Home » Fachbeiträge » Security Management » Security-Operations-Center für alle

Security-Operations-Center für alle

Professionalisierung der Gefahrenabwehr darf keine Frage der Unternehmensgröße sein - Die Statistik spricht eine klare Sprache: Laut einer Studie von Accenture zielen 43 Prozent der Hackerattacken auf Organisationen mit begrenzten Ressourcen ab. Umso mehr kommt es darauf an, dass kleine und mittelständische Unternehmen im Zuge ihrer Sicherheitsstrategie konsequent nachrüsten. Die Etablierung eines Security-Operations-Centers (SOC) ist dabei ein wichtiger Schritt, der nicht zwangsläufig am internen Kapazitätsmangel scheitern muss.

5 Min. Lesezeit
Foto: ©AdobeStock/Gorodenkoff

Dass Angreifer immer methodenreicher vorgehen, ist kein Geheimnis. Nicht nur die Zahl der versuchten Übergriffe wächst, auch die Komplexität der Angriffsmuster und die Bandbreite der potenziellen Einfallstore nehmen weiter zu. Themen wie Ransomware, Phishing, die Kompromittierung von Lieferketten, der Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) im Zuge professioneller Eindringversuche, die Ausnutzung von Zero-Day-Schwachstellen oder der Missbrauch gestohlener Zugangsdaten treiben IT-Verantwortlichen immer öfter den Schweiß auf die Stirn – nicht zuletzt vor dem Hintergrund, dass im Rahmen der Dezentralisierung von Unternehmensstrukturen durch Homeoffice und Co. die Angriffsfläche noch größer wird. Zudem sind die Folgen einer erfolgreichen Cyberattacke nicht zu unterschätzen, wie das jüngste Beispiel des Fahrradherstellers Prophete zeigt: Dieser musste kurz vor Weihnachten 2022 Insolvenz anmelden, nachdem ein Angriff den Betrieb für mehrere Wochen lahmgelegt hatte.

Entsprechend aufrüttelnd sind die Zahlen des „Cost of a data breach“-Reports von IBM. Danach betrug die durchschnittliche Zeit, um einen IT-Sicherheitsvorfall zu erkennen und zu beheben, im Jahr 2022 ganze 277 Tage. Dieser hohe Wert lässt sich auf verschiedene Ursachen zurückführen. Zum einen fehlt es in Unternehmen aufgrund des fortschreitenden Fachkräfte- und internen Ressourcenmangels immer öfter an Kapazitäten, um mit der Professionalisierung der Angreifer Schritt halten zu können. Erschwerend hinzu kommt, dass der nicht aufeinander abgestimmte Einsatz von Sicherheitslösungen auf Unternehmensseite die Effizienz der Gefahrenerkennung und -abwehr zusätzlich ausbremst. Angreifer, die zunehmend auf Automatisierung setzen, sind Sicherheitsteams auf Unternehmensseite meist weit voraus.

SOC rückt in den Fokus

Deshalb ist der Aufbau eines modernen Security-Operations-Centers für Unternehmen jeder Größenordnung eigentlich unerlässlich. Denn nur so lässt sich dem Zeitvorteil, den Angreifer in der Regel haben, nachhaltig entgegenwirken. Ein SOC ist auf die konsequente Überwachung und Analyse ausgelegt. Es bietet dabei zentralisierte und konsolidierte Fähigkeiten zur Prävention, Erkennung und Reaktion auf Cybersicherheitsvorfälle. Die Anforderungen sind hierbei in den letzten Jahren weiter gestiegen: Heute muss ein SOC mehr denn je Netzwerk, Endpoints, Anwendungen und Anwenderaktivitäten ganzheitlich im Blick behalten und proaktiv abnormales Verhalten erkennen, Indikatoren für einen potenziellen Sicherheitsvorfall untersuchen und sofort auf Bedrohungen reagieren – egal wie ausgefeilt diese daherkommen. Hierfür ist ein Einsatz rund um die Uhr essenziell.

 

Bild: WatchGuard

Abbildung 1: Komponenten eines modernen SOC.

Was zunächst aufwendig klingt, ist dank heutiger technischer Möglichkeiten kein Problem mehr. Vor allem Managed-Detection-and-Response-(MDR)-Services versprechen entscheidende Unterstützung. Hierbei werden über eine cloudbasierte Infrastruktur Funktionen zum Threat-Hunting und einer proaktiven Erkennung, Untersuchung und Abwehr eventueller Gefahren zur Verfügung gestellt. Mittlerweile gibt es Dienstleister mit schlüsselfertigen Lösungen, die auf einem vordefinierten Technologiebaukasten aufsetzen, um relevante Protokolle, Systemaktivitäten, Daten und kontextbezogene Informationen zu sammeln. Diese werden innerhalb der Plattform des Anbieters unter Zuhilfenahme moderner Techniken analysiert, einschließlich KI und ML. Danach verfeinern Spezialisten meistens die Ergebnisse während der aktiven Reaktion und Eindämmung der Bedrohung weiter.

Intern, SaaS oder als Kombination?

