Ravensburg, im Januar 2024 – Das klassische Security Operations Center (SOC) als zentrale Instanz zur Überwachung von Sicherheitsereignissen reagiert bei einem IT-Vorfall 24/7. In einer Zeit steigender Cybersicherheitsvorfälle wichtig wie nie. Wie aber geht dieses Konzept mit steigendem Kostendruck, wachsenden Anforderungen und gleichzeitiger Freizeitsensibilität der beteiligten Fachleute einher? Welche Rolle spielen Algorithmen und lernende Systeme? Ist das SOC wie wir es kennen nicht überholt?
Die Antwort liegt in der wachsenden Digitalisierung von Geschäftsprozessen, der zunehmenden Vernetzung von Systemen und den steigenden Anforderungen an mobiles Arbeiten. Bitkom und BSI betonen in ihren aktuellen Studien, dass die Wirtschaft verstärkt mit Cyberangriffen rechnet. Und das nicht mehr länger nur im KRITIS-Sektor. Weiters geht aus den Studien hervor, dass die Cyberbedrohungen komplexer und gezielter sind als je zuvor. Unternehmen sehen sich nicht nur mit allgemeinen Angriffen konfrontiert, sondern auch mit hochentwickelten und gezielten Bedrohungen wie Advanced Persistent Threats (APTs), Ransomware-Angriffen und Zero-Day-Exploits. Das erfordert eine kontinuierliche Überwachung, Analyse und Reaktion.
Ein Security Operations Center (SOC) ist ein spezialisiertes Team, das die Sicherheit von Informationssystemen gewährleistet. Als Nervenzentrum für Cybersecurity überwachen Verantwortliche kontinuierlich Netzwerke, Systeme und Anwendungen in Echtzeit. Rund um die Uhr 24/7. Ihre Hauptaufgabe umfasst die Erkennung von Sicherheitsvorfällen, die Analyse von Bedrohungen und die Reaktion auf Zwischenfälle. Das klassische SOC, das historisch gewachsen stärker auf manuelle Analysen und auf die Erfassung von Ereignissen setzt, erweist sich jedoch als nicht mehr ausreichend. Kern ist die Abhängigkeit von personellen Ressourcen. Ein 24/7 Bereitschaftsbetrieb aufrecht zu erhalten, bringt hohe Personalkosten (Nacht- und Wochenendzuschläge) bei gleichzeitig fehlenden Fachkräften mit sich. Unterdessen nimmt die Bereitschaft für Überstunden und Mehrarbeit ab. Verstärkt wird der Fachkräftemangel zudem über fehlendes Knowhow, das in der Breite und Tiefe zu allen Bereichen der IT-Sicherheit wie Netzwerken, Systemen und Anwendungen benötigt wird. Fachleute sind einer hohen Geschwindigkeit der Entwicklungen ausgesetzt und müssen sich stetig fortbilden und weiterentwickeln. Dies kostet viel Geld.
Das Hauptmanko des klassischen SOC stellt jedoch die fehlende Prävention dar. Es reicht nicht mehr länger nur zu reagieren, sobald etwas geschieht. Es bedarf einer Verringerung der Angriffsfläche mit Fokus auf die Identitäten und Endgeräte. Ohne Alarmmüdigkeit. Die positive Nachricht: Es etablieren sich bereits gute Systeme am Markt, die auf intelligente Algorithmen und Mustererkennung zurückgreifen. Diese erweiterten Werkzeuge erkennen und reagieren mit Verbesserungsvorschlägen. Und das rund um die Uhr – auch außerhalb der gängigen Arbeitszeit.
Trotz der Defizite halten viele Unternehmen am klassischen SOC-Konzept fest. Warum verhält sich das so? Wie so oft wird auf historisch gewachsenen Strukturen und Prozessen beharrt. Traditionelle SOC-Strukturen sind in vielen Organisationen tief verwurzelt und haben sich über Jahre bewährt. Es bestehen aufwändige Schnittstellen zu eigens geschaffenen SOC-Programmen. Neue Lösungen am Markt schaffen plötzlich Transparenz und übernehmen viele manuelle Aufgaben. Das Hoheitsgebiet bröckelt. Nicht zuletzt fehlt die Flexibilität für neue Systeme und die Entwicklung. Die Migration zu neuen Sicherheitsansätzen erfordert Zeit, Ressourcen und Schulungen für das Personal. Oft zögern Unternehmen noch, von altgedienten Praktiken abzuweichen, selbst wenn diese nicht mehr den aktuellen Bedrohungslandschaften entsprechen. Das klassische SOC reicht nicht mehr aus, um den rasanten Entwicklungen im Bereich der Cyberbedrohungen standzuhalten. In einer Ära von Cloud Computing, Mobil Work, IoT und künstlicher Intelligenz erfordert die Sicherheit spezialisierte, agile Teams und eine interdisziplinäre Zusammenarbeit.
Wer sich mit Alternativen zum klassischen SOC auseinandersetzt, stolpert über Abkürzungen wie EDR, NDR, XDR, NDR und SIEM. Sie alle beschreiben unterschiedliche Konzepte, mit Vorfällen umzugehen. EDR beispielsweise steht für Endpoint Detection and Response und dient dem Endgeräteschutz. NDR dagegen überwacht das Netzwerk. Beides integriert Security Information and Event Management (SIEM) auch. Einige moderne SIEM-Lösungen umfassen bereits Möglichkeiten zur Reaktion auf Vorfälle. Extended Detection & Response (XDR) erweitert dagegen die Überwachung und Analyse von Netzwerk, System, Anwendung, Endgerät und Tenant, indem es Reaktionsmaßnahmen innerhalb derselben Lösung vorschlägt, unterstützt und koordiniert. Bevor mögliche Vorfälle den Geschäftsbetrieb stören können. XDR erfordert dennoch Operator, die die Automatismen überwachen und anschließend Maßnahmen einleiten. Lernende Systeme und präventive Maßnahmen stellen die Automation in den Vordergrund und reduzieren den Aufwand im SOC.
Die Bedeutung von Cybersicherheit war nie höher, und Unternehmen stehen vor der Herausforderung, ihre Sicherheitsarchitekturen an die modernen Bedrohungslandschaften anzupassen. Das gilt nicht mehr länger für die Großen, denn längst sind klein- und mittelständiges Unternehmen in den Fokus krimineller Kräfte gerückt. „Mittelstandsgerechte Lösungen müssen her“ so Matthias Tomasetti, Geschäftsführer der Meckatzer Löwenbräu KG. „IT-Sicherheit muss bezahlbar bleiben. Gute Ansätze kleiner agiler IT-Experten mit starkem Digitalisierungsansatz in ihren Managed Security Lösungen stellen große Hebel für KMU dar.“
Unternehmen sind gut beraten, ihr klassisches SOC zu einer modernen XDR-Lösung auszubauen. Im Vordergrund: Erkennung, Reaktion und Prävention von Cyberbedrohungen. Matthias Tomasetti setzt bereits auf ein Konzept unabhängig von personellen Ressourcen und bestehenden Strukturen. „Wir haben uns für Managed Security Services von eines externen IT-Dienstleisters entschieden, damit sich unsere MitarbeiterInnen auf ihre eigentlichen Aufgaben konzentrieren können. Dieser Ansatz hat unsere Anforderungen in Bezug auf Know-how und Kosten optimal erfüllt.“ Es liegt an den Unternehmen, den Schritt in Richtung moderner Sicherheitsparadigmen zu wagen, um ihre digitalen Assets effektiv zu schützen und sich den Herausforderungen der Zukunft zu stellen.
ZIP | 2,04 MB | inklusive Bildmaterial
ADLON Intelligent Solutions GmbH
Albersfelder Straße 30
88213 Ravensburg
Mehr von ADLON
Rechtliches
2024 © ADLON Intelligent Solutions GmbH