Was ist ein Security Operations Center (SOC)?

Cyberangriffe richten in Unternehmen immer größeren Schaden an. 2018 waren Milliarden Menschen von Datenschutzverletzungen und Cyberangriffen betroffen und das Vertrauen der Verbraucher in die Fähigkeit der Unternehmen nahm ab, ihre Privatsphäre und personenbezogenen Daten zu schützen. Fast 70 Prozent der Verbraucher sind der Ansicht, Unternehmen seien anfällig für Hacker- und Cyberangriffe und sagen zudem, dass die Wahrscheinlichkeit geringer ist, dass sie Geschäftsbeziehungen mit Unternehmen aufnehmen oder fortsetzen, bei denen es bereits zu Datenschutzverletzungen gekommen ist.

Einfach ausgedrückt bietet ein SOC die Gewissheit, dass Bedrohungen in Echtzeit erkannt und abgewendet werden. Im Großen und Ganzen können SOCs:

• Schneller reagieren: Das SOC bietet einen zentralen, vollständigen Echtzeit-Überblick über den Sicherheitsstatus der gesamten Infrastruktur, selbst bei mehreren Standorten und Tausenden von Endpunkten. Probleme können erkannt, verhindert und gelöst werden, bevor sie allzu großen Schaden für das Unternehmen anrichten.
• Das Vertrauen von Verbrauchern und Kunden stärken: Die Verbraucher stehen den meisten Unternehmen bereits skeptisch gegenüber und sorgen sich um den Schutz Ihrer Daten. Durch die Einrichtung eines Security Operation Center (SOC) zum Schutz von Verbraucher- und Kundendaten kann Ihr Unternehmen Vertrauen gewinnen. Wenn es dann gelingt, Datenschutzverletzungen zu verhindern, wird dieses Vertrauen aufrechterhalten und gestärkt.
• Kosten minimieren: Bei vielen Unternehmen herrscht die Ansicht vor, die Einrichtung eines SOC sei unerschwinglich. Dabei kann eine Sicherheitsverletzung – mit Datenverlusten, beschädigten Daten und Kundenabwanderung – am Ende viel teurer für ein Unternehmen werden. Darüber hinaus sorgt das SOC-Team dafür, dass in Ihrem Unternehmen die richtigen Tools eingesetzt und deren Potenzial voll ausgeschöpft werden. Geldverschwendung für unwirksame Security-Tools gehört damit der Vergangenheit an.

Diese Vorteile sind von unschätzbarem Wert, denn sie halten Ihr Unternehmen buchstäblich am Laufen. Aber ist ein SOC wirklich unbedingt erforderlich? Wenn Ihr Unternehmen behördlichen oder branchenspezifischen Vorschriften unterliegt, eine Sicherheitsverletzung hinnehmen musste oder sensible Daten wie Kundeninformationen speichert, lautet die Antwort eindeutig „ja“.

Wie funktioniert ein SOC?

Das Security Operation Center übernimmt eine Führungsrolle bei der Incident Response in Echtzeit, fördert laufende Sicherheitsverbesserungen und schützt das Unternehmen vor Cyberbedrohungen. Durch den Einsatz einer komplexen Kombination von geeigneten Tools und Mitarbeitern für das Monitoring und die Verwaltung des gesamten Netzwerks kann ein gut funktionierendes SOC folgende Aufgaben übernehmen:

• Proaktive Rund-um-die-Uhr-Überwachung von Netzwerken, Hardware und Software zur Erkennung von Bedrohungen und Sicherheitsverletzungen sowie Incident Response
• Bereitstellen von Expertenwissen zu allen in Ihrem Unternehmen eingesetzten Tools, einschließlich Tools von Drittanbietern, damit Sicherheitsprobleme rasch behoben werden können
• Installation, Aktualisierung und Troubleshooting von Software
• Monitoring und Verwaltung von Firewall- und Intrusion-Prevention-Systemen
• Scannen und Problembehebung bei Antivirus-, Malware- und Ransomware-Lösungen
• Verwaltung des E-Mail-, Voice- und Video-Traffics
• Patch-Verwaltung und Whitelist-Erstellung
• Tiefgehende Analysen von Security-Log-Daten aus unterschiedlichen Quellen
• Analyse, Untersuchung und Dokumentation von Security-Trends
• Untersuchung von Sicherheitsverstößen zur Ermittlung der Kernursache von Angriffen und Verhinderung von zukünftigen Verstößen
• Durchsetzen von Sicherheitsrichtlinien und -verfahren
• Sicherung, Speicherung und Wiederherstellung

Welche Funktion hat ein SOC?

