Was ist ein Security Operations Center (SOC)?

 

 

Digitale Sicherheit ist für Unternehmen heute lebenswichtig – kann aber gleichzeitig von vielen Firmen nicht einmal ansatzweise in Eigenregie gewährleistet werden. An diesem Punkt kommt ein Security Operations Center – kurz SOC – ins Spiel. Ein Vollspektrum-Dienstleister für digitale Sicherheit.

 

Warum werden SOC heute von Firmen benötigt?

Die Digitalisierung ist mittlerweile weit fortgeschritten. Sie umfasst nicht nur sehr viele Lebensbereiche, sondern hat in vielen Unternehmen ein Niveau erreicht, auf dem sie für die meisten Prozesse absolut existenziell wichtig ist. Denken wir etwa an die Buchhaltung, die Steuerung von Maschinen oder die strategische Planung.

 

Dadurch gibt es in vielen Firmen…

 

  1. sehr viele verschiedene Vektoren, über die Cyberkriminelle angreifen, eindringen und einwirken können;
  2. ein extrem großes Schadpotenzial, das bis hin zum völligen Ruin des Hauses reichen kann.

 

Die Schwierigkeit besteht hauptsächlich darin, dass ein Unternehmen, das aus eigener Hand eine enorme Sicherheit gewährleisten möchte, praktisch ausschließlich mit sehr fähigen IT-Sicherheitsspezialisten besetzt sein müsste – auf jeder Position, selbst wenn sie primär nichts mit IT-Security zu tun hat.

 

Denn wo nicht zuletzt das Aufkommen leistungsfähiger künstlicher Intelligenz (KI) noch mehr kriminelle Möglichkeiten eröffnet hat, kann jeder zum (unfreiwilligen) Einfallstor und Helfer werden, der mit der unternehmerischen IT arbeitet – in gar nicht so seltenen Extremfällen also jeder Mitarbeiter.

 

Naturgemäß ist das für die meisten Unternehmen kaum zu stemmen. Bei vielen Betrieben verhindert entweder der grassierende Fachkräftemangel und/oder ein Mangel an entsprechenden Mitteln sogar schon die Einstellung von Personal, das sich hauptberuflich der IT widmet – geschweige denn Spezialisten, die nichts anderes tun, als die IT-Sicherheit zu gewährleisten.

 

Zuletzt kommt noch der Zeitfaktor hinzu: Cybersicherheit ist ohne jegliche Übertreibung ein Fulltimejob. Sie muss an 24 Stunden des Tages und allen 365 Tagen eines Jahres auf gleichermaßen hohem Niveau gewährleistet werden.

 

Dadurch haben sehr viele Firmen aus mehreren Gründen einen starken Bedarf an ständig verfügbarer (und arbeitender), hochkompetenter IT-Sicherheit durch externe Profis. Just diese liefert ein Security Operations Center.

 

Was genau macht ein SOC?

Ein SOC ist ein Dienstleister, der eine sehr breite Spanne von Sicherheitsleistungen erbringt. Einfach gesprochen kann man es sich wie einen privaten Bodyguard- oder Wachdienst vorstellen – bloß auf den digitalen Bereich fokussiert.

 

Das bedeutet in der Praxis:

 

  1. Das SOC analysiert die IT, die digitalen Prozesse und nicht zuletzt die Fähigkeiten der Mitarbeiter und mögliche Ziele von Cyberkriminellen in einem Unternehmen.
  2. Basierend auf diesen Analysen werden Schwachstellen, Angriffsszenarien und Verbesserungsvorschläge konzipiert.
  3. Gleichzeitig werden anhand der unternehmerischen Realitäten und Notwendigkeiten Notfallpläne für den Fall der Fälle erstellt und vorbereitet.
  4. Nachdem alle Vorschläge implementiert wurden, übernimmt das SOC typischerweise eine Überwachung und nimmt außerdem ständige Neubewertungen und Verbesserungen vor.
  5. Sollte es einen Angriff geben, so leitet das SOC Gegenmaßnahmen ein, sichert nichtbetroffene Bereiche und dokumentiert, sofern möglich, alle relevanten Daten. Einerseits werden dadurch Recovery-Maßnahmen erleichtert (die ebenfalls vom SOC durchgeführt werden). Andererseits können auf diese Weise den Strafverfolgungsbehörden wertvolle Informationen geliefert werden.  Unter anderem wird damit die Digitalforensik massiv erleichtert.

 

Allerdings sei unterstrichen, dass es sich bei diesen Punkten nur um eine sehr grobe Erläuterung der SOC-Aufgabenbereiche und -Vorgehensweisen handelt. Zudem ist ein SOC zwar häufig ein externer Dienstleister. In großen, finanziell potenten Unternehmen kann es aber ebenso eine eigene Abteilung mit praktisch deckungsgleichen Aufgabenbereichen sein.

