Über unsMediaKontaktImpressum
Stefan Peter & Randy Rix 18. Juli 2023

Cyber-Sicherheit auslagern und Ressourcen sparen: Managed SOC

Cyber-Angriffe in Sicht: Die meisten Unternehmen werden noch in diesem Jahr komplexe Hackeroffensiven erleben. Sogar neun von zehn Organisationen sollen laut des Digitalverbands Bitkom über kurz oder lang Datendiebstahl, Spionage oder Sabotage zum Opfer fallen [1]. Dabei ist allen Beteiligten längst bewusst: IT-Sicherheit ist kein Nine-to-five-Job. Konstant zur Wehr setzen sich manche mit dem Betrieb eines sogenannten Security Operations Centers (SOC). Dabei behalten IT-Spezialisten die Cyber-Sicherheit rund um die Uhr an sieben Tagen in der Woche im Blick. Für ein eigenbetriebenes SOC fehlen vielen Unternehmen aber die IT-Fachkräfte und die nötige Infrastruktur. Die Lösung: ein Managed SOC, in dem ein externes Informationssicherheitsteam die aktuelle Bedrohungslage beobachtet.

Cyber-Security fordert Unternehmen

Die Erkenntnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) geben Anlass zur Sorge: Seiner Einschätzung nach spitzt sich die Bedrohungslage kontinuierlich zu [2]. Die Wahrscheinlichkeit, dass Unternehmen einer Cyber-Attacke zum Opfer fallen, ist demnach so groß wie nie zuvor. Eine besondere Gefahr geht dabei von Ransomware-Attacken aus: Die Täter installieren unbemerkt Malware, verschlüsseln die Daten der Organisation und erpressen Lösegeld. Das sogenannte "Big Game Hunting" gewinnt in diesem Kontext rasant an Bedeutung: Die Täter attackieren vorrangig umsatzstarke Unternehmen. Mit Blick auf diese Entwicklung verwundert es nicht, dass knapp die Hälfte aller deutschen Mittelständler einen Hackerangriff als das derzeit bedrohlichste Szenario einordnet [3]. Trotz dieses immensen Drucks sind längst nicht alle Organisationen auf einen Angriff vorbereitet – oder haben Präventionsmaßnahmen installiert, die sie vor Cyber-Attacken schützen. Dabei sollten sie schnell und überlegt handeln. Denn die Folgen einer erfolgreichen Attacke reichen weit – und sind leider sehr teuer. Eine eingeschleuste Schadsoftware führt schnell zum Produktionsstillstand und damit zu Umsatzeinbußen – ganz zu schweigen von dem immateriellen Schaden, der durch einen Reputationsverlust droht.

Das Bewusstsein wächst

Das Mindset zum Thema Cyber-Security-Maßnahmen scheint sich allerdings in die richtige Richtung zu entwickeln. Eine KPMG-Studie macht Hoffnung: Demnach überprüfen inzwischen 41 Prozent der Unternehmen ihre IT-Systeme zum Beispiel regelmäßig mithilfe von Audits. 2022 waren es erst 36 Prozent. Die Zahl wächst also – wenn auch sehr langsam. Zudem geben fast alle Unternehmen an (neun von zehn), in 2023 oder 2024 in Cyber-Security-Maßnahmen investieren zu wollen [4]. Dabei reicht es längst nicht aus, einzelne Sicherheitsvorkehrungen zu treffen. Vielmehr müssen alle bewährten Maßnahmen – vom Vulnerability-Management bis hin zum Identity- und Access-Management – zielgerichtet konzipiert ineinandergreifen. Die einzelnen Bausteine des Cyber-Crime-Abwehrbollwerks so zusammenzustecken, dass Angriffe erfolglos ins Leere laufen, können in der Regel nur ausgebildete Fachkräfte. Organisiert in einem sogenannten Security Operations Center (SOC) verfolgen sie das Ziel, Sicherheitsvorfälle rechtzeitig zu erkennen und präventiv zu verhindern. Ein SOC übernimmt hier wichtige Funktionen, wie beispielsweise die Datenanalyse, die Entscheidung über IT-Sicherheitsmaßnahmen und die Dokumentation aller Cyber-Crime-Sachverhalte. Dass das Bewusstsein, in eine IT-Sicherheitsstrategie zu investieren, wächst, ist an sich eine gute Nachricht. Auf der anderen Seite stellt sich aber die Frage, welche Ressourcen die Verantwortlichen dafür nutzen wollen. Der Fachkräftemangel ist auch im IT-Sicherheitsbereich groß. 2022 beispielsweise hat der Branchenverband Bitkom 137.000 fehlende IT-Fachkräfte gezählt. Folglich fällt es vielen Unternehmen schwer, ein SOC personell zu besetzen.

