- und Personalkosten führen. Im Gegensatz dazu lässt sich ein SOC auch an spezialisierte Firmen auslagern. Cybersicherheit-Dienstleister bieten bereits eingespielte Experten-Teams, die sich um die Security mehrerer Unternehmen kümmern und die den Betrieb des SOCs ebenfalls übernehmen können. Sie verfügen über ein besonders breites Know-how und aktuelle Technologien, um die bestmögliche Abwehr von Online-Attacken zu gewährleisten. So lässt sich oftmals kosteneffizienter und sogar schneller auf Vorfälle reagieren.

Zuverlässige und effiziente Security-Tools und -Software

Die Aktivitäten eines SOC umfassen im Kern das Monitoring, die Datenanalyse und eine zeitnahe Reaktion. Es geht um ein frühzeitiges Erkennen eines Vorfalls und die schnelle Eindämmung des Sicherheitsrisikos. Idealerweise sollten diese Maßnahmen den Geschäftsbetrieb nicht einschränken oder beeinflussen. Dafür verwenden die Teams unterschiedliche Tools, Software und Technologien, die sich je nach Ansatz, IT-Infrastruktur und bevorzugter Arbeitsweise unterscheiden.

Weit verbreitet sind etwa SIEM-Systeme (Security Information and Event Management) zum Monitoring von Ereignissen und Vorfällen im IT-Netzwerk. Das SIEM dient Analysten als zentrale Plattform zur Zusammenführung von sicherheitsrelevanten IT-Ereignissen und Protokolldaten. Die gesammelten Informationen werden vom SIEM normalisiert, aggregiert und korreliert. Durch die Korrelation der Ereignisse kann ein SIEM anhand scheinbar unabhängiger Ereignisse Sicherheitsvorfälle entdecken. Indem zum Beispiel E-Mail-, Proxy-, Firewall-, und Benutzeraktivitäten in Zusammenhang gebracht werden, lassen sich Phishing-Angriffe erkennen. SOC-Analysten können auf dieser Basis Anomalien und verdächtige Ereignisse untersuchen und gegebenenfalls Maßnahmen einleiten.

Ebenso sind EDR-Plattformen (Endpoint Detection and Response) heute standardmäßig Teil eines SOCs. Ein EDR beschäftigt sich vorrangig mit den Endpoints – also mit Daten- und Applikationsservern sowie Benutzerendgeräten. Moderne EDR-Plattformen unterbinden als bösartig erkannte Aktivitäten auf einem Endgerät sofort. Im Verdachtsfall einer Kompromittierung leitet die EDR-Plattform diese Information direkt an das SOC, sodass die Experten Gegenmaßnahmen durchführen können.

In der Vergangenheit wurden SIEM- und EDR-Systeme oft nebeneinander geführt. Neuerdings wird eine Verschmelzung der Sicherheitsdaten in einer einzigen Plattform angestrebt. Diese Strategie wird oft als XDR (Extended Detection and Response) bezeichnet. Eine XDR-Architektur erlaubt es einem SOC, Analysen von einem zentralen Punkt aus über sämtliche gesammelten Daten vorzunehmen. Diese Entwicklung erlaubt nicht nur die Zusammenführung der wichtigen Sicherheitsereignisse. Ein großer Vorteil liegt auch in den bei XDR-Architekturen angewendeten Big-Data-Konzepten, welche eine viel günstigere Datenhaltung erlauben als bei traditionellen SIEM- und EDR-Systemen. Bei den SIEM- und EDR-Herstellern ist daher ein klarer Trend zu XDR-Erweiterungen zu beobachten. Daneben erobern derzeit äußerst interessante „Beyond SIEM“-Konzepte den Markt, welche auf Big Data und ML (Machine Learning) setzen.

Ein wichtiger Aspekt eines jeden SOCs ist die umgehende Reaktion auf eine festgestellte Kompromittierung oder einen Verdachtsfall. Für diesen Zweck kommt oft ein SOAR (Security Orchestration and Automated Response) zum Einsatz. Mit einem SOAR lassen sich manuelle Abläufe hochgradig automatisieren. Beispielsweise können kompromittierte Accounts blockiert oder Endgeräte in Quarantäne geschoben werden, um die Ausbreitung erkannter Infektionen zu verhindern. Auch können Analysten und Forensiker automatisiert Daten zur weiteren Analyse sammeln, Auswertungen vornehmen lassen sowie retrospektive Threat Hunts durchführen.

