Security Operations Center: Was ist das?

© Robert Lichtenberg

Das Security Operations Center ist die Zentrale der IT-Sicherheit in einem Unternehmen oder einer Organisation. Sie ist im Idealfall 24/7 besetzt und dient dem reibungslosen Ablauf aller Systeme und der Früherkennung von Cyber-Bedrohungen. Zur Gestaltung und Steuerung eines Security Operations Center gibt es verschiedene Ansätze.

Was ist ein Security Operations Center?

Ein Security Operations Center (häufig SOC abgekürzt) ist eine Einheit innerhalb eines Unternehmens oder ausgelagert an einen Dienstleister, die rund um die Uhr für die Unversehrtheit der IT verantwortlich ist. Monitoring (Überwachung), Assessment (Bewertung) und Defense (Abwehr) gehören zu den Kernbereichen jedes SOC. Die Sicherung der IT-Netzwerke geschieht dabei auf drei Ebenen: 

• Support durch SOC-Team
• Hardware-Schutz 
• Software-Schutz

Sinn und Zweck ist eine lückenlose Überwachung mit sofortiger Handlungskompetenz – und zwar 24 Stunden täglich, an 365 Tagen im Jahr. Die Mitarbeiter eines Security Operations Center setzen sich häufig aus Fachpersonal zusammen: Fachinformatiker, IT-Sicherheitsanalysten, IT-Sicherheitsingenieuren und IT-Forensiker. 

Aufbau eines Security Operations Center

Wie sich ein SOC im Einzelnen zusammensetzt, hängt sehr stark von mehreren, individuellen Faktoren ab: den Sicherheitsbedürfnissen, dem Risikoprofil, der Größe der IT-Infrastruktur und letztlich dem verfügbaren Budget. Grundsätzlich sollten alle relevanten Teilbereiche der Informationstechnik, die administriert und geschützt werden müssen, hier zusammenlaufen. Man kann es sich vorstellen wie das Gehirn als Schaltzentrum unseres zentralen Nervensystems. 

Ein individueller Aufbau betrifft aber nicht nur die integrierten Teilbereiche, sondern auch das notwendige Personal und die technische Ausstattung. Diese Bereiche rund um die IT-Sicherheit werden üblicherweise in ein SOC eingegliedert:

• Server/Rechenzentrum des IT-Netzwerks
• Internetversorgung
• Speicherung der Log-Daten

Aufgaben eines Security Operations Center

Wie bereits erwähnt, können die Aufgaben des SOC in drei große Kernbereiche und einige weitere Nebentasks aufgespalten werden: 

Monitoring (proaktiv)

• Überwachung und Sicherheitsmanagement der laufenden Prozesse (Anti-Malware, Firewall, Server, Router Logs) mithilfe spezieller Tools
• Fortlaufende Analyse möglicher Bedrohungen
• Fortlaufende Konfiguration der verwendeten Technik (Firewall, Schnittstellen zu Cloud-Computing etc.)

Assessment

• Regelmäßige Sicherheitsbewertungen (Assessements)
• Identifizierung, Untersuchung und Dokumentation von Auffälligkeiten oder unerwarteten Ereignissen (Warnmeldungen)
• Penetrationstests (Simulation von Angriffen)

Defense (reaktiv)

• Meldung und Patching auftretender Schwachstellen im Anwendungsbereich
• Alarmierung bei Sicherheitsverletzungen durch Malware oder Cyber-Attacken (z. B. DDoS)
• Echtzeit-Eindämmung des Sicherheitsproblems
• Sofortige Beseitigung von Schadprogrammen bzw. Gegenmaßnahmen bei akuten Angriffen
• Nachträgliche Analyse des Schadens und der Reaktion
• Optimierungszyklus

Weitere Aufgaben

• Berichtwesen über vergangene und voraussichtliche Sicherheitsrisiken
• Kommunikation mit anderen verantwortlichen Stellen
• Entwicklung von und Integration in Business Continuity-Maßnahmen

Warum wird ein SOC immer wichtiger?

„Cyber-Risiken sind zu einem permanenten und wesentlichen Unternehmensrisiko geworden,” so kommentiert Katrin Rohmann, Deloitte Government & Public Services Leader die Sicherheitslage im jüngsten Security Report des Wirtschaftsprüfungsunternehmens. Die Bedrohungslage für die IT-Sicherheit in Deutschland hat sich in den vergangenen Jahren deutlich zugespitzt. Gleichzeitig steigt die Abhängigkeit von IT-basierten Umgebungen für zentrale Prozesse. 

Cyber-Angriffe und Reaktionen

Laut Umfrageergebnissen des Deloitte Security Reports 2019 berichten 28 % der Unternehmen, täglich von IT-Angriffen betroffen zu sein. Mehr als die Hälfte wird mehrmals im Monat attackiert. Noch klarer wird das Bild einer wachsenden Bedrohung, wenn man große Unternehmen ab 1.000 Mitarbeiter betrachtet: Jedes 4. meldet in dieser Kategorie tägliche Cyber-Attacken. Nur 1 % der Befragten stellte bisher keine Angriffe auf die IT-Sicherheit fest. Der Umkehrschluss, dass es in diesen Unternehmen bislang zu keinen Attacken kam, ist jedoch falsch. Fehlt das nötige System, um alle Angriffsversuche – auch gescheiterte – zu erkennen, können keine definitiven Aussagen getroffen werden. In diesem Fall werden nur erfolgreiche Attacken registriert, die außerdem einen sichtbaren Schaden verursacht haben. Malware, die im Hintergrund agiert und Daten „zapft”, kann ohne (ausreichende) Sicherheits-Tools lange unentdeckt agieren.

