Security Operation Center (SOC) – Maßgeschneiderte Cybersecurity-Lösungen für den Mittelstand
Stetig steigende Gefahrenlage durch Cyberattacken
Die stetige Weiterentwicklung der Digitalisierung und der zunehmenden Vernetzung sämtlicher Geschäftsprozesse innerhalb und außerhalb des Unternehmens ergeben sich viele Chancen und Effizienzpotenziale. Die zunehmende Vernetzung und die veränderten Arbeitsweisen der Mitarbeiter eröffnen jedoch auch neue Einfallstore für externe, aber auch interne Angreifer, die es auf die Daten des Unternehmens abgesehen haben oder andere Ansätze der Cyberkriminalität verfolgen.
Den Statistiken zu Folge wurden bereits über ein Viertel aller Mittelständler bereits Opfer eines Cyberangriffs. Typische Folgen dieser Angriffe sind u.a.
- Unterbrechung der Lieferkette durch Störung der IT-Systeme oder Netzwerke
- Produktionstops durch Ausfall von IT-Systemen
- Lösegeldzahlungen durch Verschlüsselung oder (Ransomware)
- Diebstahl von Unternehmensdaten
- Imageschäden und Datenschutz-Verstöße
Insbesondere die enorme Vielzahl and Neuentwicklungen und leichte Verfügbarkeit von Tools und Software zur Durchführung von Angriffen macht es Unternehmen schwer, sich gegen jede Art von Angriffen zu wappnen und die Unternehmenswerte zu schützen.
Herausforderungen für den Mittelstand
Die große Mehrzahl der mittelständigen Unternehmen ist sich dabei der Gefahren durch Cyberangriffe durchaus bewusst. Allerdings fällt es ihnen schwer, aufgrund von Know how-Defiziten und Restriktionen bei personellen Ressourcen sowie begrenzten Budgets für das Thema Informationssicherheit angemessen gegen die Gefahren abzusichern.
Die meisten kleinen Unternehmen und Mittelständler sind daher im Hinblick auf die Absicherung gegen Cyberkriminalität nicht optimal aufgestellt und haben kein Gesamtkonzept. Bei vielen sind sogar grundlegende Absicherungen nicht durchgängig implementiert, veraltet oder weisen aufgrund des Fehlens eines ganzheitlichen Konzepts Lücken auf und sind entsprechend leicht angreifbar.
Auch wenn sich Unternehmen dieser Lage bewusst sind, wird das Risiko, Opfer eines Cyberangriffs zu werden oftmals in Kauf genommen, sei es aus Scheu vor den erforderlichen Investitionen für Informationssicherheit oder frei nach dem Motto „bei uns ja noch nie was passiert“ oder „bei uns gibt es doch eh nichts zu holen“.
Sofern die Notwendigkeit zum Handeln erkannt wurde, stellt sich jedoch schnell die Frage nach dem geeigneten Gesamtkonzept sowie den erforderlichen Kosten zum Erreichen eine optimalen Schutzniveaus.
Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) – bietet hier einen Lösungsansatz, der durch den SOC-Dienstleister flexibel an die Anforderungen jedes Unternehmens angepasst werden kann, und nicht zwangsläufig den Aufbau von zusätzlichem internen Personal für Informationssicherheit notwendig macht.
Allerdings ist es erforderlich, dass sich jedes Unternehmen im Vorfeld darüber klar wird, welche Themen und Bereich der Informationssicherheit im Unternehmen verbleiben sollen, was die konkreten Anforderungen an den externen SOC-Dienstleister sind und welches Servicemodell die Bedürfnisse des Unternehmens am besten abdeckt.
SOC – Was kann ein Security Operation Center leisten?
Ein SOC ist vordergründig eine Zentrale für alle sicherheitsrelevanten Services im IT-Umfeld von Unternehmen oder anderen Organisationen und schützt die IT-Infrastruktur und Daten vor externen, aber auch vor interne Gefahren, z.B. durch Mitarbeiter. Das SOC fungiert somit als Leitstelle für die Steuerung aller Aktivitäten zur Gewährleistung der Informationssicherheit.