Höhere Security durch KI und ML

Generell hat die Automatisierung von Prozessen in einem SOC einen immer größeren Stellenwert – Triagen, Korrelationen von Vorfällen oder die Schaffung einer holistischen Sicht der Cybersicherheitslage sind wesentliche Aspekte eines SOCs. Künstliche Intelligenz (KI) kann in diesem Zusammenhang einen großen Beitrag für bessere Effizienz und Effektivität der SOC-Performance leisten. Dabei geht es um eine Partnerschaft zwischen Menschen und Maschinen. So lässt sich der Korrelationsaufwand der im SOC gesammelten Daten größtenteils vom System übernehmen, und es gestalten sich viele Abläufe der Cyberabwehr durch Automatisierung effizienter. Das entlastet die Analysten, die dadurch wiederum freie Ressourcen haben und sich um Aufgaben kümmern, die sich nicht an eine KI übertragen lassen.

Eine zielführende Anwendung von KI ist mit Large Language Models (LLM) möglich: die Berichtserstattung für den Kunden nach einem Cybervorfall. Dank dieser Automatisierung entfällt ein beträchtlicher Teil des manuellen Reportings durch menschliche Mitarbeiter – eine oftmals aufwendige und ungeliebte Arbeit. Darüber hinaus kann die Maschine im Bericht einen besseren Kontext abbilden – verknüpft mit zutreffenden Risikominderungen und Maßnahmen. Somit verändert sich auch die Prozesskette selbst. Nicht nur verringert sich die Fehlerwahrscheinlichkeit, es erhöhen sich auch die Geschwindigkeit und die Qualität des Reportings. Außerdem wird die Zufriedenheit der Cyberanalysten verbessert, weil sie fortan ihrem Kerngeschäft, der Cyberabwehr, mehr Zeit und Energie widmen können. Das ist essenziell, denn jede Sekunde zählt, wenn die digitale Infrastruktur eines Unternehmens angegriffen wird.

Bei all diesen Innovationen geht es aber nicht darum, den Menschen die Arbeit in einem SOC wegzunehmen. Die IT- und Sicherheitsspezialisten bleiben das Herzstück einer solchen Leitzentrale – deren Know-how lässt sich nicht durch Automatisierung oder eine KI ersetzen. Ziel ist es vielmehr, die Arbeit der Experten angenehmer und hochwertiger zu gestalten. Dies geschieht durch effizientere Auswertung der Daten, höhere Qualität der Berichte und einen umfangreicheren sowie treffenden Kontext für die Entscheidungsfindung. Derweil müssen die menschlichen Mitarbeiter ihre technischen Fähigkeiten erweitern. Auf lange Sicht sind daher spezielle Schulungen für den optimalen Umgang mit KI, ML und LLM notwendig.

Was für einen externen Dienstleister spricht

Moderne Unternehmen müssen sich umfassend um die Sicherheit ihrer digitalen Infrastruktur kümmern. Dabei bleibt es ihnen überlassen, ob sie intern selbst ein SOC aufbauen wollen oder die Aufgabe an zuverlässige Anbieter auslagern. Für viele Firmen – abhängig von der Branche, der Größe, dem digitalen Schwerpunkt und so weiter – lohnt sich es sich nicht unbedingt, ein eigenes SOC zu betreiben. Eine partnerschaftliche Zusammenarbeit mit kompetenten Anbietern in Sachen Cybersicherheit ist eine solide und vorteilhafte Alternative.

Die Pluspunkte eines externen Dienstleisters sind für die Kunden beträchtlich – beispielsweise hinsichtlich besserer Skalierbarkeit und die entsprechende Variabilisierung der Kosten verbunden mit einer besseren Cybersicherheitslage. Ein „Managed SOC“ verfügt bereits über die notwendigen Technologien, Prozesse und eine 24/7-Organisation, die für zahlreiche und vielfältige Kunden eingesetzt wird. Die Investitionen in Tools, Software und Mitarbeiterausbildung rechnen sich dadurch schneller. Mit seiner kritischen Größe kann ein SOC-Dienstleister seine Cybersicherheit-Teams stets up to date halten und sie kontinuierlich weiterbilden. Cyber-Kriminelle entwickeln ständig neue Angriffsmethoden oder Hacking-Tools. Hier dürfen die SOC-Mitarbeiter keinesfalls den Anschluss verlieren.

^{1 https://kpmg.com/de/de/home/themen/2023/05/studie-belegt-truegerisches-sicherheitsgefuehl-bei-unternehmen.html}