Security Operations Center
Mit Managed SOC den NIS-2-Anforderungen begegnen
Bis Oktober 2024 gilt es, die NIS-2-Richtlinie der EU in nationales Recht umzusetzen. Wie können betroffene Firmen angesichts steigender Kosten und fehlender Fachkräfte dieser Herausforderung begegnen? Das Konzept des SOC-as-a-Service verspricht Abhilfe.
Der Artikel liefert unter anderem Antworten auf folgende Fragen:
- Wie gestaltet sich die aktuelle Cybersecurity-Bedrohungslage?
- Was besagt die NIS-2-Richtlinie der EU?
- Welche Anforderungen leiten sich für deutsche Unternehmen ab?
- Welche Faktoren erschweren die NIS-2-Umsetzung?
- Inwiefern kann die Einbindung eines professionellen Managed Security Operations Center (SOC) die Umsetzung erleichtern?
- Welche Aspekte sprechen für ein externes Managed Security Operations Center?
- Welche Bedeutung kommen SIEM-Tools für die NIS-2-Umsetzung zu?
Die NIS-2-Richtlinie der EU1 ist bereits seit Anfang 2023 in Kraft, bis Oktober 2024 ist sie in nationales Recht umzusetzen. Demnach kommen auf zahlreiche Unternehmen, die in die Gültigkeit des Nachfolgers von NIS-1 fallen, erhebliche Anstrengungen im Bereich Cybersecurity zu. Dabei haben nicht nur Mittelständler Probleme bei der Umsetzung, sondern auch Großbetriebe und Konzerne. Wie können betroffene Firmen angesichts steigender Kosten und fehlender Fachkräfte dieser Herausforderung begegnen? Das Konzept des Managed SOC (Security Operations Center) – auch als SOC-as-a-Service bekannt – verspricht hier zuverlässige Hilfe bei überschaubarem Ressourcen-Einsatz.
Der Branchenverband Bitkom und das BSI sind sich in ihrer Einschätzung der aktuellen Cybersecurity-Bedrohungslage einig: Obgleich der Schaden in der deutschen Wirtschaft durch IT-Kriminalität mit 203 Milliarden Euro im Jahre 2022 um etwa ein Zehntel niedriger lag als im bisherigen Rekordjahr 2021 (223 Millarden)2, nehmen Umfang, Professionalität und Bandbreite der Cyber-Attacken zu. Für 2023 wird keine Entspannung erwartet.
Das kriminelle Potenzial hinter dem Einsatz von KI für Cybercrime ist nur ein Punkt, der diese Prognose unterfüttert. Um dieser steigenden Bedrohung entgegenzuwirken, hat die EU am 14. Dezember 2022 die NIS-2-Richtlinie verabschiedet, die bereits seit Anfang 2023 gilt und bis zum 17.10. 2024 in nationales Recht umgesetzt werden muss. Betroffen sind im Gegensatz zur NIS-1 auch Unternehmen und Organisationen, die nicht mehr ausschließlich zur KRITIS (kritischen Infrastruktur) zählen, sondern einem von 18 Sektoren zugeordnet werden, mindestens 50 Beschäftigte oder über 10 Millionen Euro Jahresumsatz erwirtschaften. Dementsprechend erhöht sich massiv der Handlungsdruck für den Mittelstand, dem insgesamt mehr als 3.400 Firmen angehören und die 99,4 Prozent der Wirtschaftsbetriebe stellen.
