Security Operation Center: Aufbau, Funktionen & Vorteile

Es handelt sich bei dem Security Operation Center, kurz SOC, um einen zentralen Ort der IT Sicherheit, an dem eine Überwachung, Analyse, Bewertung, Abwehr und Behebung von Cyber-Bedrohungen erfolgt. Das Team der Mitarbeiter besteht aus unterschiedlichen Analysten, Ingenieuren und Informatikern, die eine Überwachung aller Aktivitäten auf Webseiten, Netzwerken, Datenbanken, Servern und auch beispielsweise Endgeräten durchführen und dies prinzipiell an 365 Tagen im Jahr und 24 Stunden am Tag. Das Ziel ist entsprechend mögliche Sicherheitsbedrohungen frühzeitig aufzuspüren und somit beispielsweise Hackerangriffe zu verhindern.

Wie ist ein SOC aufgebaut?

Die Zusammensetzung der Zentrale ist von unterschiedlichen Faktoren abhängig, wie der Größe, den Sicherheitsbedürfnissen oder auch dem Budget eines Unternehmens. Die Bereiche sind jedoch meist aufgeteilt in: Überwachung, Bewertung und Abwehr.

Überwachung (Monitoring)

In diesem Bereich werden unterschiedliche Programme oder auch Server umfangreich überwacht. Dies betrifft vor allem die Prozesse von Firewalls sowie Router Logs. Dafür werden spezielle Programme eingesetzt, die es auch ermöglichen eine anschließende Analyse zu stellen, sollte es Bedrohungen geben. Die Überwachung beinhaltet aber auch die Konfiguration von Software und Hardware. Vor allem bei der Nutzung von Cloud-Anbietern ist ein Höchstmaß an Sicherheit wichtig.

Bewertung (Assessment)

Weiterhin werden in regelmäßigen Abständen Sicherheitsbewertungen durchgeführt. Beim Auftreten von Auffälligkeiten oder Warnmeldungen sowie bei möglichen Veränderungen von Programmen, findet eine Untersuchung und anschließende Dokumentation der Vorfälle statt. Auch wenn es an diesem Punkt noch nicht zu einem Cyber-Angriff gekommen ist, kann durch die Bewertung besser erkannt werden, ob es Lücken im Sicherheitsbereich gibt. In vielen Fällen sind es Programme von Drittanbietern, die nicht ausreichend gesichert sind. Vor der Integration von Programmen ist es somit auch wichtig, diese vollumfänglich zu testen.

Abwehr (Defense)

In einem letzten Schritt werden natürlich mögliche Angriffe abgewehrt und Schäden behoben. Vor allem Schwachstellen müssen neu konfiguriert werden. In diesem Bereich werden auch mögliche Programme, die Sicherheitslücken besitzen oder von Viren befallen sind, gelöscht. Im Anschluss erfolgt eine neue Analyse, um die Systeme entsprechend sicherer zu machen und somit einen erneuten Angriff zu verhindern.

Wieso wird ein SOC in der heutigen Zeit immer wichtiger?

Eine Vielzahl an Vorgängen in einem Unternehmen laufen heutzutage überwiegend über Computer und häufig online ab. Aus diesem Grund ist auch das Risiko von Cyber-Angriffen gestiegen. Mittlerweile stellen nicht mehr nur Anhänge in E-Mails Risiken dar, da sie Computer eventuell mit einem Virus oder Trojaner befallen können. In der heutigen Zeit können ganze Systeme von außen angegriffen werden und dies häufig auch aufgrund von Sicherheitslücken in Programmen. Um somit für vollste Sicherheit in einem Unternehmen zu sorgen, ist eine ständige Überwachung der Systeme und somit Software aber auch Hardware notwendig.

Mehr Infografiken finden Sie bei Statista

Viele Unternehmen sind sogar von täglichen Angriffen betroffen. Davon bleiben auch kleinere Firmen nicht verschont. Häufig zeigt sich außerdem das Problem, dass Angriffe schlicht nicht erkannt werden. Unabhängig davon, ob ein Schaden angerichtet wird oder nicht, ist es somit wichtig bereits Versuche abzuwehren und für stärkere Barrieren zu sorgen. Ein SOC erkennt alle Angriffsversuche, registriert diese und erstellt daraufhin Analysen. Dies ist wichtig, da es eine Vielzahl an Malware gibt, die Systeme oder ganze Computer im Hintergrund angreifen, ohne dass dies zunächst bemerkt wird. Oft tritt auch kein direkter Schaden auf. Es werden lediglich private Informationen, wie beispielsweise Passwörter oder Bankdetails, ausgespäht.

Die Vorteile eines Security Operation Center

Wie bereits erwähnt werden dadurch Sicherheitslücken und Vorfälle jeder Art kontinuierlich überwacht und mögliche Angriffe erkannt. Anschließend werden Analysen und Reports gestellt, die dabei helfen, die Sicherheit zu erhöhen. Das Team an Spezialisten arbeitet zudem rund um die Uhr, sodass zumindest die Wahrscheinlichkeit für einen erfolgreichen Angriff stark reduziert wird. Häufig zeigt sich nämlich das Problem, dass Hacker einen Angriff außerhalb der gewöhnlichen Arbeitszeiten starten, an denen Programme meist nicht überwacht werden. Durch die 24-stündige Überwachung am Tag wird jeder Überfall bemerkt.

Internes vs. Externes vs. Hybrides SOC – Vorteile

Es besteht die Möglichkeit, dass das Sicherheitsbetriebssystem intern, extern oder aus einer Mischung aus beidem betrieben wird. Was jeweils besser für ein Unternehmen ist, hängt beispielsweise davon ab, wo eventuelle Schwächen liegen, welche Ressourcen es gibt und somit auch, ob ein Unternehmen über Experten verfügt, die die IT Sicherheit intern sicherstellen können.

Internes Sicherheitssystem

Mit einem Inhouse SOC liegen die Vorteile klar auf der Hand: Es kann eine konstante Überwachung der Sicherheit gewährleistet werden. Dadurch ist das Risiko von Cyber-Angriffen stark reduziert. Der Datenschutz ist zudem viel transparenter im Vergleich zu einem externen Sicherheitssystem . Weiterhin ist es nicht notwendig Daten extern zu übertragen, da alles intern vorgenommen werden kann, wodurch auch Angriffe bei der Übertragung verhindert werden. Das Problem hierbei ist jedoch, dass es nicht jedem Unternehmen möglich ist, zu Beginn für eine 24-stündige Überwachung am Tag zu sorgen. Häufig fehlt es ihnen an ausreichend Personal und teilweise, vor allem bei kleinen Unternehmen, auch an ausreichend Ressourcen. Auch die Planung eines internen Sicherheitssystems nimmt viel Zeit in Anspruch und ist meistens zu Beginn nicht umsetzbar.

Externes Sicherheitssystem

Für viele Firmen stellt somit das Outsourcing eine bessere Möglichkeit dar. Durch die Auslagerung der Sicherheitsfunktionen ist es ebenfalls möglich Angriffe frühzeitig zu erkennen und die Systeme zu überwachen. Dabei wird ein Unternehmen beauftragt, das entsprechend extern die Überwachung durchführt. Das ausgebildete Personal nimmt das Montoring für gewöhnlich während der üblichen Bürozeiten oder auch nachts vor. Der Vorteil für Unternehmen ist, dass nicht selbst nach einem kompetenten Personal gesucht werden muss, was im Vergleich auch günstiger sein kann. Meistens stehen einem auch flexible Optionen zur Verfügung, die auf die jeweiligen Bedürfnisse zugeschnitten sind. Ein Nachteil beim Outsourcing ist jedoch, dass Daten entsprechend übertragen werden müssen, da keine Kontrolle intern erfolgen kann. Diese Übertragung stellt ebenfalls ein Sicherheitsrisiko dar. Zudem können teilweise nicht alle Warnungen gelöscht werden, wenn die Experten nur von außen zugreifen können. Wenn darüber hinaus keine 24-stündige Überwachung erfolgt, könnten einzelne Bedrohung durchaus übersehen werden oder es wird schlicht zu spät gehandelt. Ein externes Sicherheitsbetriebssystem eignet sich somit eher für kleinere Firmen mit weniger Mitarbeitern, die entsprechend nicht so oft, wenn überhaupt, von Cyber-Angriffen betroffen sind.

Hybrid SOC

Eine weitere Möglichkeit stellt eine Kombination aus einer internen und externen Besetzung für die Sicherheit dar. Während der gewöhnlichen Arbeitszeiten könnte somit ein internes Team die Sicherheit überwachen, während ein externer Dienstleister die Zeiten an Feiertagen oder am Wochenende sowie nachts übernimmt. Ähnlich wie bei einem reinen internen Sicherheitssystem kann somit ebenfalls von einer Überwachung rund um die Uhr profitiert werden. Der Vorteil ist, dass Firmen nicht darauf angewiesen sind zusätzliches Personal, beispielsweise für Nachtschichten einzustellen. Dies kann vergleichsweise günstiger sein.

Fazit

Es zeigt sich, dass ein SOC eine notwendige Komponente eines jeden Unternehmens ist und keinesfalls vernachlässigt werden sollte oder kann. Vor allem in der heutigen Zeit ist das Risiko eines Verlusts persönlicher Daten oder einer Schädigung der Systeme durch einen Cyber-Angriff zu groß. Je nach Budget, Größe der Firma oder auch Erfahrungsstand gibt es glücklicherweise unterschiedliche Möglichkeiten, um für eine ausreichende IT Sicherheit zu sorgen. Für kleinere Unternehmen ist es somit empfehlenswert, zunächst ein externes Team für die Sicherheit zu beauftragen. Zu Beginn können dann teilweise auch intern Überwachungen und Analysen in Bezug auf die Sicherheit gestellt werden und später lässt sich das gesamte Sicherheitsbetriebssystem intern verlagern.

.