Ein SOC ist oft sinnvoll, doch die ökonomischen Herausforderungen werden häufig unterschätzt. Schnell stehen Unternehmen dann vor der Frage: Selbermachen oder Beauftragen.
Wenn sich große Unternehmen stärker gegen Cyber-Angriffe wappnen wollen, kommt schnell ein Security Operation Center (SOC) ins Gespräch. Dann muss abgewogen werden, ob die permanente Überwachung der IT-Sicherheit einem Dienstleister überlassen wird oder ob eine eigene Organisationseinheit aufgebaut werden soll. Doch ein eigenes SOC zu betreiben ist aufwendig, denn dieses arbeitet im Schichtbetrieb rund um die Uhr das ganze Jahr hindurch. „Das muss operativ und arbeitsrechtlich bedacht werden, schon deswegen macht man das oft in einer eigenen Abteilung“, erklärt Dirk Michael Ockel, Cyber-Security-Experte beim Bundesverband der IT-Anwender VOICE. „Deshalb sehen auch die Arbeitsverträge der SOC-Mitarbeiter gelegentlich anders aus, als die der anderen IT-Abteilungen“, führt er aus.
Personalbedarf nicht unterschätzen
Der Personalbedarf für das eigene SOC wird häufig unterschätzt. „Man benötigt unter Umständen fünf Mitarbeiter, um die Kapazität von einer Vollzeitstelle abzudecken, weil Urlaub, Schichtbetrieb und Krankheitstage berücksichtigt werden müssen“, erklärt Ockel. Mit einer Person alleine sei ein SOC-Betrieb jedoch nicht realisierbar, zwei Mitarbeiter seien das Minimum. Daraus resultieren häufig zehn Vollzeitstellen. „Für ein MDax-Konzern ist das nicht so ein großes Thema, die haben sowieso einen hohen Kapazitätsbedarf“, aber für den Mittelstand werde das schnell zu aufwendig. Das eigene SOC sei eher etwas für Konzerne und große Mittelständler, lautet Ockels Schlussfolgerung. „Erst wenn man eine kritische Masse an Incidents erreicht, kann man das selber machen“, ergänzt er.
Zusätzlich erschwert der Schichtbetrieb die Suche nach Spezialisten. Im Wettbewerb um IT-Sicherheitsfachkräfte haben mittelständische Unternehmen ohnehin schon oft das Nachsehen, erst recht an unattraktiven Standorten. Arbeitgeber schreckt hingegen eher die arbeitsrechtliche Komplexität, „viele Unternehmen sagen bei Mehrschichtbetrieb sofort: Aber nicht in Deutschland“, weiß Ockel. Schon deswegen nehme man gerne einen Dienstleister, weil es dann weniger eine Rolle spiele, in welchem Land der SOC-Betrieb angesiedelt ist. Außerdem kann ein Dienstleister Kapazitäten bündeln, denn er hat mehrere Kunden. Auch das Haftungsrisiko sei ein bedeutender Faktor, erklärt Ockel. „Jeder DAX-Vorstand ist sensibel beim Thema Haftung“, fügt er hinzu. Wird ein Dienstleister beauftragt, kann das Haftungsrisiko aber über entsprechend ausgearbeitete Verträge delegiert werden.
Die Suche nach dem geeigneten Anbieter
Mittelständische Unternehmen fragen deshalb verstärkt externe IT-Sicherheitsdienstleistungen nach. Doch einem externen Unternehmen Einblick in die internen Datenflüsse und Sicherheitsvorkehrungen zu geben, erfordert viel Vertrauen. Hingegen dauert es, ehe ein internes SOC effizient funktioniert. Zunächst braucht es eine beträchtliche Lernphase. Durch die begrenzte Anzahl von Experten im SOC ist das vorhandene Wissen limitiert, doch ständige Weiterbildung bindet die Fachkräfte zusätzlich. Dagegen profitiert ein internes SOC von Mitarbeitern, die mit dem Unternehmen bestens vertraut sind. Das erleichtert die Abläufe und erhöht die Transparenz der Prozesse. Außerdem müssen weder interne Daten nach außen gegeben noch Einblicke in Betriebsinterna ermöglicht werden.
Einen geeigneten Dienstleister zu finden ist allerdings auch nicht leicht, denn vorab müssen die passenden Auswahlkriterien festgelegt werden. „Es ist oftmals schwierig, herauszufinden, was der Dienstleister wirklich kann, was also seine Kernkompetenzen sind“, erklärt Ockel. Er empfiehlt, darauf zu schauen, in welchem Bereich ein Anbieter seine Wurzeln hat: „Ist er Software-Produzent, der ein Tool hat und nun eine Dienstleistung herum baut oder kommt er aus dem IT-Betrieb, hat vielleicht bisher Rechenzentrumsdienstleistungen angeboten und kennt den 24-Stunden-Betrieb“. Ockel geht dabei pragmatisch vor: „Wenn ich mit einem Anbieter spreche, frage ich, was er vor drei beziehungsweise fünf Jahren gemacht hat.“ Auch sollte ein Anbieter über Erfahrungen in der jeweiligen Branche verfügen, denn IT-Security ist branchenabhängig. Erst danach geht es um fachliche Details. Um solche und ähnliche Fragen zu diskutieren oder Best Practices zu vermitteln, hat Voice ein
Cyber Security Competence Center (CSCC) eingerichtet.