Security Operation Center: Gebündelte Power, aber richtig

Die Einrichtung eines Security Operation Centers erfordert eine Menge Planung, damit die Spezialisten anschließend nicht mit Routineaufgaben überlastet werden. Häufig gehen Unternehmen daher einen anderen Weg.

Jedes größere Unternehmen sieht sich mit einer ständig steigenden Zahl von Cyber-Attacken konfrontiert. Beispielsweise sehen die Sicherheitsspezialisten der Deutschen Telekom auf ihren Honeypots täglich sechs Millionen Angriffe. Um der Bedrohung zu begegnen, richten Konzerne häufig ein Security Operation Center (SOC) ein. Die Bündelung von Ressourcen wie Sicherheitsspezialisten und Software-Tools an einem zentralen Ort soll Teilbereiche entlasten und die Abwehrfähigkeit stärken. In einem SOC wird im Schichtbetrieb gearbeitet, rund um die Uhr das ganze Jahr durch. Die Zentralisierung von Fachkräften, die mit entsprechenden Befugnissen ausgestattet sein müssen, soll zeitintensive Abstimmungsprobleme vermeiden und schnelles Handeln erlauben. Elementares Tool dieser Einrichtungen ist das SIEM, ein Software-System für Security Information und Event Management. Sensoren analysieren Ereignisse aus Anwendungen und Netzwerkkomponenten. Je intelligenter das SIEM arbeitet, desto effizienter kann das SOC funktionieren.

Die Aufgaben eines SOC bestehen in der Prävention, Monitoring und Detektion sicherheitssensibler Ereignisse sowie unmittelbarer Reaktion darauf. Zu den Tätigkeiten zählen die kontinuierliche Überwachung der Firewall, des IDS und der Endpoint-Schutzsysteme. Zusätzlich sollten Security Updates der Hersteller umgesetzt werden und Sicherheitswarnungen von Einrichtungen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) berücksichtigt werden. Zudem muss sich das Personal permanent fortbilden, denn die Angriffstechniken entwickeln sich ständig weiter.

Unklare Aufgabenteilung

Doch was gehört ins SOC und was in die Security-Abteilung? Die Abgrenzung der Aufgaben und Funktionen ist nicht einfach. Operative Verwaltungsprozesse oder die Entwicklung von Sicherheitsstrategien gelten nicht als originäre Aufgaben eines SOC, sie werden typischerweise von den Mitarbeitern der IT-Security wahrgenommen. Hingegen wird das Personal im SOC gewöhnlich unterteilt in Analysten, die rund um die Uhr Datenströme analysieren und in Spezialisten, die gezielt verdächtigen Vorfällen nachgehen und Forensik betreiben, um sie gegebenenfalls aufzuklären. Während das Personal der ersten Ebene gewöhnlich im Schichtbetrieb arbeitet, sind die der zweiten Ebene ausgewiesene Experten mit normalen Bürozeiten.

Wenn Unternehmen ein SOC aufbauen, versuchen sie häufig, die ganze Security-Abteilung dort hineinzupacken. Damit ist das SOC für alles zuständig, was IT-Sicherheit betrifft. Es existieren keine abgegrenzten Aufgaben und Zuständigkeiten. Doch das stellt sich meist als großer Fehler heraus, denn das SOC wird nun mit Routineaufgaben überfrachtet und hat kaum noch Zeit, Angriffe zu erkennen und abzuwehren. Das IT-Security-Team ist jedoch eher als eine gewöhnliche Abteilung, eine Linienorganisation organisiert, während das SOC hingegen mit einer Stabsstelle vergleichbar ist. Ein SOC muss in der Hierarchie so verortet sein, dass es über entsprechende Mandate und Vollmachten verfügt, um in kritischen Situationen schnell in Arbeits- und Produktionsabläufe eingreifen zu können.

Der Aufwand für eine solche Einrichtung ist also beträchtlich, viele Unternehmen greifen daher lieber auf externe Dienstleister zurück. Doch dadurch entstehen auch Einblicke in kritische interne Abläufe. Die Verwaltung der Sicherheit des eigenen Firmennetzwerks einer Fremdfirma anzuvertrauen, erfordert viel Vertrauen und entsprechend gestaltete Verträge.