Das Security Operations Center als Cockpit und Steuerungszentrale

SOC: Cockpit und Steuerungszentrale

Der Aufbau eines SOC in vier Schritten

veröffentlicht am 14.06.2022 | Lesezeit: ca. 3 Minuten

Keyfacts:

  • Als Unternehmen der Kritischen Infrastruktur brauchen Finanzdienstleister ein Security Operations Center (SOC).
  • Die meisten Unternehmen der Branche stecken derzeit in der Entwicklung.
  • So gelingt der Aufbau eines SOC in vier Schritten.

    Obwohl jedes Flugzeug alleine fliegen kann, haben wir in Deutschland eine Flugsicherung, bei der Fluglotsen in der Kontrollzentrale rund um die Uhr den Flugverkehr überwachen und den reibungslosen Ablauf sicherstellen. Eine solche Kontroll- und Steuerungszentrale ist mit Blick auf Cyberrisiken ein Security Operations Center (SOC). Hier überwachen Security-Spezialist:innen die gesamte IT-Landschaft eines Unternehmens 24/7, indem sie unterschiedliche Events und Protokolldaten aus Logquellen heranziehen.

    Die Protokolldaten werden im Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR) Tool korreliert und alarmieren bei Auffälligkeiten. Durch automatisierte Runbooks werden bei einem Sicherheits-Vorfall (Incident Response) die ersten Maßnahmen eingeleitet und parallel dazu die hochgradig spezialisierten Analyst:innen aktiv. Über diese Kernkompetenz hinaus kann das SOC-Team noch weitere Aufgaben übernehmen, zum Beispiel das Schwachstellen-Management, um durchgehend über die eigene Vulnerabilität im Bilde zu sein und eine entsprechende Überwachungsstrategie auszuarbeiten.

    Warum Finanzunternehmen ein SOC brauchen

    Mit einer solch leistungsfähigen One-Stop-Shop-Lösung verändern Unternehmen ihre Position im Kampf gegen Cyberangriffe: Sie entwickeln sich zu einem proaktiven Akteur, der Cyberrisiken frühzeitig erkennt, seine Schutzmechanismen kontinuierlich daraufhin anpasst und so die Häufigkeit von Sicherheits-Vorfällen reduziert.

    Mit der Veröffentlichung der letzten BAIT-Novelle (August 2021) wurden mit dem neuen Kapitel der Operativen Informationssicherheit konkrete Anforderungen an ein SOC/SIEM gestellt. Zwar schreibt die BaFin nicht vor, wie Finanzdienstleister die Überwachung und fortlaufende Optimierung ihrer IT-Systeme und -Prozesse praktisch umzusetzen haben, allerdings bietet ein SOC hierfür die optimale Lösung. Dass die meisten Finanzunternehmen das ebenso sehen, zeigt eine aktuelle KPMG-Studie: 14 Prozent der Unternehmen aus der Finanz- und Versicherungsbranche betreiben ein SOC, während weitere 45 Prozent gerade in der Einführung sind und 28 Prozent eine solche planen. Lediglich 13 Prozent planen kein SOC.

    Infografik
    Quelle: Lünendonk, 2022

    Wie der Aufbau eines SOCs gelingt

    Die Einführung eines SOCs ist eine Business-Entscheidung. Sie sollte von allen Entscheidungsträgern in der Organisation unterstützt sowie sorgfältig geplant werden. Folgende vier Phasen haben sich in der Praxis bewährt:

