Das Security Operations Center ist die Zentrale der IT-Sicherheit in einem Unternehmen oder einer Organisation. Sie ist im Idealfall 24/7 besetzt und dient dem reibungslosen Ablauf aller Systeme und der Früherkennung von Cyber-Bedrohungen. Zur Gestaltung und Steuerung gibt es verschiedene Ansätze.
Ein Security Operations Center (häufig SOC abgekürzt) ist eine Einheit innerhalb eines Unternehmens oder ausgelagert an einen Dienstleister, die rund um die Uhr für die Unversehrtheit der IT verantwortlich ist. Monitoring (Überwachung), Assessment (Bewertung) und Defense (Abwehr) gehören zu den Kernbereichen jedes SOC. Die Sicherung der IT-Netzwerke geschieht dabei auf drei Ebenen:
Sinn und Zweck ist eine lückenlose Überwachung mit sofortiger Handlungskompetenz – und zwar 24 Stunden täglich, an 365 Tagen im Jahr. Die Mitarbeiter setzen sich häufig aus Fachpersonal zusammen: Fachinformatiker, IT-Sicherheitsanalysten, IT-Sicherheitsingenieuren und IT-Forensiker.
Wie sich ein SOC im Einzelnen zusammensetzt, hängt sehr stark von mehreren, individuellen Faktoren ab: den Sicherheitsbedürfnissen, dem Risikoprofil, der Größe der IT-Infrastruktur und letztlich dem verfügbaren Budget. Grundsätzlich sollten alle relevanten Teilbereiche der Informationstechnik, die administriert und geschützt werden müssen, hier zusammenlaufen. Man kann es sich vorstellen wie das Gehirn als Schaltzentrum unseres zentralen Nervensystems.
Ein individueller Aufbau betrifft aber nicht nur die integrierten Teilbereiche, sondern auch das notwendige Personal und die technische Ausstattung. Diese Bereiche rund um die IT-Sicherheit werden üblicherweise in ein SOC eingegliedert:
Wie bereits erwähnt, können die Aufgaben des SOC in drei große Kernbereiche und einige weitere Nebentasks aufgespalten werden:
„Cyber-Risiken sind zu einem permanenten und wesentlichen Unternehmensrisiko geworden,” so kommentiert Katrin Rohmann, Deloitte Government & Public Services Leader die Sicherheitslage im jüngsten Security Report des Wirtschaftsprüfungsunternehmens. Die Bedrohungslage für die IT-Sicherheit in Deutschland hat sich in den vergangenen Jahren deutlich zugespitzt. Gleichzeitig steigt die Abhängigkeit von IT-basierten Umgebungen für zentrale Prozesse.
Laut Umfrageergebnissen des Deloitte Security Reports 2020 berichten 28 % der Unternehmen, täglich von IT-Angriffen betroffen zu sein. Mehr als die Hälfte wird mehrmals im Monat attackiert. Noch klarer wird das Bild einer wachsenden Bedrohung, wenn man große Unternehmen ab 1.000 Mitarbeiter betrachtet: Jedes 4. meldet in dieser Kategorie tägliche Cyber-Attacken. Nur 1 % der Befragten stellte bisher keine Angriffe auf die IT-Sicherheit fest. Der Umkehrschluss, dass es in diesen Unternehmen bislang zu keinen Attacken kam, ist jedoch falsch. Fehlt das nötige System, um alle Angriffsversuche – auch gescheiterte – zu erkennen, können keine definitiven Aussagen getroffen werden. In diesem Fall werden nur erfolgreiche Attacken registriert, die außerdem einen sichtbaren Schaden verursacht haben. Malware, die im Hintergrund agiert und Daten „zapft”, kann ohne (ausreichende) Sicherheits-Tools lange unentdeckt agieren.
Weitere Studienergebnisse von Deloitte verraten, welche Kernaufgaben eines SOC bereits umgesetzt werden:
Ob diese Aufgaben innerhalb eines SOC eingegliedert wurden, verrät die Studie jedoch nicht.
Es gibt nicht den einen richtigen Weg, ein SOC aufzubauen. Wichtig ist in erster Linie, dass sich alle Überlegungen am Bedarf und den Möglichkeiten des Unternehmens ausrichten. Weiterhin müssen genau diese beiden Variablen in Balance sein. Wenn die grundlegenden Ressourcen auf Personal- oder Technikebene fehlen, muss dort zunächst nachgerüstet werden. Die Option eines externen SOC sollte ebenfalls diskutiert werden.
Vollzeitbeschäftigung im SOC ist die ideale Besetzung, aber auch die teuerste. Weiterhin ist eine Rund-um-die-Uhr-Besetzung zu Beginn meistens nicht möglich. Eine Alternative ist eine Notruf-Besetzung im Bereitschaftsmodus. Eine weitere Möglichkeit ist eine Hybrid-Lösung: Zu den üblichen Arbeitszeiten übernimmt das in-house SOC alle Aufgaben, während ein externer Dienstleister die Randzeiten, Nachtschichten, Feiertage und Wochenenden abdeckt. So kann eine 24/7-Lösung bereits von Beginn an etabliert werden. Eine eigene Rundum-Lösung kann so nach und nach eingerichtet werden – falls nötig.
Für Unternehmen kann die schnellere und dauerhaft günstigere Lösung ein Security Operations Center vom IT-Dienstleister sein. Gleichzeitig kann das Outsourcing eine Anfangslösung sein, bis das eigene SOC die Aufgaben in der Zukunft teilweise oder komplett übernehmen kann. Diese Vorteile sprechen für ein ausgelagertes SOC:
Eine externe Lösung setzt Vertrauen und ein klares Service Level Agreement voraus. So müssen sich Kunden zum Beispiel darauf verlassen können, dass Warnungen zeitnah geprüft und – wenn notwendig – Meldung an das betroffene Unternehmen gemacht werden. Diese Response-Zeit sollte unter anderem definiert und für SOC-Kunden nachprüfbar sein.
Ein erster Schritt sollte daher immer sein, die Anforderungen und das Budget zu definieren, um möglichst passgenaue Angebote einzuholen.
Wie eine Fallstudie von EDUCAUSE veranschaulicht, verwenden mehrere Bildungseinrichtungen in den USA bereits hybride Lösungen für IT-Sicherheitszentren an. Gleichzeitig setzen Universitäten mit einem starken Standbein im Bereich der IT auf Unterstützung von Studierenden. Diese Ressource können sich auch Unternehmen in Universitätsstädten zunutze machen, um einerseits Kosten einzusparen und andererseits eine Besetzung im Schichtsystem zu ermöglichen.
Eine weitere Herangehensweise, die in der Case Study vorgestellt wird, ist ein geteiltes SOC. Um ein SOC möglichst effizient bezüglich Wissens, Personals und Kosten zu gestalten, teilen sich fünf Bildungseinrichtungen eine zentrale Einrichtung.