Hierfür werden im SOC alle sicherheitsrelevanten Systeme wie z.B. Server, physische und virtuelle Netzwerkinfrastrukturen, Arbeitsplatzrechner und Internetdienste weitgehend automatisiert überwacht und die zugrundliegenden Aktivitäten analysiert und auf Auffälligkeiten geprüft.
Sofern bei diesen kontinuierlichen automatisierten Prüfungen und Analysen sicherheitsrelevante Auffälligkeiten identifiziert werden, werden diese – sofern nicht automatisch beseitigt – umgehend manuell geprüft, und bei bestätigten Cyber-Angriffen und Sicherheitsvorfällen geeignete Gegenmaßnahmen eingeleitet.
Durch die detaillierte Dokumentation ist es jederzeit möglich, Vorfälle genau nachzuvollziehen, außerdem gewährleistet dies die jederzeitige Auskunftsfähigkeit und Nachweisfähigkeit im Hinblick auf die Einhaltung von Datenschutz und regulatorischen Anforderungen (Compliance).
Welche Aufgaben kann ein SOC übernehmen?
Je nach Anforderungslage kann ein SOC unterschiedliche Aufgaben übernehmen. Typische Aufgabenbereiche sind dabei:
- Zentrale Sammlung relevanter Logdaten (Zugriffe, Datenübertragung, Datenveränderungen, Nutzeraktivitäten, Anwendungsüberwachung, etc.)
- Automatisierte real time Analyse und Korrelation der Überwachungsdaten
- Manuelle Analyse und Verifikation von Auffälligkeiten
- Alarmierung bei konkreten Verdachtsfällen und Attacken
- Abwehrmaßnahmen und Schadensbegrenzung bei Cyberattacken
- Laufende Integration aktueller Bedrohungsdaten (Threat Intelligence)
- Kontinuierliche Optimierung der Absicherung der IT-Umgebung
- Security-Assessments und Penetration-Tests
- Unterstützung bei forensischen Analysen im Schadenfällen
- Unterstützung bei Sicherheits-spezifischen Fragen und Compliance
- Detailliertes Reporting über Dashboard und KPIs
Dier Umfang der an den Dienstleister ausgelagerten Aufgabenbereiche ist dabei abhängig vom konkreten Betreibermodell bzw. dem Split der Aufgaben zwischen Unternehmen und SOC-Dienstleister.
Was sind die konkreten Vorteile für Unternehmen?
Für die Umsetzung eines SOC können je nach konkreter Anforderungslage verschiedene Service- Modelle der Zusammenarbeit definiert werden. Grundsätzlich besteht dabei die Möglichkeit ein SOC vollständig innerhalb eines Unternehmensverbunds zu betreiben, allerdings ist dieses Modell aus Kostengründen vorzugweise für größere, verteilte Unternehmen sinnvoll.
Für mittelständige und kleine Unternehmen bietet sich eher die vollständige Übergabe der Security-Dienstleistung oder die teilweise Auslagerung (hybrides Betriebsmodell, SOC as a Service) an einen externen SOC-Dienstleister an. Die Vorteile der Nutzung eines SOC liegen dabei klar auf der Hand:
Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
Schutz gegen die aktuelle Bedrohungslage durch Threat Intelligence
Kontinuierliche Dokumentation und Nachvollziehbarkeit
Kein Aufbau von internem Personal erforderlich
Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance
Fazit
Die Auslagerung von notwendigen Überwachungsmaßnahmen und Aktivitäten für die Informationssicherheit an ein externes Security Operation Center bringt die Informationssicherheit von mittelständigen Unternehmen auf ein hohes Niveau – und das bei überschaubaren Kosten und geringem Ressourceneinsatz. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Voraussetzung dafür sind jedoch eine saubere und objektive Statusaufnahme zur Informationssicherheit im Unternehmen sowie die Definition des Zielzustands mit den daraus abgeleiteten Sicherheitsanforderungen an die Unternehmens-IT.