    1. SOC-Programm starten: Die Projektverantwortlichen holen die wichtigsten Stakeholder ins Boot, definieren strategische Ziele und Erwartungen an das SOC und klären Ansprechpartner aus den Unternehmensbereichen sowie Finanzierung.
    2. Anforderungen definieren: Abgeleitet von den Ergebnissen der ersten Phase definieren die Projektverantwortlichen funktionale und nicht-funktionale Anforderungen sowie Anforderungen von Risk & Compliance oder Governance an das SOC.
    3. SOC designen: Die Verantwortlichen priorisieren die einzelnen Anforderungen und wandeln diese in konkrete Prozesse und Tools um. Das heißt: Sie erheben Capabilities, legen Use Cases fest, definieren Rahmenbedingungen fürs Reporting und entscheiden sich für das SOC-Betriebsmodell.
    4. SOC einführen: Es sollte ein Proof of Concept erfolgen, um die Praktikabilität des Vorhabens zu verifizieren. Die praktische Umsetzung (bei internem Betrieb) bzw. Transition (bei Beauftragung eines Providers) läutet das Ende der SOC-Einführung ein und markiert gleichzeitig den Beginn eines kontinuierlichen Verbesserungsprozesses (KVP).

    Wie die Ausführung eines SOCs erfolgen kann

    Wie Unternehmen ein SOC operativ durchführen, hängt unter anderem vom Status Quo der IT-Infrastruktur, der Qualifikation sowie verfügbaren Ressourcen der Mitarbeitenden und der Unternehmensgröße ab. Oftmals können Unternehmen mit zunehmender Größe auch mehr Aufgaben eines SOC selbst übernehmen. Insgesamt haben sie drei Möglichkeiten:

    1. Intern: Sie übernehmen die 24/7-Überwachung ihrer Systeme und Prozesse vollständig selbst.
    2. Extern: Sie beauftragen einen externen Provider.
    3. Hybrid: Sie teilen sich die Rund-um-die-Uhr-Überwachung mit einem Provider — zum Beispiel indem das Unternehmen dies während den Geschäftszeiten und der Provider außerhalb der Geschäftszeiten übernimmt.

    Laut einer Befragung betreiben 38 Prozent ihr SOC über einen Provider, und je 31 Prozent haben sich für eine Inhouse- oder hybride Lösung entschieden.

    Wie die Finanzunternehmen das SOC letztlich ausführen, ist zweitrangig. Entscheidend ist, dass sie sich mit einer leistungsfähigen Steuerungszentrale dafür entscheiden, ihr Institut zukunftsfähig aufzustellen und bestmöglich gegen Cyberrisiken zu schützen.

    Lesen Sie hier, wie Automatisierung die steigenden Anforderungen an das SOC bewältigen kann.

    Das könnte Sie auch interessieren

    Das Bild zeigt Gewerbeimmobilien in Frankfurt
    Finance und Risk

    Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

    Kreditrisiken bei Gewerbeimmobilien: EZB fordert Institute zum Handeln auf

    19.11.2024 | ca. 5 Minuten Lesezeit

    Die Aufsicht fordert, dass Kreditinstitute Immobilienbewertungen engmaschiger überwachen.

    Daniel Demleitner
    Daniel Demleitner
    Karsten Neiteler
    Karsten Neiteler
    Pascal Stolz
    Pascal Stolz
    Wald bedroht von Klimarisiken und Waldbrand. Kreditrisikomodelle
    Finance und Risk

    KPMG-Umfrage: Klima- und Umweltrisiken in Kreditrisikomodellen

    Umfrage: Klimarisiken im Kreditrisiko

    14.11.2024 | ca. 2 Minuten Lesezeit

    Neue Befragung zeigt, wo Banken bei der Anpassung von Kreditrisikomodellen stehen.

    Frank Glormann
    Frank Glormann
    Dr. Jürgen Ringschmidt
    Dr. Jürgen Ringschmidt
    Dr. Lora Todorova
    Dr. Lora Todorova
    Das Bild zeigt Wolkenkratzer, die in den Himmel ragen
    Regulatorik und Compliance

    Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

    Neu auf dem Blog: Aktuelle Regulatory Updates für die Finanzbranche

    05.11.2024 | ca. 1 Minute Lesezeit

    Die wichtigsten Schnellmeldungen aus Aufsicht, Gesetzgebung und von Standardsetzern

    Thilo Kasprowicz
    Thilo Kasprowicz
    Suche
    Schliessen
    © 2024 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.