Viele Unternehmen unterschätzen trotz aller Warnungen und Negativbeispiele das wirkliche Risiko, Opfer eines Cyberangriffs zu werden. Denn fast immer wird die proaktive Implementierung von Sicherheit als eine wirtschaftliche Behinderung gesehen. Derzeit sind politisch motivierte Hackerangriffe und deren Auswirkungen bei erfolgreichen Angriffen in aller Munde. Nicht jedes Unternehmen verfügt über die Ressourcen, Spezialisten zur Überwachung rund um die Uhr einzustellen. Was ist also die Lösung? Outsourcen in Security Operations Center (SOC)? Was verbirgt sich hinter diesem Begriff und was müssen Unternehmen beim Aufbau eines solchen SOC beachten?

Aufbau eines SOC – eine Herkulesaufgabe für Unternehmen?

Ein SOC bietet Dienstleistungen zur IT-Sicherheit. So eine der gängigsten Definitionen. Dies stimmt – und greift trotzdem zu kurz. Denn ein SOC ist mehr als nur ein Bündel verschiedenster Security-Anwendungen. Die Cyberrisiken sind zu komplex geworden, um lediglich Technologie unter diesen Begriff zu fassen. Vielmehr muss ein SOC heutzutage eine Kombination aus aktuellster Technologie sowie erfahrenem Fachpersonal und eingespielten Prozessen sein. Basis für ein Unternehmens-weites und hilftreiches SOC ist eine breite Palette an Security-Tools. Diese gewährleisten ein leistungsstarkes Monitoring und Ableitung der tatsächlichen Risikolandschaft. Was so selbstverständlich klingt, ist es in der Realität leider oft nicht. Denn Daten müssen zunächst im gesamten Unternehmen über alle Endpunkte, Netzwerke und Logs hinweg gesammelt und analysiert werden – vor einem Event, aber auch währenddessen. Die Herausforderung ist hierbei die Analyse und Korrelation der Datengrundlage und damit die Unterscheidung in unwichtige und wichtige Events. Hierfür braucht es kontextuelle Informationen wie die Identität und Rolle des Anwenders oder aktuelle Threat Intelligence-Berichte oder anders ausgedrückt. Es wird ein Konzept benötigt, welches eine Verknüpfung von Bedrohungen zu Use-Cases darstellt.

Doch wer leistet diese Einschätzung der tatsächlichen Gefahr und wer setzt die Use-Cases um?

Maschinen alleine können dies nicht berechnen und umsetzen. Dazu bedarf es eines oder mehrerer Experten im Hintergrund – um schnelle Reaktionszeiten und geeignete Gegenmaßnahmen zu garantieren, aber auch, um aus der Menge der Daten einen übergreifenden Zusammenhang zwischen einzelnen Events herzustellen. Das erfordert Know-how auf höchstem Niveau – und damit Spezialisten, die nicht nur teuer, sondern auch rar sind. Für viele Unternehmen, die ein eigenes SOC aufbauen wollen, stellt dieser Spagat zwischen tatsächlichem Budget und der Vorgabe, ein leistungsfähiges SOC mit neuen Cybersecurity-Fähigkeiten umzusetzen, eine große Herausforderung dar. Denn der Betrieb eines SOC läßt sich kaum mit den klassischen Mitteln der Return on Invest (ROI) Methoden darstellen.

Selbst machen oder nach außen geben?

Es gibt leider kein Patentrezept für den Aufbau eines SOC: Jedes Unternehmen ist einzigartig, was das Level der Bedrohung, die Risikotoleranz, gestezlichen Vorgaben oder auch die Abwehrressourcen (Personal, Know-how, Budget) angeht. Gemeinsam ist ihnen nur das Ziel, weniger Angriffsfläche zu bieten und eine bessere Abwehr aufzubauen. Somit ist der Aufbau eines SOC ein kontinuierlicher, aufwändiger Prozess. Denn der Betrieb eines SOCs unterliegt einer ständigen Qualitätskontrolle und Anpassung an Tools und personellen Know-How. Ein SOC funktioniert nur mit in der Industrie etablierten Prozessen nach denen Analysten arbeiten und die ihre Arbeit nachvollziehbar machen. Wie soll sonst das Management in der Lage sein, die Arbeit der Experten zu beurteilen und das erreichte Sicherheitsniveau einzuschätzen? Denn die Sprache des Analysten ist meist zu technisch und somit nicht tauglich für Managemententscheidungen.