IT-Sicherheit trotz Fachkräftemangels

Der Mangel an IT-Fachkräften darf mittelständische Unternehmen allerdings nicht aufhalten, wenn es um die Umsetzung zielgerichteter Cyber-Security-Strategien geht. Die Frage ist jedoch: Wie können sie dieser Problematik begegnen? Die ständige Überwachung der IT-Infrastruktur und die Installation eines SOC auf die lange Bank zu schieben, ist aufgrund der sich zuspitzenden Bedrohungslage keine Option. Doch welche praxisbewährten Alternativen gibt es? In den Fokus der Entscheider rückt hier mehr und mehr die strategische Auslagerung an externe Profis im Sinne eines Managed SOC oder auch eines SOC-as-a-Service. Das Ziel: Die SOC-Experten eines IT-Dienstleisters kümmern sich in einem fest definierten Rahmen um die Cyber-Sicherheit ihrer Kunden. Sie übernehmen dabei alle Tätigkeiten, die zu einem vollumfänglichen SOC gehören und leisten somit einen wesentlichen Beitrag für die IT-Security. Sie überwachen Cloud-Umgebungen genauso wie die Sicherheit sämtlicher Hardware-Komponenten, Protokolle oder das Netzwerk.

Lösungsansatz Managed SOC

Die Basis für ein Managed SOC ist letztendlich ein Retainer, den die Unternehmen mit ihrem IT-Dienstleister vereinbaren: Ähnlich einem Abonnement zahlen sie eine monatliche Pauschale und erhalten dafür ein extern aufgesetztes Managed SOC, das Bedrohungen 24/7 erkennt, abwehrt und jeden Vorfall sauber dokumentiert. Zu Beginn der Zusammenarbeit bewerten die externen Experten erst einmal die aktuelle Sicherheitsinfrastruktur und analysieren sie mit Blick auf mögliche Schwachstellen und Angriffspunkte. In Abstimmung mit dem Kunden führen sie praxisbewährte Sicherheitslösungen ein, die genau dem Anforderungsprofil des jeweiligen Unternehmens entsprechen. Sie wählen dabei in der Regel Tools aus, die sich auch in der Zusammenarbeit mit anderen Kunden bewähren – und verkürzen so gleichzeitig die Lernkurve. Die stetige Überwachung lässt keine Bedrohung unbemerkt: Sollte es zu einem Vorfall kommen, untersucht das externe SOC-Cluster den Sachverhalt, reagiert entsprechend und schafft es im besten Fall, den Angriff proaktiv abzuwehren. Die ausgebildeten Teams setzen auf modernste Konzepte, unter anderem auf SIEM – das Security Information and Event Management. Damit sind sie in der Lage, Sicherheitsvorfälle frühzeitig zu erkennen und passgenaue Reaktionsmöglichkeiten zu entwickeln. Mit SIEM gelingt tagtäglich der Gesamtüberblick über alle Aktivitäten im Netzwerk einer Organisation. Zudem ist das Speichern von Protokolldaten hilfreich bei forensischen Untersuchungen und der Identifizierung von Sicherheitslücken.

