Security Operations Center: Das richtige Betriebsmodell finden
SOC: Das richtige Betriebsmodell
Was für oder gegen die Beauftragung eines IT-Dienstleisters spricht
Keyfacts:
- Immer mehr Finanzinstitute bauen Security Operations Center (SOC) auf, um Cyber-Angriffe und Security-Schwachstellen aufzudecken.
- SOCs können intern oder extern betrieben werden – oder als hybride Form.
- Mit zunehmender Größe können Unternehmen auch mehr Aufgaben eines SOC selbst übernehmen.
Cyberkriminalität hat sich mit fortschreitender Digitalisierung zu einer der größten Bedrohungen für Finanzdienstleister entwickelt. Problematisch: Oft werden Cyber-Attacken erst erkannt, wenn der Angriff auf die Server und Rechenzentren erfolgt. Das Ausspähen der Ziele, die Vorbereitungen und das tatsächliche Eindringen in die IT-Systeme finden oft aber schon lange vor dem tatsächlichen Angriff statt. Deshalb sollten Unternehmen den Angreifer:innen immer mindestens einen Schritt voraus sein.
SOCs sind überall in der Finanzindustrie im Aufbau
Um Security-Schwachstellen und Ausspähversuche frühzeitig zu erkennen, setzen immer mehr Finanzunternehmen auf Security Operations Center (SOC). Dabei handelt es sich um Organisationseinheiten, die für die kontinuierliche Überwachung der IT-Systeme und -Sicherheit verantwortlich sind. Noch die wenigsten (14 Prozent) Unternehmen aus der Finanz- und Versicherungsbranche verfügen bereits über ein Security Operation Center (SOC) – etwa die Hälfte befindet sich in der Aufbau- und Einführungsphase, und 28 Prozent planen ein SOC, zeigt unsere aktuelle Branchenumfrage.
Drei mögliche Betriebsmodelle eines SOCs
Für den Aufbau und die Planung eines SOCs haben sich in der Praxis vier Phasen bewährt. Entscheidend bei dem Vorhaben ist die Unterstützung der gesamten Organisation, von der strategischen Zieldefinition bis zur Finanzierung und dem Design. Wie Unternehmen ein SOC operationalisieren, hängt unter anderem vom Status Quo der IT-Infrastruktur, der Qualifikation und den verfügbaren Ressourcen der Mitarbeitenden und der Unternehmensgröße ab. Insgesamt differenziert man in drei mögliche Betriebsmodelle:
-
Das interne SOC
Ein entscheidender Vorteil des internen SOCs besteht darin, dass es mit Mitarbeitenden besetzt ist, die mit der Infrastruktur der Organisation vertraut sind. Sie können die generierten Alarmierungen auswerten und potenzielle Sicherheitsvorfälle schnell und präzise identifizieren. Der Aufbau eines internen SOCs ist allerdings mit erheblichen Kosten verbunden und ein komplexes, langfristiges Unterfangen, das Zeit, Mühe, Fachwissen, Spezialtechnologie und kontinuierliche Verbesserung erfordert.
Eine Entscheidung für das interne SOC geht mit der Bereitschaft einher, im Voraus und kontinuierlich mit Blick auf Langlebigkeit zu investieren. Das Modell eignet sich besonders für große Institute, die einen ausgereiften Ansatz für Risikomanagement und Informationssicherheit haben und Unternehmen, die mit großen Mengen an sensiblen Daten umgehen, strengen Compliance-Anforderungen unterliegen und/oder häufig Ziel von Bedrohungen sind (z.B. durch staatliche Hackergruppen).
-
Das externe SOC
Die Vorteile eines externen SOC sind die minimalen Bereitstellungskosten und die vergleichsweise geringen laufenden Kosten. Denn mit dem Outsourcing verbunden ist auch eine Skalierbarkeit der Leistungen. Jedoch ist es wichtig, dass Organisationen erkennen, dass sie die Verantwortung für das SOC behalten und daher die SOC-Governance intern halten müssen. Aus diesem Grund und um sicher zu stellen, dass der externe Provider die Erwartungen erfüllt, sollte eine interne Ressource (oder sogar ein kleines SOC-Team) ernannt werden, um das externe SOC zu überwachen.
Mitarbeitende übernehmen eine koordinierende Rolle, um sicher zu stellen, dass der Dienstleister die SOC-Dienste angemessen und gemäß den in dem Service Level Agreement (SLA) beschriebenen Vorgaben erbringt (z.B. Bereitstellung des erforderlichen Reports).
Bei diesem Modell besteht auch die Möglichkeit, von der Branchenerfahrung des Providers zu profitieren. Im Rahmen einer Multi-Tenant-Struktur stellt der Anbieter SOC-Dienste für mehrere verschiedene Kunden bereit, wobei dieselben Systeme, Einrichtungen, Technologien und Mitarbeitenden zum Einsatz kommen. Das kann für Skaleneffekte sorgen.
Ein weiterer Vorteil besteht darin, dass Bedrohungsinformationen, die aus dem Feed einer Organisation generiert werden, verwendet werden können, um Bedrohungen und Verhaltensmuster zu verstehen, um die gleiche böswillige Aktivität bei weiteren Kunden zu identifizieren. Der Umgang mit sensiblen Daten einer Organisation birgt jedoch das Risiko einer unbefugten Weitergabe an Dritte. Entsprechende Zusicherungen bezüglich Vertraulichkeit und Datenfreigabe müssen eingeholt und im SLA klar festgelegt werden. Unternehmen sollten Kriterien und Anforderungen an den Provider fixieren und vor der Beauftragung einen Auswahlprozess durchlaufen. Es ist zu empfehlen, Besuche vor Ort durchzuführen, bestehende Kunden zu befragen, Zertifizierungsnachweise anzufordern und Exit-Pläne durchzuspielen.
-
Das hybride Modell
Ein hybrider Ansatz kombiniert die Vorteile eines internen SOCs, einschließlich größerer Kontrolle und spezifischer Fachkenntnisse, mit dem technischen Fachwissen und der operativen Erfahrung eines externen Anbieters.
Ein hybrides SOC ermöglicht es dem Unternehmen, den Ressourcenpool eines externen Anbieters zu nutzen, um Lücken in der Personalausstattung oder in den Fähigkeiten zu schließen, während interne Fähigkeiten erhalten bleiben. Dieses Betriebsmodell wird zunehmend präferiert, insbesondere wenn es an Kapazitäten, Budget oder Ressourcen mangelt, um intern ein 24/7-SOC aufzubauen. Aufgrund der Möglichkeiten von bewährten Verfahren und gewonnenen Erkenntnissen des Anbieters zu profitieren, ist dieser Ansatz gut für Organisationen geeignet, die bei der Überwachung ihrer Systeme und Prozesse bei null anfangen. Einige Unternehmen ziehen es vor, mit einem Hybridmodell zu beginnen, um im Verlauf zu einem vollständig internen Modell überzugehen.