Wenn ein Unternehmen alle Elemente individuell entwickeln und abstimmen möchte, ist es von besonderer Wichtigkeit qualifiziertes Personal zu gewinnen und dieses Personal immer auf dem neuesten Stand der Angriffs- und Verteidigungsmethoden zuhalten und mit klaren Verantwortlichkeiten und Abläufen im Schichtbetrieb auszustatten. Bei der Auswahl sollte darauf geachtet werden, den richtigen Spezialisten für die jeweiligen Aufgaben zu finden. Denn ein hervorragender Penetrationtester muss nicht unbedingt ein hervorragender Analyst sein. Wie aufwändig und teuer ein solcher Schichtbetrieb mit Spezialisten ist, lässt sich leicht berechnen. Grob geschätzt braucht man – unter Berücksichtigung von Urlaubs- und Krankheitszeiten sowie Ausbildungszeiten – rund 15 Vollzeit-Spezialisten: einen SOC-Manager, einige Analysten und Intelligence-Experten, Administratoren und Engineers. Diese Spezialisten müssen nicht alle direkt im SOC angesiedelt sein, sondern können auch als virtuelles Team agieren. Für den Anfang kann auch erst einmal mit einem SOC-Manager und drei Analysten gestartet werden. Warum muss ein SOC und deren Team Mitglieder im Schichtbetrieb arbeiten? Hacker agieren weltweit, greifen somit nicht unbedingt während der Kernarbeitszeiten in Deutschland an. Die Erkennung und Abwehr rund um die Uhr (oder sogar die konkrete Nachverfolgung von bisher unbekannten Angriffen) ist personalintensiv.

Insofern kein eigenes SOC betrieben werden soll oder kann, wäre die Alternative das klassisches Outsourcing. Dafür sprechen einige Faktoren: schnell verfügbare, skalierbare und stets aktualisierte Ressourcen, ausgebildetes Personal beim Dienstleister ebenso wie festgelegte SLAs und damit zuverlässige Performance. Die Frage bei den zugekauften Services ist nur: wieviel und was? Die Palette der Möglichkeiten ist dabei groß – sie reicht vom Managed Security Service Provider, der im Allgemeinen den kompletten Service bietet, bis hin zu einzelnen Diensten, die bei Bedarf oder kontinuierlich zugekauft werden. Viele Unternehmen erwägen deshalb die Möglichkeit, einzelne Komponenten eines SOC zuzukaufen. Das mag auf den ersten Blick günstiger sein, doch der Aufwand, verschiedene Systeme, Lösungen und Informationen zu kombinieren, verlangt wiederum Experten und Zeit. In der Komplettlösung überwachen Spezialisten rund um die Uhr die IT-Umgebung und verwalten die Security-Tools. Dies entlastet die IT-Teams und bietet ein festlegbares Service- und Sicherheitsniveau.

Allerdings: nicht jeder Anbieter bietet zugleich lokale Präsenz oder falls benötigt internationales Bedrohungs-Know-how. Denn Threat Intelligence, die genau dieses Wissen zu aktuellen Bedrohungen liefert, braucht den globalen Austausch von Informationen und die Auswertung von Vorfällen über viele oder besser alle Branchen hinweg. Ein Sicherheitssystem muss diese Informationen effizient integrieren, um Muster an den Endpunkten und im Netzwerk zu identifizieren und auch unbekannte Zero-Days oder gezielte Angriffe zu erfassen. Kurz: Security-as-a-Service verlangt nach echten Spezialisten, die umfangreiche Erfahrung in der Bereitstellung von Security-Diensten haben.