Home » Fachbeiträge » Managed Security » SOC sind der Kontrollturm für Cybersecurity

SOC sind der Kontrollturm für Cybersecurity

Komplexe IT/OT-Architekturen sind typisch für kritische Infrastrukturen (KRITIS) und in der industriellen Fertigung. Damit externe Dienstleister solche Umgebungen optimal gegen Cyberkriminalität schützen, müssen sie die richtigen Spezialisten an Bord haben.

4 Min. Lesezeit
SOC
Foto: ©AdobeStock/Наталья Евтехова

Advertorial

Gut jedes zehnte Unternehmen in Deutschland wurde 2022 erfolgreich gehackt, so eine aktuelle Studie des TÜV-Verbands. Während sich Cyberkriminelle konsequent professionalisieren und die Digitalisierung immer mehr Angriffsflächen eröffnet, bleibt der Mittelstand oft schlecht geschützt, da ihm schlagkräftige IT-Abteilungen fehlen. Diese Lücke schließen externe Security Operations Center mit hochspezialisierten Experten. 

Cybersicherheit bleibt eine Daueraufgabe mit höchster Priorität. Die größte Gefahr sind nach wie vor Ransomware-Angriffe, bei denen Kriminelle in fremde Systeme eindringen. Dort übernehmen sie die Kontrolle, verschlüsseln Daten und machen diese den Eigentümern erst wieder zugänglich, wenn Lösegeld fließt. Eine solche Angriffswelle traf Anfang des Jahres auf einen Schlag eine dreistellige Anzahl deutscher Unternehmen und Einrichtungen. Ob Datendiebstahl, Industriespionage oder Sabotage: Gemeinsam ist der Kriminalität aus dem Cyberspace, dass die Folgen für die Betroffenen oft langwierig und teuer sind. Die entstandenen Schäden für die Gesamtwirtschaft summierten sich zuletzt auf mehr als 200 Milliarden Euro.

Zweifellos werden die Bedrohungen von außen vielfältiger, schneller und variantenreicher. Doch auch innerhalb der Unternehmen verändern sich die Szenarien, da durch immer mehr vernetzte Geräte und Anlagen die ursprünglich getrennten Welten der IT und OT (Operational Technology) zusammenwachsen. Beides erhöht das Risikopotenzial und die Notwendigkeit, es wachsam im Auge zu behalten. Genau darin besteht die zentrale Aufgabe eines Security Operations Center (SOC). Es ist vergleichbar mit dem Tower eines Flughafens, von dem aus alle ankommenden und abfliegenden Flugzeuge beobachtet und gesteuert werden. Ähnlich wie in einem Kontrollturm überwacht ein SOC alle Sicherheitsaktivitäten im Unternehmensnetzwerk und koordiniert die Reaktion auf mögliche Bedrohungen. Konkret heißt das für die SOC-Teams: Sie sollen für ihre Auftraggeber Security-Risiken verringern, aufdecken, bewerten, kontrollieren und im Fall der Fälle eine forensische Analyse einleiten. Das ist eine anspruchsvolle Aufgabe, für die es neben dem Expertenwissen bewährte Prozesse und technische Tools braucht, um damit ein breites Spektrum an Managed Services abzudecken und ein professionelles Risikomanagement für die komplette IT- und OT-Landschaft zu gewährleisten. 

SIEM-SOC-Konzept

Das Team des SOC überwacht 24/7 die Netze der Kunden und wertet Alarmierungen des SIEM aus.