Umsetzungsstrategien im Rahmen eines SOC-Ansatzes werden immer vielfältiger. Natürlich kann sich jedes Unternehmen ein SOC selbst aufbauen, allerdings kommen die bereits angesprochenen begrenzten Ressourcen wieder ins Spiel. Gerade kleineren Firmen fehlen schlicht und ergreifend die Mittel. Alternativ können sie auf ein SOC aus der Cloud ausweichen und ein externes Unternehmen mit der Durchführung hoch qualifizierter Überwachungs-, Erkennungs- und Abwehraufgaben beauftragen. Aber auch Mischformen zwischen Eigen- und Dienstleistung sind in der Praxis keine Besonderheit mehr, zumal ein hybrides Modell das Beste aus beiden Welten bietet: Die Kombination aus internen Mitarbeitern, die durch Experten von Drittanbietern ergänzt werden, kann das Fundament für eine verlässliche Erkennung und Reaktion sein.

Bild: WatchGuard

Abbildung 2: Ein SOC wird vor dem Hintergrund der Bedrohungslage auch für mittelständische Unternehmen zum essenziellen Baustein der Sicherheitsstrategie.

Aufgrund der vielen Möglichkeiten, ein SOC aufzubauen, sollten Unternehmen, die Fehler vermeiden wollen, folgenden Aspekten besonders viel Aufmerksamkeit schenken – unabhängig davon, welchen der genannten SOC-Ansätze sie konkret verfolgen:

  • Cloud-Strukturen: Die Cloud ist effizienter als jede andere Option, wenn es um die schnelle Bereitstellung von Sicherheitsfunktionen und Updates für Remote-Mitarbeiter sowie die zentrale Verwaltung von Compliance, Security-Vorgaben und neuen Architekturen wie Zero Trust geht. Zudem ermöglichen Cloud-Strukturen den IT-Verantwortlichen die Administration und Einsicht von jedem Ort der Welt aus.
  • Automatisierung: SOC-Analysten haben nicht die Zeit, manuell auf jeden Alarm und jedes Anzeichen eines Angriffs zu reagieren. Automatisierung ist notwendig, um Prozesse zu rationalisieren, Bedrohungen zu priorisieren und das Risiko manueller Fehler zu eliminieren. Einer der Mythen über die Automatisierung ist, dass sie eingesetzt wird, um Analysten zu ersetzen. In Wahrheit ist genau das Gegenteil der Fall. Automatisierung trägt dazu bei, dass diese noch effizienter agieren und sich auf hochriskante Vorfälle konzentrieren können.
  • Maschinelles Lernen und künstliche Intelligenz: Angreifer nutzen ML und KI, um ihre Angriffe gezielt und in großem Umfang durchzuführen. Wenn SOCs keine vergleichbaren Tools verwenden, geraten sie über kurz oder lang ins Hintertreffen. Der Einsatz von ML und KI für die Korrelation und Analyse unterstützt eine Skalierbarkeit, Tiefe und Konsistenz, die menschliche Analysten nicht erreichen können, und erhöht somit nachhaltig die Gesamteffizienz des Sicherheitsteams.
  • EDR-, NDR- und XDR-Lösungen: Gerade im Hinblick auf den Schutz von remote agierenden Mitarbeitern ist der Austausch der spezifischen Informationen und Bedrohungsdaten unerlässlich. Daher sollten Lösungen für Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und/oder Extended Detection and Response (XDR) zum Einsatz kommen. Damit haben SOC-Teams Zugriff auf weitreichende Informationen zu laufenden Bedrohungskampagnen aus der ganzen Welt in Echtzeit. Ein weiteres Schlüsselelement ist eine integrierte, durchgängige Plattform, die einen Überblick über die gesamte Umgebung bietet. Das ist nicht nur wichtig, um Bedrohungen zu überwachen und zu erkennen, sondern trägt zudem maßgeblich dazu bei, die Reaktionszeit zu verkürzen und mögliche Schäden zu begrenzen.

Fazit

Von einem Security-Operations-Center profitiert jedes Unternehmen, da es dazu beiträgt, Gefahren besser und schneller zu erkennen und entsprechend abzuwehren. Das Risiko von Kosten und Imageschäden bei erfolgreichen Angriffen lässt sich damit spürbar minimieren. Daher sollten sich nicht nur große Konzerne gezielt mit diesem Thema auseinandersetzen. Zumal die Hürden des Aufbaus dank moderner Technologie und Service-Angebote für mittelständische Unternehmen immer kleiner werden.

Michael Haas

Michael Haas ist Regional Vice President Central Europe bei WatchGuard Technologies.

Andere interessante Fachbeiträge

Mausklickende Hand mit Zeichung von Gehirn darüber

Effizienteres ISMS durch KI (1)

Informationssicherheits-Managementsysteme (ISMS) sind zentral für den Schutz sensibler Daten und gewinnen durch EU-Vorschriften wie den AI Act und NIS-2 an Bedeutung.

Managed Services

Mit Managed Services gegen den Fachkräftemangel

Durch die Auslagerung von IT-Aufgaben an externe Dienstleister können Unternehmen Kosten sparen, die Effizienz steigern und die Sicherheit erhöhen. Managed Services versprechen Ska...

Kubernetes

Kubernetes sicher betreiben

Kubernetes ist eine Open-Source-Plattform zur Automatisierung der Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen. Neben den vielen Vorteilen wie Ressou...