präsentiert von
Special
präsentiert von
Special
Es gibt zunehmend gute Gründe, die den Einsatz eines Security Operations Centers (SOC) auch im Mittelstand rechtferigen. Das SOC gehört zurecht zu der Auswahl an Lösungen, welche die Stärken eines Unternehmens im Kontext von Cyber Security ausbauen können:
Hacker haben erkannt, dass mittelständische Unternehmen oft nicht über die gleichen Sicherheitsressourcen verfügen wie Konzerne. Ransomware, Phishing und Supply-Chain-Attacken nehmen zu und können Unternehmen lahmlegen.
Ein Cyberangriff kann Produktionsausfälle, Datenverlust und Rufschädigung verursachen. Die finanziellen Folgen können existenzbedrohend sein – insbesondere für Unternehmen, die keine umfassenden Sicherheitsmaßnahmen etabliert haben.
Der Fachkräftemangel in der IT-Sicherheit macht es für Mittelständler schwierig, eigene Security-Teams aufzubauen. Ein SOC bietet 24/7-Überwachung und kann Unternehmen entlasten, indem es Bedrohungen frühzeitig erkennt und Gegenmaßnahmen einleitet.
Gesetze wie die NIS2, DORA oder branchenspezifische Vorgaben erfordern verstärkte Sicherheitsmaßnahmen. Ein SOC hilft, diese Anforderungen zu erfüllen und Strafen zu vermeiden.
Ein Cyberangriff kann sensible Daten kompromittieren oder die Produktion lahmlegen. Unternehmen mit einer starken Sicherheitsstrategie – inklusive SOC – sind widerstandsfähiger und können sich besser im Markt behaupten.
Dagegen kann ein SOC die Angriffsflächen reduzieren und an der stetigen Abwehrfähigkeit der Unternehmens-Security massiven Anteil haben.
Was genau fordert die NIS2-Richtlinie? Was sollten Unternehmen jetzt tun? In diesem Whitepaper finden Sie einen kompakten Überblick.
Neben dem eigenen Security-Team eine zusätzliche ‚Verteidigungslinie‘ zur Verfügung zu haben, die 24×7 überwacht, mittels Automatismen Auffälligkeiten identifiziert und bereinigt, und sich auch um Sicherheitsvorfalle kümmert, ist eigentlich kaum etwas einzuwenden.
Ein SOC ist auf nichts anderes als auf den Schutz des Unternehmens fokussiert, Tag für Tag, und verspricht einen deutlich erweiterten Schutz als die üblichen Werkzeuge der Mittelstands-IT mit Firewall, Antivirus, MFA etc.
Die Implementierung einer SOC-Lösung ist der erste richtige Schritt in die erweiterte Sicherheit, für mittelständische Unternehmen jedoch nicht ganz einfach zu realisieren. Ein eigenbetriebenes SOC kann sich ein erfolgreicher Konzern halten, im Mittelstand ist 24×7 für unterschiedliche Rollen und Fähigkeiten eher ein Kosten-Overkill. Noch dazu ist gutes Security-Personal in Deutschland nahezu unauffindbar und noch schlechter finanzierbar.
Solche Unternehmen können im Vergleich günstigere Preise aufrufen, weil dort Ressourcen im Einsatz sind, die mehrere Kunden bedienen, also ‚Shared Resources‘ sind. Hier bleibt die Frage offen, wann eine ‚Shared Resource‘ die Zeit findet, in die individuelle Betreuung einzusteigen. Ohne feste SLA-Zusage für die Bearbeitungsaufnahme ist ein Einstieg in einen Managed Service ja grundsätzlich eher eine Vertrauensfrage.
Doch auch ein SOC-Betreiber muss zunächst nennenswerte Investitionen in den Aufbau und den Betrieb seiner Security-Infrastruktur tätigen, um ein SOC produktiv zu nehmen und zu halten. Hier die wesentlichen Bestandteile, die einen SOC-Dienstleister überhaupt in die Lage versetzen, das Vertrauen seiner Kunden nicht zu enttäuschen:
EDR – Endpoint Detect and Response: in der IT-Umgebung des Kunden werden viele Sensoren und Softwareagenten installiert, die das Verhalten der Kundensysteme überwachen.
SIEM (Security Information and Event Management): das Herz des SOC. Hier laufen die Überwachungsmedungen der Sensoren auf und werden für die SOC-Besatzung aufbereitet. Im SIEM-System kann Automation (insbesondere KI-gestützte Erkennungsmechanismen) bekannte Auffälligkeiten nach Algorithmus bereinigen oder zumindest Vorsorgearbeit leisten, wie zum Beispiel die Verschiebung von E-Mail-Nachrichten in die Quarantäne oder die Isolation von Systemen aus dem Netzwerk.
Incident Response Team: das Kernpersonal im SOC. Die hier ansässigen Mitarbeiter überwachen das SIEM-System und die Agentenverfügbarkeit, sodass der Meldefluss ins SIEM gesichert ist. In der Regel sitzen in 2. Reihe sogenannte SOC-Analysten mit tiefergehender Expertise.
Wie robust ist Ihre IT-Infrastruktur? Wirksame und praktische Maßnahmen für mehr Sicherheit finden Sie im Whitepaper „Cyber Resilienz – Widerstandsfähigkeit im digitalen Zeitalter“
Tatsächlich beschränken sich einige SOC-Anbieter auf den Incident Response Prozess, stellen also Auffälligkeiten fest und arbeiten automatisierte Maßnahmen und Playbooks (strukturierte Ableitungen) ab. Falls der Sicherheitsvorfall nicht abgeschlossen ist, wird eine Weitergabe an den Kunden durchgeführt, der allerdings mit dem Vorfall nicht selten überfordert ist.
Viele SOC-Dienstleister möchten mit einer Basispauschale plus einem variablen Anteil für die Endpoints, Server und Netzwerkomponenten ein faires Preismodell bieten. Tatsächlich wächst so mit jeder virtuellen Maschine (VM), jedem Endpoint etc. die Investitionen in die Security-Maßnahmen an, wobei die eigentlichen Leistungselemente für den Kunden eher gleich bleiben (s.o. Abschnitt über SOC-Elemente).
SOC-Dienstleister ködern mit dem Vorteil, immer besetzt zu sein. Allerdings benötigen sie für den Ernstfall eines Sicherheitsvorfalls dann doch einen Kontaktpunkt beim Kunden, falls der Vorfall am Wochenende, in der Nacht und an Feiertagen auftritt.
Wie in anderen Managed-Services-Verträgen liegt die Vermutung nahe, dass Serviceprovider zur Erfüllung der vereinbarten Leistungen gelegentlich an der Optimierung der eigenen Leistungserbringung und Kosten ebenso intensiv arbeiten wie an der Servicequalität in Richtung Kunde. Dem Provider stehen für die Leistungserbringung üblicherweise Pauschalen plus variable, mengenabhängige Einnahmen zur Verfügung. Somit ist ein ‚Streamlining‘ der Leistungen zu erwarten und auch sinnvoll, um vom Betrieb von Shared Resources profitieren zu können.
Dagegen stehen die individuellen Systemumgebungen der einzelnen betreuten Kunden, die natürlich voneinander abweichen. Überlastete IT-Abteilungen sehnen sich nach guten Services einschließlich neutraler Beratung zu Weiterentwicklungen, Optimierungen und oft auch Reduzierungen. Dazu kommen neue Anforderungen aus der Gesetzeslage, Notwendigkeiten aus den operativen Einheiten wie Automation und KI sowie geschäftliche Forderungen zu Normen und Standards.
SOC-Services sind sinnvoll gegen die immer weiter steigende Bedrohungslage. Sie sind nicht das Allheilmittel gegen sämtliche Arten von Angriffen, komplettieren den Verteidigungsapparat jedoch massiv. Steht man vor der Auswahl, entweder in einen SOC-Service zu investieren oder beispielsweise dem Abschluss einer Cyber-Versicherung den Vorrang zu geben, fällt die Auswahl schwer. Ein gut arbeitendes SOC ist wertvoll und hilft häufig bei Angriffen, bei Misserfolg zahlt man in der Regel enorme Beträge. Welches Risiko sichert man also bei begrenzten Mitteln ab ?
Die Aufnahme eines SOC-Services in das Sicherheitskonzept einer Unternehmens-IT bleibt eine Herausforderung. Hierzu sollte eine Beratungsphase nicht ausschließlich Gespräche mit SOC-Anbietern beinhalten, sondern auch mit Dienstleistern, die ein umfassendes Leistungsspektrum im Bereich IT vorweisen können.
Ist Ihr IT-Management auf der Höhe der NIS2-Richtlinie? Finden Sie es mit dem 20-Fragen-Katalog des Self-Assessment-Whitepapers von Sycor heraus.