Business Security, Verschlüsselung & Datensicherheit

Security Operation Center: Kein Platz für Cyberkriminalität

Bei richtiger Planung und Organisation wird das SOC zum Herzen der Unternehmenssicherheit

In einem Security Operation Center wird die Arbeitskraft von Sicherheitsabteilungen effizient gebündelt.
SOC oder Security-Abteilung? Planung und Organisation der Unternehmenssicherheit sind das A und O. - Foto: Elchinator / Pixabay

Prävention, Monitoring und Detektion – Das sind die Aufgaben eines Security Operation Centers (SOC). Unternehmen, die ein SOC einrichten, müssen daher Mitarbeiter, Arbeitszeiten sowie Befugnisse im Vorfeld detailliert geplant haben, damit Angriffe von außerhalb effektiv abgewehrt werden können.

Die kontinuierliche Überwachung der Firewall, des IDS und der Endpoint-Schutzsysteme sind nur einige der Aufgaben eines SOC. Zusätzlich müssen Security Updates der Hersteller umgesetzt werden und Sicherheitswarnungen von Einrichtungen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) berücksichtigt werden. Unternehmen müssen ihr Personal kontinuierlich fortbilden, um auf dem neuesten Stand von Angriffstechniken zu sein.

SOC gründlich planen

Die Einrichtung eines Security Operation Centers erfordert eine Menge Planung. Jedes größere Unternehmen sieht sich mit einer ständig steigenden Zahl von Cyber-Attacken konfrontiert. Beispielsweise sehen die Sicherheitsspezialisten der Deutschen Telekom auf ihren Honeypots täglich sechs Millionen Angriffe.

Die Bündelung Arbeitskräften und Software-Tools an einem zentralen Ort soll andere Teilbereiche des Unternehmens entlasten und die Abwehrfähigkeit stärken. In einem SOC wird rund um die Uhr und ganzjährig im Schichtbetrieb gearbeitet. Die Zentralisierung von Fachkräften, die mit entsprechenden Befugnissen ausgestattet sein müssen, soll zeitintensive Abstimmungsprobleme vermeiden und schnelles Handeln erlauben. Elementares Tool dieser Einrichtungen ist das SIEM, ein Software-System für Security Information und Event Management. Sensoren analysieren Ereignisse aus Anwendungen und Netzwerkkomponenten. Je intelligenter das SIEM arbeitet, desto effizienter kann das SOC funktionieren.

SOC oder Security-Abteilung?

Die Abgrenzung der Aufgaben und Funktionen zwischen den beiden Teilbereichen ist für manche Unternehmen nicht immer einfach. Operative Verwaltungsprozesse oder die Entwicklung von Sicherheitsstrategien gelten nicht als eigentliche Aufgaben eines SOC, sie werden typischerweise von den Mitarbeitern der IT-Security wahrgenommen. Hingegen wird das Personal im SOC gewöhnlich unterteilt in Analysten, die rund um die Uhr Datenströme analysieren, und in Spezialisten, die gezielt verdächtigen Vorfällen nachgehen und Forensik betreiben. Während das Personal der ersten Ebene gewöhnlich im Schichtbetrieb arbeitet, sind die der zweiten Ebene ausgewiesene Experten mit normalen Bürozeiten.

Oft versuchen Unternehmen, SOC und Security-Abteilung zusammenzulegen. Damit wäre das SOC für alles zuständig, was auch die IT-Sicherheit betrifft. Es existieren keine abgegrenzten Aufgaben und Zuständigkeiten. So aber wird das SOC nun mit Routineaufgaben überlastet und hat weniger Zeit, Angriffe zu erkennen und abzuwehren. Das IT-Security-Team ist jedoch eher als eine gewöhnliche Abteilung wie eine Linienorganisation organisiert, während das SOC hingegen mit einer Stabsstelle vergleichbar ist. Ein SOC muss in der Hierarchie so verortet sein, dass es über entsprechende Mandate und Vollmachten verfügt, um in kritischen Situationen schnell in Arbeits- und Produktionsabläufe eingreifen zu können.

Schnelle Lösung: Drittanbieter

Der Aufwand für eine solche Einrichtung ist also beträchtlich, viele Unternehmen greifen daher lieber auf externe Dienstleister zurück. Doch dadurch entstehen auch Einblicke in kritische interne Abläufe. Die Verwaltung der Sicherheit des eigenen Firmennetzwerks einer Fremdfirma anzuvertrauen, erfordert viel Vertrauen und entsprechend gestaltete Verträge.

 

Quelle: it-sa

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben