Mit einem Security-Operation-Center (SOC) Sicherheit schaffen

Mit einem Security-Operation-Center können Unternehmen ihre IT-Sicherheit optimal organisieren. Welches Betriebsmodell dabei das Passende ist, entscheidet sich an den Zielsetzungen.

Die Cyber-Kriminalität stellt viele Unternehmen vor erhebliche Probleme, weil es ihnen an Ressourcen für die IT-Sicherheit fehlt. Im Trend liegen deshalb Security-Operation-Center (SOC). Sie können neben Prävention und Absicherung vor allem die Früherkennung und Abwehr übernehmen, also reaktive Massnahmen durch proaktive Sicherheitsmechanismen ergänzen. So lassen sich beispielsweise Angreifer bereits durch Verhaltens-auffälligkeiten identifizieren und unschädlich machen.

Ein allgemein gültiges SOC-Betriebsmodell, mit dem sich überall maximaler Nutzen erzielen lässt, gibt es nicht. Jedes Unternehmen sollte die Modelle prüfen und danach entscheiden, welches sich am besten eignet. Bei der Auswahl des passenden SOC-Modells müssen Ziele, Kompetenzen und gegebenenfalls auch Compliance-Vorgaben berücksichtigt werden. Unternehmen können dabei ein eigenes SOC aufbauen, einen Hybrid-Ansatz verfolgen oder einen externen Service nutzen. Ein internes SOC ist aufwändig und setzt entsprechende interne Kompetenzen voraus. Mittlerweile lagern auch grosse Unternehmen den SOC-Betrieb vollständig aus. Für Unternehmen, die über keine grosse IT-Infrastruktur verfügen und ihr Kapital nicht durch Technologieinvestitionen binden möchten, ist die Nutzung eines externen SOC praktisch der einzig gangbare Weg. Ein externes SOC kann vor allem mit einem zentralen Vorteil punkten: Es kann als proaktives Abwehrzentrum fungieren, das auch eine Früherkennung von Angriffen unterstützt. Auf Unternehmensseite implementierte Systeme sind für die Früherkennung oft allein schon aufgrund der Geschwindigkeit nicht geeignet. Ein modernes SOC setzt intelligente Tools ein, die eine permanente, automatische Analyse des Datenverkehrs sicherstellen, und es kann das Experten-Know-how von Cyber-Security-Analysten nutzen.

Bei der Auswahl des Anbieters sollte man einen globalen Anbieter mit lokaler Präsenz wählen. Ein weltweit agierender Provider kann Meldungen und Störungen unterschiedlichster IT-Infrastrukturen überwachen und analysieren – und verfügt damit über ein Echtzeitbild der Bedrohungslage. Lokale Präsenz wiederum ist wichtig in Hinblick auf gesetzliche und aufsichtsrechtliche Aspekte in Bezug auf Datenschutz und -haltung. Grundsätzlich sollte nie vergessen werden, dass es bei der Auslagerung des SOC-Betriebs auch immer um Themen wie Vertrauen oder Investitionssicherheit geht, also um die Unternehmensgrösse und -stabilität des externen Anbieters. Das Thema Sicherheit einem kleinen Unternehmen anzuvertrauen, könnte daher problematisch sein.

Autor: Patrick Schraut ist Director Consulting & Governance, Risk und Compliance (GRC) DACH bei NTT Security

Download (PDF, 140KB)

 

Share this...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter