Wie arbeitet eigentlich ein Security Operations Center (SOC)? Welche gesetzlichen Anforderungen gibt es und in welchem Verhältnis stehen diese zu bewährten Best Practices? Antworten auf diese wichtigen Fragen gaben Ramon Weil, Founder & CEO der SECUINFRA GmbH, sowie David Bischoff, Principal Cyber Defense Consultant bei SECUINFRA, im Rahmen des Security Labs der Gesellschaft zur Förderung des Forschungstransfers e.V. (GFFT). Die Veranstaltung „Insights: Security Operation Center (SOC)” am vergangenen Donnerstag stieß auf reges Interesse bei den Teilnehmern. Angemeldet waren sowohl mittelständische Unternehmen als auch Vertreter von Großkonzernen und Universitäten. Sie nutzten die Gelegenheit, um sich über den effizienten Einsatz von SOCs zu informieren und mit den anwesenden Security-Experten wichtige Fragen zu klären.
Ramon Weil gab in seinem Schwerpunktvortrag einen Überblick über den aktuellen technologischen Stand bei Security Operations Centern. Sein Unternehmen hat langjährige Erfahrung beim Aufbau und Betrieb von SOCs – sowohl bei Kunden als auch mit dem eigenen SECUINFRA SOC. In seinem Vortrag zeigte Weil, wie bereits die Planungsphase entscheidend ist, um eine umfassende und effiziente Abdeckung der Bedrohungslandschaft zu gewährleisten. Zudem empfahl er, auf standardisierte Methoden wie das MITRE ATT@CK Framework zurückzugreifen. Er skizzierte anhand des BSI-Gesetzes, welche Anforderungen abzudecken sind. Darüber hinaus erklärte er, warum dies alleine jedoch nicht ausreichend ist, da dort viele neuere Technologien wie Endpoint Detection and Response (EDR) oder Security Orchestration, Automation and Response (SOAR) noch gar nicht berücksichtigt wurden. Gleichzeitig betonte er, wie wichtig das Gesetz sei: „Es geht in die richtige Richtung und wird die Cyber-Resilienz in Deutschland in den nächsten Jahren deutlich steigern.“
Bei der Umsetzung wiesen Weil und Bischoff jedoch auch auf die Probleme hin: So sei der technische und personelle Aufwand für den Betrieb eines Security Operations Center insbesondere für Mittelständler oft zu hoch. Solch ein SOC muss schließlich 24 Stunden am Tag zur Verfügung stehen, denn Sicherheitsvorfälle müssen nicht nur erkannt, sondern auch sofort analysiert werden. Eine Analyse durch einen SOC-Analysten ist dabei zwingend notwendig und ein Einsatz eines SOAR-Systems zur Teilautomatisierung ratsam. Zudem ist eine angemessene Reaktion erforderlich – und die ist nahezu immer zeitkritisch. Ein Cyber Detection and Response Center muss daher rund um die Uhr besetzt sein. „Das ist eine große Herausforderung und angesichts des Fachkräftemangels gar nicht so leicht umzusetzen“, bilanzierte Weil. „Für viele Unternehmen ist daher das Outsourcing eines SOCs die sinnvollere Alternative.“
Wie unterschiedlich die Voraussetzungen sind, zeigte auch eine Umfrage unter den Teilnehmern des Security Labs. So sind die Möglichkeiten in Großkonzernen ganz andere als bei kleineren Unternehmen, auch in finanzieller Hinsicht. Bei den großen Playern stehen rund 2.000 Euro pro Mitarbeiter für die IT-Sicherheit zur Verfügung. Am anderen Ende der Skala befinden sich die Universitäten, bei denen es nur 50 Euro sind. „Angesichts dieser sehr unterschiedlichen Bedingungen ist es wichtig, Lösungen zu finden, die für das jeweilige Unternehmen am besten passen“, findet Weil. Die nächste Gelegenheit, sich über Security Operations Center zu informieren, bietet das Security Lab der GFFT in den nächsten Monaten. Weitere Informationen hierzu werden noch bekannt gegeben.