Das SOC nutzt eine Reihe von Tools, die Daten aus dem gesamten Netzwerk und von verschiedenen Geräten erfassen, auf Anomalien überwachen und die Mitarbeiter bei potenziellen Bedrohungen warnen. Der Aufgabenbereich des SOC geht jedoch über das bloße Reagieren auf akut auftretende Probleme hinaus.

Was macht ein SOC wenn es gerade keine Bedrohungen aufspürt?

Das SOC hat die Aufgabe, Schwachstellen innerhalb und außerhalb der Organisation durch eine laufende Software- und Hardware-Schwachstellenanalyse sowie durch aktives Sammeln von Bedrohungsinformationen zu bekannten Risiken aufzudecken. Selbst wenn es gerade keine aktiven Bedrohungen gibt (was angesichts der Tatsache, dass es etwa alle 39 Sekunden zu einem Hackerangriff kommt, eher selten der Fall ist), sucht das SOC-Team proaktiv nach Möglichkeiten, den Sicherheitsstatus zu verbessern.

Die Schwachstellenbewertung des SOC umfasst auch den aktiven Versuch, ins eigene System einzudringen (Penetrationstest). Darüber hinaus ist die Sicherheitsanalyse eine Kernaufgabe des SOC-Teams. Dabei geht es um den optimalen Einsatz geeigneter Security-Tools im Unternehmen. Es wird ermittelt, was funktioniert und was nicht.

Wer arbeitet im SOC?

Im Security Operation Center sind hochqualifizierte Sicherheitsanalysten und -ingenieure sowie Führungskräfte beschäftigt, die für einen reibungslosen Ablauf sorgen. Dabei handelt es sich um Fachkräfte, die speziell für das Monitoring und Management von Sicherheitsbedrohungen ausgebildet wurden. Sie sind nicht nur geschult im Umgang mit einer Vielzahl von Security-Tools, sondern kennen auch die spezifischen Abläufe, die im Falle einer Verletzung der Infrastruktur zu befolgen sind.

Die meisten SOCs bevorzugen für die Abwicklung von Sicherheitsproblemen eine hierarchische Struktur, bei der Analysten und Ingenieure auf der Grundlage ihrer Qualifikation und Erfahrung eingestuft werden. Ein typisches SOC-Team könnte beispielsweise folgendermaßen strukturiert sein:

• Level 1: Gewissermaßen die erste Verteidigungslinie bei der Incident Response. Diese Security-Fachleute im SOC achten auf Warnmeldungen, legen für die einzelnen Warnmeldungen die Dringlichkeit fest und bestimmen, wann zu Level 2 eskaliert werden soll. Die Mitarbeiter von Level 1 können auch Sicherheitstools verwalten und regelmäßige Berichte ausführen.
• Level 2: Die Mitarbeiter auf diesem Level des SOC verfügen in der Regel über mehr Fachwissen, sodass sie einem Problem schnell auf den Grund gehen und beurteilen können, welcher Teil der Infrastruktur angegriffen wird. Sie folgen festgelegten Verfahren zur Problembehebung, beseitigen negative Auswirkungen und kennzeichnen Probleme, die einer weitergehenden Untersuchung bedürfen.
• Level 3: Bei den Mitarbeitern dieses Levels handelt es sich um hochqualifizierte Sicherheitsanalysten im SOC, die aktiv nach Schwachstellen innerhalb eines Netzwerks suchen. Sie nutzen Tools zur Erkennung komplexer Bedrohungen, um Schwächen zu diagnostizieren und Empfehlungen zur Verbesserung des allgemeinen Sicherheitsstandards im Unternehmen auszusprechen. In dieser Gruppe sind eventuell auch Spezialisten wie forensische Ermittler, Compliance-Auditoren und Cyber-Security-Analysten anzutreffen.
• Level 4: Dieses Level setzt sich aus hochrangigen Führungskräften mit langjähriger Erfahrung zusammen. Dieses Team überwacht sämtliche Aktivitäten des Security Operation Center und ist für die Einstellung und Schulung des Personals sowie für die Bewertung der individuellen und der Gesamt-Performance zuständig. Level 4 Mitarbeiter schreiten bei Krisen ein und fungieren insbesondere als Bindeglied zwischen dem SOC-Team und dem Rest des Unternehmens. Darüber hinaus sind sie verantwortlich für die Einhaltung von Unternehmens-, Branchen- und Regierungsrichtlinien und Vorschriften.