Ganzheitliche Cybersecurity für IT und OT

Komplexe IT/OT-Architekturen sind typisch für kritische Infrastrukturen (KRITIS) und in der industriellen Fertigung. Damit externe Dienstleister solche Umgebungen optimal gegen Cyberkriminalität schützen, müssen sie die richtigen Spezialisten an Bord haben. Dafür reichen IT-Security-Kenntnisse nicht aus, da sich herkömmliche Sicherheitskonzepte nicht einfach auf die OT übertragen lassen. Denn das primäre Ziel der Betriebstechnologie sind maximal verfügbare KRITIS- und Industrieanlagen, deren Prozesse – anders als Büro-PC – bei einer befürchteten Kompromittierung nicht einfach abgeschaltet werden können. Um für die Herausforderungen der IT/OT-Konvergenz eine ganzheitliche Cybersecurity-Strategie zu entwickeln, ist deshalb ein tiefes Verständnis der OT-Infrastrukturen und ihrer Automatisierungs-, Prozess- und Netzleittechnik zwingend erforderlich, wie sie telent durch die langjährige Erfahrung in Industrial Security und industrieller Automatisation für KRITIS-Betreiber, Industrieunternehmen und öffentliche Auftraggeber besitzt. Neben ihrem gebündelten interdisziplinären Fachwissen nutzen die Experten als technische Plattform die führende, in Europa entwickelte SOC-Technologie von RADAR Cyber Security.

Die SOC-Plattform besteht aus diversen Sicherheitsmodulen, die je nach individuellem Bedarf von Unternehmen eingesetzt, und über ein Risk & Security-Cockpit visualisiert werden. Quelle: ©Powered by RADAR Cyber Security

Radar-Trichter

Da das Risikopotenzial eines Cyberangriffs insbesondere auf sicherheitskritische OT-Komponenten erheblich ist, nimmt das neue IT-Sicherheitsgesetz 2.0 KRITIS-Betreiber stärker in die Pflicht. Sie müssen seit dem 1. Mai 2023 eine Angriffserkennung auf dem aktuellen Stand der Technik besitzen und kritischen Komponenten monitoren. Ein modular aufgebautes SOC deckt solche Maßnahmen über ein breites Spektrum an Managed Services ab, die stufenweise aufgebaut und nach Bedarf erweitert werden können. Die drei wichtigsten Funktionen einer Angriffserkennung sind Protokollierung, Detektion und Reaktion. Den Vorgaben entspricht u. a. ein System aus Intrusion Detection System (IDS) und Intrusion Prevention System (IPS). Ein auf die OT spezialisiertes IDS/IPS versteht die Sprache der proprietären Protokolle der Anlagen und Steuerungen und kann dadurch sowohl Angriffe als auch Fehlkonfigurationen, die auf menschlichem Versagen basieren, erkennen, im Verdachtsfall alarmieren oder nicht autorisierte Datenpakete blockieren.

SIEM sammelt alle relevanten Daten

Ein wichtiges Handwerkszeug eines jeden SOC ist ein Security Incident and Event Management (SIEM), das dank einer passiven, rückwirkungsfreien OT-Monitoringlösung auch auf die Logdaten von OT-Assets wie Prozess- und Steuerungstechnik, SPSen oder Sensoren zugreift. Wie eine „Datenkrake“ sammelt und aggregiert das System unzählige Informationen aus allen relevanten Bereichen der IT/OT-Infrastruktur und weist auf Auffälligkeiten hin. Die so bereitgestellten Daten müssen Experten qualifiziert sichten und mit Blick auf die betriebliche Infrastruktur, etwa die verwendeten Softwareversionen, bewerten. Denn die Systeme können einen Fehlalarm von einer echten Gefahr nicht unterscheiden. Das gelingt den erfahrenen Experten, die darüber hinaus die Netzwerke ihrer Auftraggeber rund um die Uhr überwachen, aktiv nach Bedrohungen suchen, diese entfernen und weitergehende Handlungsempfehlungen aussprechen. Wie der Tower am Flughafen unterstützt das Team des SOC dabei, Sicherheitsziele zu erreichen, und zwar ohne dass Unternehmen selbst hohe Investitionen in Securitysoftware, Hardware, Sicherheitsexperten, Schulungen und vieles mehr tätigen müssen, die beim Aufbau eines eigenen SOC entstehen.

Weitere Infos zu telent:

Lösungen & Services

Aktuelles

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.