Security Operations Center: Das richtige Betriebsmodell finden

Was für oder gegen die Beauftragung eines IT-Dienstleisters spricht

Cyber Security IT-Architektur IT-Sicherheit
veröffentlicht am 15.07.2022 | Lesezeit: ca. 4 Minuten

Keyfacts:

  • Immer mehr Finanzinstitute bauen Security Operations Center (SOC) auf, um Cyber-Angriffe und Security-Schwachstellen aufzudecken.
  • SOCs können intern oder extern betrieben werden – oder als hybride Form.
  • Mit zunehmender Größe können Unternehmen auch mehr Aufgaben eines SOC selbst übernehmen.

Cyberkriminalität hat sich mit fortschreitender Digitalisierung zu einer der größten Bedrohungen für Finanzdienstleister entwickelt. Problematisch: Oft werden Cyber-Attacken erst erkannt, wenn der Angriff auf die Server und Rechenzentren erfolgt. Das Ausspähen der Ziele, die Vorbereitungen und das tatsächliche Eindringen in die IT-Systeme finden oft aber schon lange vor dem tatsächlichen Angriff statt. Deshalb sollten Unternehmen den Angreifer:innen immer mindestens einen Schritt voraus sein.

SOCs sind überall in der Finanzindustrie im Aufbau

Um Security-Schwachstellen und Ausspähversuche frühzeitig zu erkennen, setzen immer mehr Finanzunternehmen auf Security Operations Center (SOC). Dabei handelt es sich um Organisationseinheiten, die für die kontinuierliche Überwachung der IT-Systeme und -Sicherheit verantwortlich sind. Noch die wenigsten (14 Prozent) Unternehmen aus der Finanz- und Versicherungsbranche verfügen bereits über ein Security Operation Center (SOC) – etwa die Hälfte befindet sich in der Aufbau- und Einführungsphase, und 28 Prozent planen ein SOC, zeigt unsere aktuelle Branchenumfrage.

Drei mögliche Betriebsmodelle eines SOCs

Für den Aufbau und die Planung eines SOCs haben sich in der Praxis vier Phasen bewährt. Entscheidend bei dem Vorhaben ist die Unterstützung der gesamten Organisation, von der strategischen Zieldefinition bis zur Finanzierung und dem Design. Wie Unternehmen ein SOC operationalisieren, hängt unter anderem vom Status Quo der IT-Infrastruktur, der Qualifikation und den verfügbaren Ressourcen der Mitarbeitenden und der Unternehmensgröße ab. Insgesamt differenziert man in drei mögliche Betriebsmodelle:

  1. Das interne SOC

Ein entscheidender Vorteil des internen SOCs besteht darin, dass es mit Mitarbeitenden besetzt ist, die mit der Infrastruktur der Organisation vertraut sind. Sie können die generierten Alarmierungen auswerten und potenzielle Sicherheitsvorfälle schnell und präzise identifizieren. Der Aufbau eines internen SOCs ist allerdings mit erheblichen Kosten verbunden und ein komplexes, langfristiges Unterfangen, das Zeit, Mühe, Fachwissen, Spezialtechnologie und kontinuierliche Verbesserung erfordert.

Eine Entscheidung für das interne SOC geht mit der Bereitschaft einher, im Voraus und kontinuierlich mit Blick auf Langlebigkeit zu investieren. Das Modell eignet sich besonders für große Institute, die einen ausgereiften Ansatz für Risikomanagement und Informationssicherheit haben und Unternehmen, die mit großen Mengen an sensiblen Daten umgehen, strengen Compliance-Anforderungen unterliegen und/oder häufig Ziel von Bedrohungen sind (z.B. durch staatliche Hackergruppen).

  1. Das externe SOC

Die Vorteile eines externen SOC sind die minimalen Bereitstellungskosten und die vergleichsweise geringen laufenden Kosten. Denn mit dem Outsourcing verbunden ist auch eine Skalierbarkeit der Leistungen. Jedoch ist es wichtig, dass Organisationen erkennen, dass sie die Verantwortung für das SOC behalten und daher die SOC-Governance intern halten müssen. Aus diesem Grund und um sicher zu stellen, dass der externe Provider die Erwartungen erfüllt, sollte eine interne Ressource (oder sogar ein kleines SOC-Team) ernannt werden, um das externe SOC zu überwachen.

Mitarbeitende übernehmen eine koordinierende Rolle, um sicher zu stellen, dass der Dienstleister die SOC-Dienste angemessen und gemäß den in dem Service Level Agreement (SLA) beschriebenen Vorgaben erbringt (z.B. Bereitstellung des erforderlichen Reports).