NIS-2-Verschärfung war bitter nötig
Tatsächlich ist laut Bitkom bisher praktisch jedes deutsche Unternehmen 2022 mindestens einmal einem Cyber-Verbrechen zum Opfer gefallen – 84 Prozent waren sich diesbezüglich sicher, weitere 9 Prozent haben einen hinlänglich begründeten Verdacht. Zwar stehen vorwiegend größere Firmen im Visier der Cybergangster. Zudem liegt der Anteil organisierter Strukturen zum ersten Mal über der 50-Prozent-Grenze. Andererseits wissen Angreifer auch, dass Mittelständler oft ein niedrigeres IT-Sicherheitsniveau vorhalten und sich entsprechend einfacher „knacken“ lassen. Diesen Bereich soll die neue NS-2-Richtlinie gezielt stärken, indem Prophylaxe und Abwehr strukturiert, Dokumentations- und Schulungspflichten intensiviert und die gesamte Wertschöpfungs-/Lieferkette miteinbezogen wird.
Der deutsche Gesetzesentwurf zeichnet die Forderung aus, dass nur zertifizierte IKT-Produkte und -Dienste zum Einsatz kommen dürfen. Die Umsetzung auf nationaler Ebene kann deutlich strenger als die EU-NIS-2 ausfallen. Welche Anforderungen leiten sich nun für deutsche Unternehmen ab, wo liegen typische Hindernisse?
Fachkräftemangel, Kostensteigerung und Unübersichtlichkeit des Marktes erschweren die NIS-2-Umsetzung
Der Bitkom hat im November 2022 ebenfalls herausgefunden3, dass 137.000 IT-Experten in Deutschlands fehlen, 2020 waren es coronabedingt „nur“ 86.000, 2021 circa 96.000. Wie viele Positionen davon aktuell im Bereich IT-Security unbesetzt sind, kann nur spekuliert werden. Dieses Nadelöhr trifft hauptsächlich Unternehmen des Mittelstands, da dort oft nicht die finanziellen und personellen Ressourcen zur Verfügung stehen, um sich im „War for Talents“ gegen die zahlreichen Mitbewerber zu behaupten. Sind im besten Falle ausgewiesene Experten für IT-Sicherheit vorhanden, erschweren die Kostensteigerungen bei Hard- und Software sowie die Unübersichtlichkeit des Angebots an Lösungen Auswahl und Umsetzung der passenden Cybersecurity-Strategie. Und selbst wenn man hier ebenfalls die richtige Entscheidung trifft, können die Sicherheitsbeauftragten nicht 24/7 mit ungetrübter Aufmerksamkeit die gesamte IT-Infrastruktur des Unternehmens NIS-2-konform im Auge behalten.
Am Outsourcing führt kaum ein Weg vorbei
Tatsächlich gibt es für Firmen, die nicht in der glücklichen Lage sind, eigenes IT-Security-Know-how vorhalten und bezahlen zu können, keine andere Alternative als die Einbeziehung eines externen Anbieters. Aber auch hier warten noch etliche Stolperfallen. Denn es reicht nicht, einfach einen freiberuflichen „Experten“ zu engagieren, der über proprietäre Ferndiagnose-Werkzeuge ein paar Variablen überwacht und erst Alarm auslöst, wenn das Kind schon in den Brunnen gefallen ist.
Wichtige Bestandteile der NIS-2-Richtlinie sind die Prävention, die kontinuierliche Überwachung der Wirksamkeit sowie dezidierte Dokumentationen von verdächtigen oder eindeutig gefährlichen Vorkommnissen. Hierfür bietet sich die Einbindung eines professionellen Managed Security Operations Center (SOC) an, das über robuste Prozesse verfügt und auch ein Security Information and Event Management anbietet (SIEM). Der Vorteil des SIEM-Konzepts liegt darin, dass sich nicht nur aktuelle Events aufzeichnen lassen, die vermeintlich harmlos erscheinen, sondern diese durch die Einbeziehung der Historie direkt in den richtigen Kontext gesetzt und als versteckte Bedrohungen erkannt werden können. Selbstverständlich sollte der Anbieter eines Managed SOC volle Compliance zur aktuellen NIS-2-Richtlinie gewährleisten.