Weitere Studienergebnisse von Deloitte verraten, welche Kernaufgaben eines SOC bereits umgesetzt werden:

• 95 % überwachen laufend ihre Netzwerke
• 87 % überprüfen die Zugriffsberechtigungen der Mitarbeiter regelmäßig
• 77 % führen regelmäßige Schwachstellenanalysen ihrer Netzwerke und Anwendungen durch
• 72 % identifizieren die wichtigsten IT-Assets, die von Cyber-Attacken betroffen sein könnten
• 11 % simulieren Cyber-Attacken, um bestehende Sicherheitsstrategien zu optimieren

Ob diese Aufgaben innerhalb eines SOC eingegliedert wurden, verrät die Studie jedoch nicht. 

Entwicklung eines internen Security Operations Center

Es gibt nicht den einen richtigen Weg, ein SOC aufzubauen. Wichtig ist in erster Linie, dass sich alle Überlegungen am Bedarf und den Möglichkeiten des Unternehmens ausrichten. Weiterhin müssen genau diese beiden Variablen in Balance sein. Wenn die grundlegenden Ressourcen auf Personal- oder Technikebene fehlen, muss dort zunächst nachgerüstet werden. Die Option eines externen SOC sollte ebenfalls diskutiert werden.

Erste strategische Entscheidungen

Entscheiden Sie sich für die Entwicklung eines eigenen SOC, helfen Ihnen folgende Leitfragen:

1. Wie ausgereift ist die IT-Sicherheit bereits? Wo gibt es Schwächen?

2. Welche zusätzliche Sicherheit soll durch das SOC entstehen und wie?

3. Welche Ressourcen sind für den Betrieb des SOC notwendig und verfügbar?

4. Welche Aufgaben soll das SOC zum Startpunkt abdecken? 

5. Welche weiteren Tasks soll das SOC nach einem Jahr ausführen?

Personal im SOC

Vollzeitbeschäftigung im SOC ist die ideale Besetzung, aber auch die teuerste. Weiterhin ist eine Rund-um-die-Uhr-Besetzung zu Beginn meistens nicht möglich. Eine Alternative ist eine Notruf-Besetzung im Bereitschaftsmodus. Eine weitere Möglichkeit ist eine Hybrid-Lösung: Zu den üblichen Arbeitszeiten übernimmt das in-house SOC alle Aufgaben, während ein externer Dienstleister die Randzeiten, Nachtschichten, Feiertage und Wochenenden abdeckt. So kann eine 24/7-Lösung bereits von Beginn an etabliert werden. Eine eigene Rundum-Lösung kann so nach und nach eingerichtet werden – falls nötig.

Outsourcing: Vorteile eines externen SOC

Für Unternehmen kann die schnellere und dauerhaft günstigere Lösung ein Security Operations Center vom IT-Dienstleister sein. Gleichzeitig kann das Outsourcing eine Anfangslösung sein, bis das eigene SOC die Aufgaben in der Zukunft teilweise oder komplett übernehmen kann. Diese Vorteile sprechen für ein ausgelagertes SOC:

• Schnelle Einrichtung und Umsetzung
• Professionelle Fachkräfte
• Erfahrung und Know-how
• Flexible Optionen in Bezug auf Services, Personalbedarf und IT-Sicherheitslösungen
• Rund-um-die-Uhr Besetzung
• Keine Personal- oder Raumengpässe
• Transparente Kosten für Budgetplanung

Eine externe Lösung setzt Vertrauen und ein klares Service Level Agreement voraus. So müssen sich Kunden zum Beispiel darauf verlassen können, dass Warnungen zeitnah geprüft und – wenn notwendig – Meldung an das betroffene Unternehmen gemacht werden. Diese Response-Zeit sollte unter anderem definiert und für SOC-Kunden nachprüfbar sein. 

Ein erster Schritt sollte daher immer sein, die Anforderungen und das Budget zu definieren, um möglichst passgenaue Angebote einzuholen.

Hybride und Sharing-Lösungen

Wie eine Fallstudie von EDUCAUSE veranschaulicht, verwenden mehrere Bildungseinrichtungen in den USA bereits hybride Lösungen für ihr Security Operations Center. Gleichzeitig setzen Universitäten mit einem starken Standbein im Bereich der IT auf Unterstützung von Studierenden. Diese Ressource können sich auch Unternehmen in Universitätsstädten zunutze machen, um einerseits Kosten einzusparen und andererseits eine Besetzung im Schichtsystem zu ermöglichen. 

Eine weitere Herangehensweise, die in der Case Study vorgestellt wird, ist ein geteiltes SOC. Um ein Security Operations Center möglichst effizient bezüglich Wissens, Personals und Kosten zu gestalten, teilen sich fünf Bildungseinrichtungen ein zentrales SOC.

Quellen:

• Security Operations Center (SOC) Case Study, EDUCAUSE, Juni 2019
• Cyber Security Report 2019 - Teil 1: Fake News und Schlüsseltechnologien – wachsende Herausforderungen, Deloitte, September 2019
• Cyber Security Report 2019 - Teil 2: Die Gefährdung steigt – hält die Sicherheit Schritt?, Deloitte, November 2019