Was ist der Unterschied zwischen einem SOC und einem NOC?

Während das Security Operation Center (SOC) sich 365 Tage im Jahr rund um die Uhr auf das Monitoring und die Analyse des Sicherheitsstatus eines Unternehmens sowie auf die Erkennung etwaiger Bedrohungen konzentriert, sorgt ein Network Operations Center (NOC) vor allem dafür, dass die Performance und Geschwindigkeit des Netzwerks den Anforderungen entsprechen und Ausfallzeiten minimiert werden.

SOC-Ingenieure und -Analysten halten nach Cyberbedrohungen und Angriffsversuchen Ausschau, um reagieren zu können, bevor die Daten oder Systeme eines Unternehmens kompromittiert werden. NOC-Mitarbeiter hingegen suchen nach Problemen, die die Netzwerkgeschwindigkeit drosseln oder Ausfallzeiten verursachen könnten. Sowohl SOC- als auch NOC-Teams verfolgen das Ziel, mit proaktivem Echtzeit-Monitoring Probleme zu verhindern, bevor Kunden oder Mitarbeiter davon beeinträchtigt werden. Außerdem im SOC wie auch im NOC nach Möglichkeiten gesucht, kontinuierlich Verbesserungen vorzunehmen, damit ähnliche Probleme nicht wieder auftreten.

SOCs und NOCs sollten Hand in Hand arbeiten, um größere Incidents oder Krisensituationen in den Griff zu bekommen. In einigen Fällen sind die Funktionen eines Security Operation Center auch innerhalb des Network Operations Center angesiedelt. NOCs können durchaus einige Sicherheitsbedrohungen erkennen und darauf reagieren, insbesondere bezüglich der Netzwerk-Performance, wenn die Mitarbeiter entsprechend ausgebildet sind und nach diesen Bedrohungen suchen. Umgekehrt wäre ein typisches SOC nicht in der Lage, Probleme mit der Netzwerk-Performance zu erkennen und zu behandeln, ohne in unterschiedliche Tools und Qualifikationen zu investieren.

Best Practices zum Aufbau eines Security Operations Center

Zu den Best Practices für den Betrieb eines SOC gehören: die Entwicklung einer Strategie, die Schaffung unternehmensweiter Transparenz, die Investition in die richtigen Tools, die Einstellung und Schulung der richtigen Mitarbeiter, die Maximierung der Effizienz und die Gestaltung Ihres SOC entsprechend Ihrer spezifischen Anforderungen und Risiken.

Entwickelung einer SOC-Strategie

Ein SOC ist eine bedeutende Investition, denn von Ihrer Sicherheitsplanung hängt vieles ab. Stellen Sie sich beim Entwickeln einer entprechenden SOC-Strategie, die Ihre Sicherheitsanforderungen erfüllt, folgende Fragen:

• Was muss gesichert werden? Ein einzelnes lokales Netzwerk oder ein globales? Cloud oder Hybrid? Wie viele Endpunkte? Müssen Sie streng vertrauliche Daten oder Kundeninformationen schützen? Welche Daten sind am wertvollsten und daher mit besonders hoher Wahrscheinlichkeit das Ziel von Angriffen?
• Soll das SOC in Ihr NOC integriert werden oder sollen zwei getrennte Abteilungen entstehen? Zur Erinnerung: Die Funktionen unterscheiden sich erheblich und eine Integration beider Abteilungen erfordert andere Tools und Mitarbeiterqualifikationen.
• Muss Ihr SOC-Team 365 Tage im Jahr rund um die Uhr verfügbar sein? Das hat Auswirkungen auf Personalfragen, Kosten und Logistik.
• Sollen alle Aufgaben des Security Operation Center unternehmensintern ausgeführt werden oder möchten Sie einige oder alle Funktionen des SOC zu einem Drittanbieter auslagern? Eine sorgfältige Kosten-Nutzen-Analyse hilft bei der Abwägung.

Investieren Sie beim Aufbau eines SOC in geeignete Tools und Services

Konzentrieren Sie sich beim Aufbau Ihres SOC zunächst auf die Tools. Ohne geeignete automatisierte Tools, die das „Rauschen“ reduzieren und die wichtigsten Bedrohungen in den Vordergrund treten lassen, werden Sie in Ihrem Security Operation Center große Mühe haben, die Flut der Sicherheits-Events zu bewältigen. Insbesondere sollten Sie in folgende Tools investieren:

• SIEM (Security Information and Event Management): Dieses einzelne Sicherheitsmanagementsystem bietet einen vollständigen Überblick über die Aktivitäten innerhalb Ihres Netzwerks, indem es Maschinendaten aus einer Vielzahl von Quellen im Netzwerk sammelt, parst und kategorisiert und diese Daten anschließend analysiert, sodass Sie in Ihrem SOC in Echtzeit reagieren können.
• Systeme für die Endpunktsicherheit: Jedes Gerät, das eine Verbindung zu Ihrem Netzwerk herstellt, ist anfällig für Angriffe. Ein Tool für die Endpunktsicherheit schützt Ihr Netzwerk, wenn besagte Geräte darauf zugreifen.
• Firewall: Eine Firewall überwacht den eingehenden und ausgehenden Netzwerkverkehr und blockiert basierend auf von Ihnen erstellten Sicherheitsregeln automatisch Zugriffe.
• Automatisierte Anwendungssicherheit: Automatisiert den Testprozess sämtlicher Softwareanwendungen und liefert dem SOC-Team wertvolles Feedback zu Schwachstellen in Echtzeit.
• Asset-Erkennungssystem: Verfolgt die aktiven und inaktiven Tools, Geräte und Anwendungen, die in Ihrem Netzwerk verwendet werden, und ermöglicht das Bewerten von Risiken und das Beheben von Schwachstellen.
• Daten-Monitoring-Tool: Ermöglicht das Nachverfolgen und Auswerten von Daten, um deren Sicherheit und Integrität zu gewährleisten.
• GRC-System (Governance, Risk and Compliance): Unterstützt Sie bei der erforderlichen Einhaltung unterschiedlicher Regeln und Vorschriften.
• Schwachstellen-Scanner und Penetrationstests: Ermöglicht Ihrem SOC-Team die Suche nach Schwachstellen und das Erkennen verborgener Schwächen Ihres Netzwerks.
• Log-Management-System: Ermöglicht das Protokollieren der zahlreichen Meldungen aus allen Software- und Hardware-Elementen sowie Endgeräten, die in Ihrem Netzwerk ausgeführt werden.

Welche Fachkräfte braucht es für ein SOC?

Stellen Sie qualifizierte Fachkräfte ein und sorgen Sie für die kontinuierliche Weiterbildung Ihres SOC-Teams. Denn das ist ein zentraler Erfolgsbaustein für den Aufbaue eines exzellenten Security Operation Center. Der Markt für gute und erfahrene Sicherheitsfachkräfte ist hart umkämpft. Sobald es Ihnen gelungen ist, qualifizierte Mitarbeiter für Ihr SOC einzustellen, sollten Sie kontinuierlich in deren Fortbildung investieren. Damit sorgen Sie für mehr Sicherheit, eine höhere Motivation und stärken die Mitarbeiterbindung im SOC.

