Das kann ein Security Operations Center

Häufig bemerken die Geschädigten Angriffe auf ihre Unternehmensinfrastruktur erst, wenn es bereits zu spät ist: Die Angreifer befinden sich bereits im System, konnten wertvolle Daten stehlen oder schädliche Malware installieren. Bisher versuchten IT-Experten, die Einfallstore im Vorfeld bestmöglich abzusichern. Ein Security Operations Center (SOC) konzentriert sich hingegen darauf, bereits erfolgte Angriffe so schnell wie möglich zu erkennen – und größeren Schaden abzuwenden. Denn je länger sich ein potenzieller Angreifer im Firmennetzwerk befindet, desto besser kann er seine Spuren verwischen und weitere Angriffe starten.
 

Warum brauchen Unternehmen ein Security Operations Center?

Egal wie groß das Unternehmen oder die Behörde ist, stehen sie vor der Herausforderung, auf professioneller werdende Angreifer zu reagieren. Sogenannte „Advanced Persistent Threats“ (ATP) bilden nicht mehr die Ausnahme, sondern immer mehr die Regel: also individuell ausgearbeitete Attacken, die über mehrere Kanäle und einen langen Zeitraum stattfinden. Ein SOC hat die Aufgabe, auf diese komplexen Bedrohungen zu reagieren. Um dem gerecht zu werden, benötigt man nicht nur bestimmte Technik und Tools, sondern auch viel Expertenwissen. Die Mitarbeiter müssen immer up to date bleiben und Maßnahmen stetig weiterentwickeln. Für die meisten Mittelständler bedeutet das: hohe Ausgaben für einen Bereich, der nicht zum Kerngeschäft gehört.

Im Security Operations Center arbeiten die Experten 24/7. Denn Angreifer kommen auch um zwei Uhr in der Nacht.

Was ist die Aufgabe eines SOC?

Es soll Bedrohungen frühzeitig erkennen und darauf reagieren. Damit unterscheidet es sich vom Ansatz, Cyberattacken von vorneherein und gänzlich abzuwehren. Die Mitarbeiter eines Security Operations Center betreiben eigenständig Monitoring und Analyse, d.h. sie sammeln vielfältige Informationen im Unternehmensnetzwerk, korrelieren und werten diese Datenmengen aus, um

1. Vorfälle und Angriffe zu erkennen,
2. darauf zu reagieren und
3. Angreifer wieder auszusperren sowie nach Möglichkeit zu identifizieren.

Wie arbeitet ein SOC?

Es kann im Unternehmen selbst aufgebaut, teilausgelagert oder komplett ausgelagert sein. Die Arbeitsbereiche gliedern sich unter anderem in Monitoring, Analyse, und in ein Informations-und Ereignis-Management (SIEM), das Logdaten sammelt und auswertet. Alles läuft an einer zentralen Stelle zusammen. Die Fachkräfte arbeiten im Schichtbetrieb: Permanent werten sie die Daten, Security-Prozesse und aktuelle Warnungen aus. Die Entscheidung, ob und wie Maßnahmen zur Abwehr eingeleitet werden, treffen immer die Experten vor Ort.

Wer braucht ein Security Operations Center?

Heute sind prinzipiell alle Unternehmen und Behörden von möglichen Hackerangriffen bedroht. Gerade bei Attacken auf Einrichtungen des Bundes steht weit mehr als nur der mögliche wirtschaftliche Schaden auf dem Spiel. Deshalb ist ein SOC auch grundsätzlich für jedes Unternehmen und jede Behörde interessant. Nicht jede Organisation kann sich allerdings den Eigenbetrieb eines solchen Centers leisten: Technik und erfahrenes, speziell ausgebildetes, Fachpersonal erfordern ein hohes Budget, das gerade kleine und mittlere Unternehmen häufig nicht aufbringen können. Für diese bietet es sich an, das Security Operations Center als „Managed Service“ bei einem Dienstleister einzukaufen. In dem Fall ist das SOC verantwortlich für die Sicherheit mehrerer Unternehmen oder Behörden. Je nach Angebot kann der Dienstleister es komplett betreiben oder vereinzelte Aufgaben des Kunden übernehmen.