Vorteile eines Managed Security Operations Centers
Augenscheinlich gibt es keine sinnvolle Alternative zum Outsourcing des NIS-2-konformen IT-Sicherheitsmanagements, wir wissen nun auch um die Notwendigkeit der Einbindung eines leistungsfähigen und professionell gewarteten SIEM-Tools. Was spricht nun konkret für ein externes Managed Security Operations Center?
Volle NIS-2-Compliance
Als Unternehmen muss man sich in der EU bereits im eigenen Kernkompetenz-Bereich mit vielfältigen Vorschriften, Regularien und Anforderungen auseinandersetzen. In flankierenden Disziplinen Know-how aufzubauen und zu halten, Zertifizierungen zu erfüllen und regelmäßig zu erneuern, können sich nur sehr wenige Unternehmen dauerhaft finanziell leisten. Dementsprechend lohnt sich das Outsourcing an einen zertifizierten Dienstleister, wenn durch diesen Schritt fast automatisch aktuelle und zukünftige Compliance-Richtlinien erfüllt werden können.
Schonung wertvoller Personalressourcen
Hat man dann das Glück, über qualifiziertes IT-Fachpersonal zu verfügen, sollte es auch in die firmenspezifische Wertschöpfungskette eingebunden sein. Natürlich gehört IT-Security mittlerweile zu den existenzkritischen Wirtschaftsfaktoren, dennoch bietet dieser Bereich im Vergleich zum eigentlichen Geschäftsschwerpunkt viel Outsourcing- und Automatisierungspotential. Selbstverständlich müssen die eigenen IT-Experten aber auch in den Sicherheitsgrundlagen geschult und weitergebildet werden, um mit den externen Partnern auf Augenhöhe kommunizieren und kooperieren zu können.
Vermeidung von laufenden und Opportunitätskosten
Bindet man ein externes SOC ein, hat man es mit regelmäßigen, einigermaßen überschaubaren Kosten zu tun. Einmalige und/oder unerwartet hohe Investitionen fallen üblicherweise nicht mehr an. Zudem sichert man sich gegen die Folgekosten von Cybercrime-Attacken ab, die im schlimmsten Fall die Existenz des Unternehmens gefährden können.
Schutz der Kunden und des Renommees
Wer mit vertraulichen Kundendaten arbeitet, steht in der gesetzlichen Pflicht, diese bestmöglich zu schützen. Neben diesem Aspekt steht bei einer Kompromittierung der IT-Sicherheit aber nicht nur ein finanzieller, sondern immer auch ein erheblicher Imageschaden im Raum.
Der IT-Fachkräftemangel wird sich weiter verschärfen, die Cyber-Risiken zunehmen. Wer frühzeitig auf ein Managed SOC setzt, fördert die IT-Sicherheit im Unternehmen, verbessert die Wettbewerbsposition und stellt sicher, dass sich nicht zwischen Investitionen in Innovationsprojekte und IT-Sicherheit entschieden werden muss.
1 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
2 https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022
3 https://www.bitkom.org/Presse/Presseinformation/Deutschland-fehlen-137000-IT-Fachkraefte
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
RSAC 2024
Cisco und Splunk zeigen erste gemeinsame SOC-Lösung
NIS-2-Richtlinie
Daueraufgabe IT-Sicherheit
Vorbereitung auf NIS-2
Herausforderung OT-Sicherheit meistern
Partnerkonferenz in Berlin
Eset gibt Ausblick auf Channel- und Produktstrategie
Security Operations Center
Über echte Mehrwerte und die Suche nach dem Bezugsmodell
Kundendaten im Darknet veröffentlicht
Hackerangriff auf Motel One
Facetten der Schatten-IT
Die Ära der Amateur-Programmierer meistern
Gastkommentar von secunet
Digitale Souveränität und Cloud: ein unzertrennliches Paar
PSW Group: Datenschutz im Fokus
NIS2-Richtlinie stärkt Sicherheit im digitalen Zeitalter
Neue Security-Richtlinie der EU
Wie man sich auf NIS 2 vorbereitet