Ebenso muss sich Ihr SOC-Team in folgenden Bereichen auskennen: Anwendungs- und Netzwerksicherheit, Firewalls, Informationssicherung, Linux, UNIX, SIEM sowie Sicherheits-Engineering und -Architektur. Für die Sicherheitsanalysten der höchsten Hierarchieebene im Security Operation Center sind folgende Qualifikationen wünschenswert:

• Ethisches Hacking: Sie brauchen einen Mitarbeiter, der versucht, Ihr System zu hacken, um Schwachstellen aufzudecken.
• Cyber-Forensik: Analysten führen Untersuchungen durch und wenden bestimmte Analysetechniken an, um Beweismaterial zutage zu fördern und zu sichern. Sollte ein Fall vor Gericht gehen, muss der Sicherheitsanalyst in der Lage sein, eine dokumentierte Beweiskette vorzulegen, anhand derer sich nachvollziehen lässt, welche Ereignisse aus welchem Grund eingetreten sind.
• Reverse Engineering: Dies ist der Prozess, bei dem Software dekompiliert bzw. dekonstruiert oder neu aufgebaut wird, um zu verstehen, wie sie funktioniert und – was noch wichtiger ist – wo sie anfällig für Angriffe ist, damit das SOC-Team vorbeugende Maßnahmen ergreifen kann.
• Expertise bezüglich Intrusion-Prevention-Systemen: Das Monitoring des Netzwerkverkehrs bezüglich Bedrohungen wäre ohne geeignete SOC-Tools nicht möglich. Ihr SOC-Team muss sich also gut mit deren richtiger Anwendung auskennen.

Wie kann ein SIEM Ihr Security Operation Center verbessern?

Wie bereits erwähnt, sammelt und organisiert ein SIEM alle Daten aus unterschiedlichen Quellen innerhalb Ihres Netzwerks und bietet Ihrem SOC-Team wichtige Erkenntnisse, aufgrund derer sie interne und externe Angriffe rasch erkennen und abwehren können. Das Bedrohungsmanagement wird vereinfacht, Risiken minimiert und das SOC profitiert von unternehmensweiter Transparenz und Security Intelligence.

Ein SIEM spielt in Ihrem Security Operation Center eine wichtige Rolle bei der Übernahme von Aufgaben wie Monitoring, Incident Response, Log-Management, der Erstellung von Compliance-Berichten und der Durchsetzung von Richtlinien. Allein durch die Log-Management-Funktionen wird es zu einem absolut notwendigen Tool für jedes SOC. Ein SIEM kann riesige Batches von Sicherheitsdaten aus Tausenden von Quellen innerhalb weniger Sekunden parsen, um ungewöhnliches Verhalten oder schädliche Aktivitäten aufzuspüren und automatisch zu stoppen. Ein Großteil dieser Aktivitäten bleibt von Ihrem SOC-Team unentdeckt, wenn es ohne SIEM arbeitet.

Das SIEM unterstützt das Security Operation Center beim Zusammenführen der Logs und Erstellen von Regeln, die eine Automatisierung ermöglichen und Fehlalarme drastisch reduzieren können. Sicherheitsanalysten können sich so auf die echten Bedrohungen konzentrieren. Darüber hinaus bietet das SIEM zuverlässige Reporting-Funktionen, die sowohl bei forensischen Untersuchungen als auch für die Erfüllung von Compliance-Anforderungen hilfreich sind.

Ein hoher Sicherheitsstandard ist für jedes Unternehmen ein absolutes Muss. Unabhängig davon, ob Sie SIEM- und Sicherheitsfunktionen in Ihr NOC integrieren, die meisten oder alle Funktionen eines SOC an Drittanbieter auslagern oder ein internes Security Operation Center einrichten, letztlich ist es wichtig, die gibt es in Sicherheitsfragen anzugehen, die ein SOC beantworten soll.

Beginnen Sie am besten mit der Frage „Welche Sicherheitsanforderungen gibt es unserem Unternehmen?“ gefolgt von „Wie können wir diese Anforderungen am wirksamsten und effizientesten mit Hilfe eines SOC erfüllen?“