Bei diesem Modell besteht auch die Möglichkeit, von der Branchenerfahrung des Providers zu profitieren. Im Rahmen einer Multi-Tenant-Struktur stellt der Anbieter SOC-Dienste für mehrere verschiedene Kunden bereit, wobei dieselben Systeme, Einrichtungen, Technologien und Mitarbeitenden zum Einsatz kommen. Das kann für Skaleneffekte sorgen.

Ein weiterer Vorteil besteht darin, dass Bedrohungsinformationen, die aus dem Feed einer Organisation generiert werden, verwendet werden können, um Bedrohungen und Verhaltensmuster zu verstehen, um die gleiche böswillige Aktivität bei weiteren Kunden zu identifizieren. Der Umgang mit sensiblen Daten einer Organisation birgt jedoch das Risiko einer unbefugten Weitergabe an Dritte. Entsprechende Zusicherungen bezüglich Vertraulichkeit und Datenfreigabe müssen eingeholt und im SLA klar festgelegt werden. Unternehmen sollten Kriterien und Anforderungen an den Provider fixieren und vor der Beauftragung einen Auswahlprozess durchlaufen. Es ist zu empfehlen, Besuche vor Ort durchzuführen, bestehende Kunden zu befragen, Zertifizierungsnachweise anzufordern und Exit-Pläne durchzuspielen.

  1. Das hybride Modell

Ein hybrider Ansatz kombiniert die Vorteile eines internen SOCs, einschließlich größerer Kontrolle und spezifischer Fachkenntnisse, mit dem technischen Fachwissen und der operativen Erfahrung eines externen Anbieters.

Ein hybrides SOC ermöglicht es dem Unternehmen, den Ressourcenpool eines externen Anbieters zu nutzen, um Lücken in der Personalausstattung oder in den Fähigkeiten zu schließen, während interne Fähigkeiten erhalten bleiben. Dieses Betriebsmodell wird zunehmend präferiert, insbesondere wenn es an Kapazitäten, Budget oder Ressourcen mangelt, um intern ein 24/7-SOC aufzubauen. Aufgrund der Möglichkeiten von bewährten Verfahren und gewonnenen Erkenntnissen des Anbieters zu profitieren, ist dieser Ansatz gut für Organisationen geeignet, die bei der Überwachung ihrer Systeme und Prozesse bei null anfangen. Einige Unternehmen ziehen es vor, mit einem Hybridmodell zu beginnen, um im Verlauf zu einem vollständig internen Modell überzugehen.

 

Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Enorme Chancen – und gewaltige Risiken: Die digitale Transformation eröffnet Unternehmen des Finanzsektors gänzlich neue Perspektiven, Möglichkeiten und Geschäftsmodelle. Doch sie birgt auch erhebliche Gefahren – in Form einer immer stärker werdenden Cyber-Kriminalität.

Dass die Bedrohung durch Cyber-Angriffe in den letzten Jahren deutlich zugenommen hat, belegen zahlreiche Analysen, Studien und Umfragen. So gaben beispielsweise 84 Prozent aller befragten Unternehmen in der Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“ an, dass sich 2023 die Bedrohungslage erneut verschärft hat. Als Gründe wurden insbesondere die zunehmende Digitalisierung von Prozessen, die steigende Professionalisierung von Hackerorganisationen und die veränderte geopolitische Lage genannt.

Thema vertiefen
Vaike Metzger Partnerin, Financial Services
Vaike Metzger

Gerade gelesen

SOC: Das richtige Betriebsmodell

Was für oder gegen die Beauftragung eines IT-Dienstleisters spricht

Weitere Artikel zum Thema

KI und IT-Sicherheit

Kontrollen müssen mit dem zunehmenden Einsatz von KI im Finanzunternehmen Schritt halten.

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

Lehren aus dem EZB-Cyber-Stresstest

Auch national beaufsichtigte Institute sollten sich auf Angriffs-Simulationen vorbereiten.

Cybersecurity: Schwachstellen managen

Generative KI ermöglicht neue Angriffsmethoden, aber auch verbesserte Abwehrmechanismen

FAQ zum Cyber-Stresstest der EZB

Viele Details sind noch offen – hier kommen die Einschätzungen unserer Expert:innen.

Der Cyber-Stresstest der EZB

Die Aufsicht testet die Banken auf Resilienz – zum ersten Mal in Sachen Cyberangriffe

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.