Das Security Operations Center als Cockpit und Steuerungszentrale

SOC: Cockpit und Steuerungszentrale

Der Aufbau eines SOC in vier Schritten

Keyfacts:

  • Als Unternehmen der Kritischen Infrastruktur brauchen Finanzdienstleister ein Security Operations Center (SOC).
  • Die meisten Unternehmen der Branche stecken derzeit in der Entwicklung.
  • So gelingt der Aufbau eines SOC in vier Schritten.

    Obwohl jedes Flugzeug alleine fliegen kann, haben wir in Deutschland eine Flugsicherung, bei der Fluglotsen in der Kontrollzentrale rund um die Uhr den Flugverkehr überwachen und den reibungslosen Ablauf sicherstellen. Eine solche Kontroll- und Steuerungszentrale ist mit Blick auf Cyberrisiken ein Security Operations Center (SOC). Hier überwachen Security-Spezialist:innen die gesamte IT-Landschaft eines Unternehmens 24/7, indem sie unterschiedliche Events und Protokolldaten aus Logquellen heranziehen.

    Die Protokolldaten werden im Security Information and Event Management (SIEM) oder Extended Detection and Response (XDR) Tool korreliert und alarmieren bei Auffälligkeiten. Durch automatisierte Runbooks werden bei einem Sicherheits-Vorfall (Incident Response) die ersten Maßnahmen eingeleitet und parallel dazu die hochgradig spezialisierten Analyst:innen aktiv. Über diese Kernkompetenz hinaus kann das SOC-Team noch weitere Aufgaben übernehmen, zum Beispiel das Schwachstellen-Management, um durchgehend über die eigene Vulnerabilität im Bilde zu sein und eine entsprechende Überwachungsstrategie auszuarbeiten.

    Warum Finanzunternehmen ein SOC brauchen

    Mit einer solch leistungsfähigen One-Stop-Shop-Lösung verändern Unternehmen ihre Position im Kampf gegen Cyberangriffe: Sie entwickeln sich zu einem proaktiven Akteur, der Cyberrisiken frühzeitig erkennt, seine Schutzmechanismen kontinuierlich daraufhin anpasst und so die Häufigkeit von Sicherheits-Vorfällen reduziert.

    Mit der Veröffentlichung der letzten BAIT-Novelle (August 2021) wurden mit dem neuen Kapitel der Operativen Informationssicherheit konkrete Anforderungen an ein SOC/SIEM gestellt. Zwar schreibt die BaFin nicht vor, wie Finanzdienstleister die Überwachung und fortlaufende Optimierung ihrer IT-Systeme und -Prozesse praktisch umzusetzen haben, allerdings bietet ein SOC hierfür die optimale Lösung. Dass die meisten Finanzunternehmen das ebenso sehen, zeigt eine aktuelle KPMG-Studie: 14 Prozent der Unternehmen aus der Finanz- und Versicherungsbranche betreiben ein SOC, während weitere 45 Prozent gerade in der Einführung sind und 28 Prozent eine solche planen. Lediglich 13 Prozent planen kein SOC.

    Infografik
    Quelle: Lünendonk, 2022

    Wie der Aufbau eines SOCs gelingt

    Die Einführung eines SOCs ist eine Business-Entscheidung. Sie sollte von allen Entscheidungsträgern in der Organisation unterstützt sowie sorgfältig geplant werden. Folgende vier Phasen haben sich in der Praxis bewährt:

    1. SOC-Programm starten: Die Projektverantwortlichen holen die wichtigsten Stakeholder ins Boot, definieren strategische Ziele und Erwartungen an das SOC und klären Ansprechpartner aus den Unternehmensbereichen sowie Finanzierung.
    2. Anforderungen definieren: Abgeleitet von den Ergebnissen der ersten Phase definieren die Projektverantwortlichen funktionale und nicht-funktionale Anforderungen sowie Anforderungen von Risk & Compliance oder Governance an das SOC.
    3. SOC designen: Die Verantwortlichen priorisieren die einzelnen Anforderungen und wandeln diese in konkrete Prozesse und Tools um. Das heißt: Sie erheben Capabilities, legen Use Cases fest, definieren Rahmenbedingungen fürs Reporting und entscheiden sich für das SOC-Betriebsmodell.
    4. SOC einführen: Es sollte ein Proof of Concept erfolgen, um die Praktikabilität des Vorhabens zu verifizieren. Die praktische Umsetzung (bei internem Betrieb) bzw. Transition (bei Beauftragung eines Providers) läutet das Ende der SOC-Einführung ein und markiert gleichzeitig den Beginn eines kontinuierlichen Verbesserungsprozesses (KVP).

    Wie die Ausführung eines SOCs erfolgen kann

    Wie Unternehmen ein SOC operativ durchführen, hängt unter anderem vom Status Quo der IT-Infrastruktur, der Qualifikation sowie verfügbaren Ressourcen der Mitarbeitenden und der Unternehmensgröße ab. Oftmals können Unternehmen mit zunehmender Größe auch mehr Aufgaben eines SOC selbst übernehmen. Insgesamt haben sie drei Möglichkeiten:

    1. Intern: Sie übernehmen die 24/7-Überwachung ihrer Systeme und Prozesse vollständig selbst.
    2. Extern: Sie beauftragen einen externen Provider.
    3. Hybrid: Sie teilen sich die Rund-um-die-Uhr-Überwachung mit einem Provider — zum Beispiel indem das Unternehmen dies während den Geschäftszeiten und der Provider außerhalb der Geschäftszeiten übernimmt.

    Laut einer Befragung betreiben 38 Prozent ihr SOC über einen Provider, und je 31 Prozent haben sich für eine Inhouse- oder hybride Lösung entschieden.

    Wie die Finanzunternehmen das SOC letztlich ausführen, ist zweitrangig. Entscheidend ist, dass sie sich mit einer leistungsfähigen Steuerungszentrale dafür entscheiden, ihr Institut zukunftsfähig aufzustellen und bestmöglich gegen Cyberrisiken zu schützen.

    Lesen Sie hier, wie Automatisierung die steigenden Anforderungen an das SOC bewältigen kann.