Der Weg zum Managed SOC

Ein Managed SOC zu etablieren basiert wie jedes größere Projekt auf einem zielgerichteten Maßnahmenplan. Im ersten Schritt gilt es, klar zu definieren: Wer trägt welche Verantwortung? Welche Rollen braucht es und welche Anforderungen stellt die Organisation an sie? Kurzum: Zunächst müssen Ziele und Zuständigkeiten genau definiert sein – auch für die Kommunikationsprozesse zwischen dem Managed-SOC-Team und dem Unternehmen ebenso wie intern. Parallel kann bereits das Asset-Management beginnen. Hier geht es insbesondere um die saubere Auflistung von Daten, Systemen sowie deren Zustand (CI) in einer zentralen Datenbank (CMDB) und damit auch die Zuweisung des jeweiligen Asset Owners. Auch die Dokumentation des Betriebs von aktuellen Applikationen und Prozessen ist essenziell. Es braucht darüber hinaus eine Anforderungsliste für den Betrieb – unterstützt von der Sicherheitsrichtlinie oder ISMS der eigenen Organisation. Im nächsten Schritt gilt es, den Datenzugriff und die Integration zu meistern: Das Unternehmen muss sicherstellen, dass der SOC-Dienstleister Zugriff auf relevante Sicherheitsdatenquellen hat. Dazu zählen auch Netzwerkprotokolle, Log-Dateien und Ereignisdaten aus anderen Systemen. Hier muss vor allem anderen das Vollständigkeitsprinzip gelten, denn: Die Integration aller relevanten Datenquellen in die Managed-SOC-Konstellation entscheidet über den Erfolg und die Qualität der Überwachung und Erkennung von Sicherheitsvorfällen. Schlussendlich vereinbaren die Verantwortlichen mit ihrem IT-Dienstleister Service-Level-Agreements (SLAs). Diese regeln im Detail, welche Leistungen konkret in welchen Reaktionszeiten erbracht werden. Dabei legen sie auch Eskalationsprozesse fest und formulieren Vorgaben für die Berichterstattung und Dokumentation.

Worauf müssen Unternehmen bei der Wahl des Managed SOC achten?

Bei der Auswahl des externen Managed-SOC-Teams müssen Unternehmen wichtige Parameter beachten. Die Auswahlkriterien sind sowohl fachlicher als auch organisatorischer Natur. Auf der Kompetenzseite gilt es beispielsweise zu prüfen, ob die richtigen ISO-Zertifizierungen vorliegen. Da dies die meisten vorweisen können, sollten die verantwortlichen Entscheider besser gleich tiefer "graben" und sich die konkreten fachlichen Fähigkeiten vor Augen führen. Kompromisse hinsichtlich der Sachkenntnis sind hier fehl am Platze: Immerhin basiert ein Managed SOC auf dem Gedanken einer vertrauensvollen Zusammenarbeit. Dabei gilt es natürlich auch, sich auf die Fähigkeiten der externen Spezialisten verlassen zu können. Nicht minder relevant ist ein Einblick in die Arbeitsweise des Managed-SOC-Teams und die Einschätzung, wie die dort gelebten Prozesse zu den Arbeitsabläufen der eigenen Organisation passen. Um die Sicherheitsanforderungen des Unternehmens fortlaufend zu erfüllen, braucht es zudem kontinuierliche Weiterbildungen mit Blick auf sich ebenfalls stetig weiterentwickelnde Bedrohungslagen. Darüber hinaus sollten Unternehmen auf diese Aspekte achten:

  • Service-Level-Agreements (SLAs): Passen sie zu den Bedürfnissen der eigenen Organisation?
  • Sind die Services des Managed SOC skalierbar? Kann es sich an das Wachstum oder neue Anforderungen des eigenen Unternehmens anpassen?
  • Sind die Datensicherheit und der Datenschutz zu jedem Zeitpunkt gewährleistet und ihre Vertraulichkeit und Integrität sichergestellt?

Die Auswahl und die Einarbeitung eines Managed SOC ist ein zeitaufwändiger Prozess. Es lohnt sich daher sehr, alle relevanten Parameter genauestens zu prüfen, bevor sich ein Unternehmen strategisch auf einen Partner festlegt.