 

Überdies gibt es noch eine ähnlich gelagerte, aber etwas anders arbeitende organisierte Form von Sicherheits-Center; konkret Managed Detection and Response, kurz MDR. In beiden Fällen handelt es sich um Dienstleister für Überwachung und Abwehr von Cyber-Bedrohungen. Doch wo das SOC typischerweise beobachtend und reagierend aufgestellt ist, agiert ein MDR eher proaktiv, indem es ständig aktiv nach Bedrohungen sucht, um diese im Keim zu ersticken.

 

Erst in Kombination von SOC und MDR entsteht ein vollumfassender Schutz, der sowohl aktiv-präventiv arbeitet als auch passiv-reagierend – anders lässt sich schlichtweg vielen zeitgenössischen Bedrohungen nicht begegnen. Dementsprechend offerieren viele SOC-Dienstleister oftmals beide Leistungen in einem Gesamtpaket.

 

Was bringt ein SOC einem Unternehmen?

Diese Frage lässt sich mit wenigen Punkten beantworten:

 

  1. Dauerhafte Überwachung und Prävention
  2. Ständige Aktualität und professionelles Vorgehen
  3. Erkennen und Ausschalten von Schwachstellen
  4. Reduzierung des eigenen Personalbedarfs
  5. Verschlankung von sicherheitskritischen Prozessen wie Updates

 

Zusammen ergibt das eine maßgeblich professionellere, ungleich größere digitale Sicherheit als sie insbesondere die meisten KMU auf eigene Faust realisieren könnten.

 

Anders gesprochen: Der Einsatz eines externen Security Operations Center gibt einem Unternehmen beliebiger Größe ein Sicherheitsniveau, das sich andernfalls nur Firmen mit sehr großen Budgets leisten können.

 

Benötigt mein Unternehmen ein SOC?

Sofern eine Firma nicht wenigstens im Dreischichtbetrieb 24/7 Personal nur für die IT-Sicherheit einsetzen kann, lautet die Antwort „Ja, absolut“. In der heutigen Zeit kann jedes Unternehmen ungeachtet seiner Größe und seiner Ausrichtung zum Ziel von Cyberkriminellen werden.

 

Solange es im Haus

 

  • ein Geschäftskonto gibt,
  • Datenbanken mit Kundendaten sowie
  • Ideen, Praktiken und/oder Prozesse, die gegenüber der Konkurrenz ein Alleinstellungsmerkmal generieren,

 

ist bereits ein Interesse für viele digitale Kriminelle vorhanden.

 

Dabei kommt es, das sei deutlich unterstrichen, ebenfalls nicht auf den Digitalisierungsgrad der Firma an. Selbst wenn, um ein Beispiel zu bemühen, lediglich die Buchhaltung computerisiert arbeitet, weil die Steuerangelegenheiten nur noch über das Internet abgewickelt werden können, dann gibt es bereits ein Einfallstor. Hierzu sei insbesondere auf die Lagebilder des Bundeskriminalamts verwiesen. Sie beweisen all das anhand von Zahlen in aller Deutlichkeit.

 

Gerade für KMU ist ein SOC heutzutage die oft einzige Möglichkeit, eine zeitgenössische Sicherheit zu einem überschaubaren Kostenrahmen zu erhalten. Warum es immer noch Firmen gibt, die es nicht tun, hat einen simplen Grund: In Deutschland ist es um digitale Fähigkeiten, die über Grundfertigkeiten hinausgehen, nicht sonderlich gut bestellt.

 

Nach wie vor herrscht deshalb in vielen Führungsbüros die Ansicht vor, man sei aus irgendeinem Grund zu unbedeutend oder anderweitig uninteressant für Kriminelle – ein schwerer Fehler, den schon viele Firmen buchstäblich „teuer bezahlen“ mussten.

 

Fazit

Ein Security Operations Center ist entweder eine interne Abteilung oder (häufiger) ein externer Dienstleister, der sich nur mit dem Themenkomplex Cybercrime und Cybersecurity befasst. Als solcher ist das SOC ein Spezialist, um Unternehmen vor digitalen Angriffen zu bewahren, Schäden auf ein Minimum zu reduzieren und einen raschen Wiederaufbau zu gewährleisten.

 

Da Cyberkriminalität heute extrem vielfältig, fähig und ausnehmend dreist geworden ist, haben SOC nicht nur eine sehr umfassende Daseinsberechtigung zum Schutz unterschiedlicher Unternehmen, sondern ebenso Hochkonjunktur.

 

Quelle: stock.adobe.com @Seventyfour DATEI NR.: 579137477

 

 

Artikel teilen