Das Security Operations Center als Cockpit und Steuerungszentrale

Der Aufbau eines SOC in vier Schritten

Cyber Security Risikomanagement
veröffentlicht am 14.06.2022 | Lesezeit: ca. 3 Minuten

Keyfacts:

  • Als Unternehmen der Kritischen Infrastruktur brauchen Finanzdienstleister ein Security Operations Center (SOC). 
  • Die meisten Unternehmen der Branche stecken derzeit in der Entwicklung.
  • So gelingt der Aufbau eines SOC in vier Schritten.

Obwohl jedes Flugzeug alleine fliegen kann, haben wir in Deutschland eine Flugsicherung, bei der Fluglotsen in der Kontrollzentrale rund um die Uhr den Flugverkehr überwachen und den reibungslosen Ablauf sicherstellen. Eine solche Kontroll- und Steuerungszentrale ist mit Blick auf Cyberrisiken ein Security Operations Center (SOC). Hier überwachen Security-Spezialist:innen die gesamte IT-Landschaft eines Unternehmens 24/7, indem sie unterschiedliche Events und Protokolldaten aus Logquellen heranziehen.

Die Protokolldaten werden im Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR) Tool korreliert und alarmieren bei Auffälligkeiten. Durch automatisierte Runbooks werden bei einem Sicherheits-Vorfall (Incident Response) die ersten Maßnahmen eingeleitet und parallel dazu die hochgradig spezialisierten Analyst:innen aktiv. Über diese Kernkompetenz hinaus kann das SOC-Team noch weitere Aufgaben übernehmen, zum Beispiel das Schwachstellen-Management, um durchgehend über die eigene Vulnerabilität im Bilde zu sein und eine entsprechende Überwachungsstrategie auszuarbeiten.

Warum Finanzunternehmen ein SOC brauchen

Mit einer solch leistungsfähigen One-Stop-Shop-Lösung verändern Unternehmen ihre Position im Kampf gegen Cyberangriffe: Sie entwickeln sich zu einem proaktiven Akteur, der Cyberrisiken frühzeitig erkennt, seine Schutzmechanismen kontinuierlich daraufhin anpasst und so die Häufigkeit von Sicherheits-Vorfällen reduziert.

Mit der Veröffentlichung der letzten BAIT-Novelle (August 2021) wurden mit dem neuen Kapitel der Operativen Informationssicherheit konkrete Anforderungen an ein SOC/SIEM gestellt. Zwar schreibt die BaFin nicht vor, wie Finanzdienstleister die Überwachung und fortlaufende Optimierung ihrer IT-Systeme und -Prozesse praktisch umzusetzen haben, allerdings bietet ein SOC hierfür die optimale Lösung. Dass die meisten Finanzunternehmen das ebenso sehen, zeigt eine aktuelle KPMG-Studie: 14 Prozent der Unternehmen aus der Finanz- und Versicherungsbranche betreiben ein SOC, während weitere 45 Prozent gerade in der Einführung sind und 28 Prozent eine solche planen. Lediglich 13 Prozent planen kein SOC.

Quelle: Lünendonk, 2022.

 

Wie der Aufbau eines SOCs gelingt

Die Einführung eines SOCs ist eine Business-Entscheidung. Sie sollte von allen Entscheidungsträgern in der Organisation unterstützt sowie sorgfältig geplant werden. Folgende vier Phasen haben sich in der Praxis bewährt:

  1. SOC-Programm starten: Die Projektverantwortlichen holen die wichtigsten Stakeholder ins Boot, definieren strategische Ziele und Erwartungen an das SOC und klären Ansprechpartner aus den Unternehmensbereichen sowie Finanzierung.
  2. Anforderungen definieren: Abgeleitet von den Ergebnissen der ersten Phase definieren die Projektverantwortlichen funktionale und nicht-funktionale Anforderungen sowie Anforderungen von Risk & Compliance oder Governance an das SOC.
  3. SOC designen: Die Verantwortlichen priorisieren die einzelnen Anforderungen und wandeln diese in konkrete Prozesse und Tools um. Das heißt: Sie erheben Capabilities, legen Use Cases fest, definieren Rahmenbedingungen fürs Reporting und entscheiden sich für das SOC-Betriebsmodell.
  4. SOC einführen: Es sollte ein Proof of Concept erfolgen, um die Praktikabilität des Vorhabens zu verifizieren. Die praktische Umsetzung (bei internem Betrieb) bzw. Transition (bei Beauftragung eines Providers) läutet das Ende der SOC-Einführung ein und markiert gleichzeitig den Beginn eines kontinuierlichen Verbesserungsprozesses (KVP).

Wie die Ausführung eines SOCs erfolgen kann

Wie Unternehmen ein SOC operativ durchführen, hängt unter anderem vom Status Quo der IT-Infrastruktur, der Qualifikation sowie verfügbaren Ressourcen der Mitarbeitenden und der Unternehmensgröße ab. Oftmals können Unternehmen mit zunehmender Größe auch mehr Aufgaben eines SOC selbst übernehmen. Insgesamt haben sie drei Möglichkeiten:

  1. Intern: Sie übernehmen die 24/7-Überwachung ihrer Systeme und Prozesse vollständig selbst.
  2. Extern: Sie beauftragen einen externen Provider.
  3. Hybrid: Sie teilen sich die Rund-um-die-Uhr-Überwachung mit einem Provider — zum Beispiel indem das Unternehmen dies während den Geschäftszeiten und der Provider außerhalb der Geschäftszeiten übernimmt.

Laut einer Befragung betreiben 38 Prozent ihr SOC über einen Provider, und je 31 Prozent haben sich für eine Inhouse- oder hybride Lösung entschieden.

Wie die Finanzunternehmen das SOC letztlich ausführen, ist zweitrangig. Entscheidend ist, dass sie sich mit einer leistungsfähigen Steuerungszentrale dafür entscheiden, ihr Institut zukunftsfähig aufzustellen und bestmöglich gegen Cyberrisiken zu schützen.

Lesen Sie hier, wie Automatisierung die steigenden Anforderungen an das SOC bewältigen kann.

Weiterlesen

Cloud und Cyber Security

Thema vertiefen

Thema vertiefen

Gerade gelesen

SOC: Cockpit und Steuerungszentrale

Der Aufbau eines SOC in vier Schritten

Weitere Artikel zum Thema

Fehler in KYC-Prozessen

Wo Fehler entstehen und wie Compliance-Verantwortliche ihnen begegnen können

Geldwäsche-Verdacht: Neues Gesetz

Ein neues Bundesamt soll die notwendigen Schlüsselkompetenzen bündeln.

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

AMLA und neue AML-Direktiven kommen

Der Sitz der Aufsichtsbehörde steht fest – nun muss zügig die inhaltliche Arbeit starten.

Die BaFin veröffentlicht neue Vorgaben für den Cloud-Einsatz in der Finanzbranche.

Cybersecurity: Schwachstellen managen

Generative KI ermöglicht neue Angriffsmethoden, aber auch verbesserte Abwehrmechanismen

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.