Managed SOC – Vorurteile entkräften

Wir erleben in zahlreichen Kundenprojekten rund um Managed SOC in den meisten Organisationen ein ähnliches Bild: Auf der einen Seite gibt es die Fortschrittlichen, die sich der massiven Bedrohungslage bewusst sind, den IT-Fachkräftemangel realistisch einschätzen und für die Implementierung eines Managed SOC kämpfen. Auf der anderen Seite gibt es die Skeptiker, die ein Managed SOC gleichsetzen mit Kontrollverlust, Datenschutzproblemen und höheren Kosten. Zum Glück für die jeweilige Organisation setzen sich die Fortschrittlichen in der Regel durch – mit guten Argumenten. Anstatt eines Kontrollverlusts erwartet die Unternehmen nämlich eine strukturierte und hilfreiche Verteilung der Kontrollmechanismen. Denn das Managed-SOC-Team kann seinen Job nur machen, wenn es in enger Verbindung zur internen IT-Abteilung steht. Die Verantwortung zu teilen ist auf vielen Ebenen ein echter Gewinn. So machen sich die Organisationen zum Beispiel unabhängiger, wenn eigene Mitarbeiter das Unternehmen verlassen. Auch im Bereich Datenschutz spricht mehr für ein Managed SOC als dagegen. Das externe Team hat lediglich Einblick in Meta- und Protokolldaten – und auf keinen Fall Zugriff auf geschäftskritische oder sonstige sensible Informationen. Darüber hinaus sind die Managed-SOC-Berater in der Regel im Bereich Datensicherheit und Datenschutz bestens geschult. Von diesem Wissen können Organisationen profitieren. Noch einfacher lässt sich das Vorurteil hinsichtlich der steigenden Kosten entkräften. Ein Managed-SOC-Team wird immer günstiger sein als ein erfolgreicher Cyber-Angriff! Auch im Vergleich zu einem intern aufgebauten SOC ist die Auslagerung kostengünstiger, da beispielsweise regelmäßige Schulungen eigener Mitarbeiter oder die Vorhaltung einer unternehmenseigenen IT-Security-Infrastruktur hohe Kosten verursachen.

Benefits im Überblick

Neben der Kosten- und Ressourcenersparnis überzeugt ein Managed SOC in vielen weiteren Bereichen. Organisationen profitieren schnell von der Rund-um-die-Uhr-Überwachung durch das externe Team. 24 Stunden, sieben Tage in der Woche sind die angeheuerten Spezialisten im Einsatz. Da auch Cyber-Kriminelle nie zu schlafen scheinen und gern zu Unzeiten angreifen, ist das ein wesentlicher Vorteil. Auch die Flexibilität und Skalierbarkeit eines Managed SOC ist eine große Stärke dieses Modells: Ändern sich die Anforderungen und Bedürfnisse der eigenen Organisation, kann sie von den fachlichen und personellen Ressourcen ihres Partners profitieren. Ein besonderer Vorteil liegt in dem stets aktuellen Fachwissen und den modernsten Technologien eines Managed-SOC-Anbieters: Es liegt in der Natur der Sache, dass er mit vielen Organisationen zusammenarbeitet. Folglich profitiert er von einem sich stetig erweiternden Erfahrungsschatz, den ein Unternehmen intern nur schwer in adäquater Form aufbauen könnte. Dabei entlastet ein Managed-SOC-Team spürbar die internen Mitarbeiter. Das ist in Zeiten des Fachkräftemangels ein gern gesehener Mehrwert, da sich die eigene Belegschaft so auf das Tagesgeschäft fokussieren kann. Auch Compliance-Anforderungen ist ein Managed SOC gewachsen: Die ordnungsgemäße Dokumentation sämtlicher Protokolle und Sicherheitsmaßnahmen sind eine Selbstverständlichkeit. Mit der kontinuierlichen Überwachung, der dokumentierten Reaktion auf Sicherheitsvorfälle und einem aussagekräftigen Reporting erfüllt ein Managed SOC lückenlos die Compliance-Anforderungen.

Managed SOC als günstige Alternative

Die aktuelle Cyber-Bedrohungslage lässt Mittelständlern im Grunde keine Wahl: Entweder sie investieren selbst massiv in eigene IT-Sicherheitsvorkehrungen oder sie kaufen das dafür notwendige Wissen und die Ressourcen ein. Da sie für den Aufbau eines eigenen SOC aufgrund des stetig zunehmenden Fachkräftemangels kaum Personal finden können, ist ein SOC-as-a-Service die einzige Alternative. Managed SOC überzeugt dabei auch mit Blick auf die Kosten: Das Einbinden eines externen, skalierbaren, stets aktuell geschulten Teams ist nachweislich günstiger als die Installation und Aufrechterhaltung eigener Ressourcen oder gar im Worst Case: ein nicht rechtzeitig abgewehrter Cyber-Angriff.

Autoren

Stefan Peter

Als Head of Cyber Security kümmert sich Stefan Peter um das Produktportfolio von q.beyond im Bereich IT-Sicherheit.
>> Weiterlesen

Randy Rix

Randy Rix arbeitet im Team Cyber Security Services bei der q.beyond AG. Er kann auf 20 Jahre IT Erfahrung zurückblicken.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben