Die Gefahren der Cyberkriminalität wachsen immens und können für Unternehmen aller Branchen zu einer ernsthaften Bedrohung werden. Was vor ein paar Jahren noch sehr unwahrscheinlich klang – ein Angriff auf die eigene Firma – ist für viele Unternehmen zwischenzeitlich leider bittere Realität mit existenzbedrohenden Folgen geworden. Nicht nur Big Players sind von diesen dramatischen Entwicklungen betroffen, auch kleine und mittelständische Unternehmen mit einer meist unzureichenden IT-Sicherheit. Diese Unternehmen werden gerne als Einstiegspunkt zu grossen Unternehmen missbraucht: Angreifer attackieren gerne Lieferanten oder Dienstleister in der Hoffnung, einen idealen Zugang in das interne Netz von grossen Unternehmen zu finden.
Mit dem Technologiefortschritt entwickeln sich zudem die Art von Cyberangriffen und folglich auch die Cybersicherheitslösungen von Anbietern weiter. In einer Welt verwirrender Abkürzungen und Anglizismen wird es für die Verantwortlichen kleinerer Unternehmen immer schwieriger, die passenden Dienstleistungen von Cybersicherheitsdiensten für den eigenen Schutzbedarf zu identifizieren.
Was ist ein SOC?
Eine moderne IT-Infrastruktur setzt sich aus verschiedensten Sicherheitsaspekten zusammen, von denen Firewall und Virenschutz-Applikationen lediglich Teilkomponenten darstellen. Um die IT-Sicherheit und die damit verbundenen Ausfallraten im Unternehmen zu gewährleisten, bedarf es allerdings mehr: Neben dem Erkennen von Schwachstellen und Angriffen auf unternehmenseigene Daten gilt es vor allem, sich gut vorzubereiten und in einem Ernstfall rechtzeitig zu reagieren. Daher bildet in einer nachhaltigen und vollumfänglichen IT-Sicherheitsstrategie das Security Operations Center (kurz SOC) die ergänzende Komponente, wenn es um den Schutz vor Cyberangriffen geht.
Ein internes SOC, das mit modernsten Technologien und Tools ausgestattet und mit erfahrenen Cybersicherheitsexperten besetzt ist, die rund um die Uhr arbeiten, ist die umfassendste Möglichkeit, ein Unternehmen vor modernen Cybersicherheitsbedrohungen zu schützen. Leider können die meisten Unternehmen kein vollständiges internes SOC aufbauen, erwerben oder sich leisten. Da Cyberbedrohungen zunehmen und der Bedarf an Cybersicherheit in allen Branchen weiterwächst, wächst der damit verbundene Fachkräftemangel. Dies macht es allein schon schwierig, die benötigten Spezialisten für die Besetzung eines internen SOC zu finden. Darüber hinaus sind die Personalkosten, die ein Betrieb rund um die Uhr erfordert, für die meisten Unternehmen unerschwinglich. Für grosse Unternehmen ist ein 24/7-SOC daher ein wesentlicher Bestandteil einer effektiven Cybersicherheitsstrategie. Aus diesem Grund setzen immer mehr Unternehmen auf ausgelagerte Cybersicherheitslösungen.
Die Weiterentwicklung und das Verständnis von Software as a Service (SaaS) führte zur Einführung von Security Operations Center as a Service (SOCaaS); einem Konzept, das die Vorteile von SaaS in Form eines betrieblichen Sicherheitsmodells zusammenfasst. Die nachfolgende Abbildung der Google-Trendsuche visualisiert, wie das Thema SOCaaS in den letzten fünf Jahren an Popularität gewonnen hat. Dieser neue Ansatz bietet fortschrittliche Verbesserungen sowohl aus Sicherheits- als auch aus Unternehmenssicht.
Das Thema SOCaaS hat vor allem in den letzten fünf Jahren an Popularität gewonnen, wie die Google-Trendsuche von 2004 bis heute für den Begriff SOC as a Service zeigt. (Quelle: Aveniq/Google Trends)
SOC as a Service (SOCaaS)
SOC as a Service, auch bekannt als verwaltetes SOC oder auf Englisch als Managed SOC, ermöglicht es Unternehmen, Aktivitäten zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle an einen Drittanbieter auszulagern. Die Idee eines verwalteten SOC besteht darin, dieselben Funktionen eines internen SOC als abonnementbasierten Cloud-Service bereitzustellen. Auf diese Weise können Unternehmen Sicherheitsereignisse in der gesamten IT-Umgebung überwachen, Bedrohungen identifizieren und darauf reagieren, ohne ein internes Team mit der Bearbeitung von Vorfällen zu beschäftigen.
SOC-as-a-Service-Anbieter stellen den Unternehmen ein Team von Cybersicherheitsexperten zur Verfügung, die auf die Überwachung, Erkennung und Untersuchung von Bedrohungen spezialisiert sind. Dasselbe Team kümmert sich in Abstimmung mit den internen IT- oder Sicherheitsteams, die durch den Service keinesfalls ersetzt werden, um die Reaktion und Abwehr erkannter Bedrohungen. Unternehmen können SOC as a Service relativ rasch und mit überschaubaren Umstellungskosten nutzen und profitieren zugleich vom situativ benötigten skalierbaren Einsatz der Fachexperten.
Ein verwaltetes SOC kann prinzipiell alle sichtbaren Anwendungen, Prozesse, Geräte und Systeme schützen. Das Ziel besteht darin, vollständige Transparenz und Kontrolle über die gesamte Bedrohungslandschaft, die Cloud-Anwendungen, die verschiedenen Endpunkte, die lokalen Server und die Software sowie über Drittanbieterdienste zu erlangen. Dieses Mass an Transparenz ermöglicht es, das gesamte Ökosystem vor Cyberangriffen zu schützen.
Wenn es um Fragen im Zusammenhang mit der Cybersicherheit geht, können die Entscheidungen für Firmen grosse und langanhaltende Auswirkungen haben. Für CISOs ist die Entwicklung eines SOC eine dieser Herausforderungen. Soll ein SOC selbst aufgebaut, eingekauft oder eine Partnerschaft mit einem Service-Anbieter eingegangen werden? Die Entscheidung hierzu ist von vielen Faktoren abhängig und muss immer individuell getroffen werden.
Vorteile eines SOC as a Service
Mit dem SOC-as-a-Service-Modell übergibt ein Unternehmen die Sicherheitsaufgaben an ein Team von externen Spezialisten. Diese Arten von verwalteten SOC-Diensten bieten einem Unternehmen eine Reihe von Vorteilen:
- Sicherheitsexpertise auf Abruf: Der anhaltende Fachkräftemangel im Bereich Cybersicherheit stellt viele Unternehmen vor die Herausforderung, qualifiziertes Sicherheitspersonal zu gewinnen und dieses auch halten zu können. Die Partnerschaft mit einem Managed-SOC-Anbieter ermöglicht den Unternehmen ihr bestehendes Sicherheitsteam zu ergänzen und Lücken zu füllen. So auch, wenn es um den regelmässigen Zugriff auf spezialisierte Sicherheitsexperten geht, wie zum Beispiel Spezialisten in der Vorfalls-Reaktion, Malware-Analysten und Cloud-Sicherheitsarchitekten. Diese Fähigkeiten werden nur selten von internen Mitarbeitenden beherrscht. Ein SOC-as-a-Service-Anbieter kann den Kunden auf Abruf Zugang zu genau solchen qualifizierten Cybersicherheitsspezialisten bieten.
- Tiefere Kosten: Die Bereitstellung, Wartung und der Betrieb eines vollständigen SOC im eigenen Unternehmen kann hohe Kosten mit sich bringen. Mit einem verwalteten SOC werden die Kosten für Ausrüstung, Lizenzen und Personal mit anderen Kunden des Anbieters geteilt. Dies reduziert sowohl die Kapital- als auch die Betriebsausgaben für die Gewährleistung einer intakten Cybersicherheit.
- Erhöhte Sicherheitsreife: Das Erreichen eines ausgereiften Cybersicherheitsprogramms durch den Aufbau von intern betriebenen SOCs und das Erlangen des dazu nötigen spezialisierten Fachwissens ist ein langwieriger Prozess. Die Partnerschaft mit einem SOC-as-a-Service-Anbieter kann dazu beitragen, diesen Prozess zu verkürzen, indem für eine Organisation der Zugriff auf den vorhandenen Lösungs-Stack und die Sicherheitsexperten sichergestellt wird.
- Up-to-Date-Sicherheit: Mit dem begrenzten IT- und Sicherheitsbudget eines Unternehmens kann es herausfordernd sein, mit den neuesten SOC-Tools und SOC-Funktionen auf dem Laufenden zu bleiben. Ein Managed-SOC-Anbieter verfügt jedoch über die erforderliche Grösse, um sein Toolset auf dem neuesten Stand zu halten und bietet somit seinen Kunden die Vorteile neuester Schutzmassnahmen.
Kostenübersicht traditionelles SOC vs. as a Service (Quelle: Aveniq)
Herausforderungen eines SOC as a Service
Trotz der vielen Vorteile eines SOC-as-a-Service-Modells ist die Auslagerung von Sicherheit nicht immer einfach. Zu den häufigsten Herausforderungen gehören:
- Onboarding-Prozess: SOC-as-a-Service-Anbieter haben in der Regel ihren eigenen Sicherheits-Stack den sie verwenden, und diese Lösungen müssen in der Umgebung eines Kunden bereitgestellt und konfiguriert werden, bevor der Service überhaupt in Anspruch genommen werden kann. Dieser Onboarding-Prozess kann zeitaufwändig sein und ein Unternehmen während der Übergangsphase vulnerabel für Cyber-Attacken machen. Zudem müssen die Prozesse und Kommunikationswege zwischen dem Unternehmen und dem Anbieter aufeinander abgestimmt werden.
- Unternehmensdatensicherheit: Der SOCaaS-Anbieter erhält zwangsläufig einen tiefen Einblick in die Infrastruktur und die Daten des Kunden, um potenzielle Bedrohungen zu identifizieren und darauf zu reagieren. Um diese Erkenntnisse zu erlangen, muss das Unternehmen eine grosse Transparenz sicherstellen. Diese Notwendigkeit, die Kontrolle über eine grosse Menge potenziell sensibler Informationen zu übergeben, kann die Datensicherheit und das Risikomanagement von Unternehmen vor grössere Herausforderungen stellen.
- Regulatorische Anforderungen: Die Rechtslage wird zunehmend komplexer und Unternehmen müssen Sicherheitskontrollen und -richtlinien einführen, um die Einhaltung von Vorschriften zu erreichen und nachzuweisen. Während ein Anbieter eines verwalteten SOCs Unterstützung bei der Einhaltung gesetzlicher Vorschriften bieten kann, könnte die Nutzung eines Drittanbieters gleichzeitig die Einhaltung gesetzlicher Vorschriften erschweren. Von Seiten Kunde erfordert dies hohes Vertrauen in den Dienstanbieter, um die Compliance-bezogenen Pflichten zu erfüllen.
Den richtigen Anbieter finden
Zwei der am häufigsten beworbenen Cybersicherheitsangebote sind MDR (Managed Detection and Response) und MSSP (Managed Security Service Provider). Sie werden häufig verwechselt und manchmal synonym verwendet. Es gibt jedoch erhebliche Unterschiede zwischen den beiden, und die Wahl des richtigen Angebotes kann den Unterschied zwischen der Vorbereitung auf einen Cyberangriff und dessen Bekämpfung ausmachen.
MDR vs. MSSP
MSSP-Dienste und MDR-Dienste bieten beide verwaltete Dienste an, die von Tools und Technologien abhängen, die vom Anbieter bereitgestellt werden und gegen eine monatliche Gebühr erhältlich sind. Beide Lösungen bieten erhebliche Vorteile hinsichtlich der Verbesserung der Sicherheit und der Senkung der Sicherheitskosten, während sie gleichzeitig den Fachkräftemangel in der Branche angehen. Die wesentlichen Merkmale respektive Unterscheide von MSSP und MDR sind:
- Time to Value: MDR ist eine schlüsselfertige Lösung, die einen Technologie-Stack verwendet, um einen vollständigen Einblick in das gesamte Netzwerk für die Erkennung von Bedrohungen, automatisierte Reaktionen zur Reduzierung der Verweildauer und eine 24/7-Überwachung und Korrespondenz mit einem Remote SOC zu bieten. MSSP-Dienste bestehen normalerweise aus einer Sammlung einzelner Tools oder Technologien, die darauf ausgelegt sind, auf ein bestimmtes Reaktionselement abzuzielen. Diese Tools müssen häufig vom internen Sicherheitsteam optimiert werden.
- Benachrichtigungsstil: MSSP ist reaktiv, während MDR proaktiv ist. Da MSSP-Dienste weitgehend automatisiert sind, bestehen die gelieferten Benachrichtigungen aus Warnungen, die auftreten, nachdem eine Aktion stattgefunden hat. MDR basiert auf Reaktionen und nutzt automatisierte Tools, um eine aktive Reaktion (von Warnungen bis zum Herunterfahren eines kompromittierten Abschnitts des Netzwerks) in Bezug auf bestimmte Bedrohungen bereitzustellen.
- Automatisierung vs. menschliches Eingreifen: Herkömmliche MSSPs sind so konzipiert, dass sie automatisch Warnungen an bestimmte Sicherheitsmitarbeitende senden. MDR-Dienste werden von erfahrenen Fachspezialisten verwaltet, die Daten analysieren und spezifische Anweisungen zum weiteren Vorgehen geben.
- Grad der Beteiligung: Eine hochwertige MDR-Lösung umfasst eine 24/7-Überwachung durch ein Team von Cybersicherheitsexperten, die sich mit der Kundenumgebung vertraut machen, um Anleitungen, Feedback und Anweisungen zu geben, wie sich das Unternehmen im Bereich Cybersicherheit verbessern kann. Dem gegenüber werden MSSP-Dienste zwar von Fachleuten verwaltet, ein Grossteil der Überwachung ist aber automatisiert. Dies hat zur Konsequenz, dass das interne Sicherheitsteam während des gesamten Einsatzes von Cybersicherheitstools und noch mehr bei der Reaktion auf Vorfälle aktiver involviert und fachlich kompetent sein muss.
Der Autor
Meti Rudaj arbeitet als Senior Strategic Consultant bei
Aveniq. Er hat langjährige Erfahrung als Lead Auditor bei ISO 27001/9001/22301/3100 Vorhaben im In- und Ausland. Er ist erprobter Fachexperte in den Themen Compliance und Risk Management. Aveniq ist eine IT-Dienstleisterin für Schweizer Mittelstandsunternehmen und eines der wenigen Schweizer Unternehmen mit dem Zertifikat «Business Continuity Management nach ISO 22301». Die Security-Berater von Aveniq verfügen über umfassendes Know-how und Erfahrung in sämtlichen Themen rund um Informationssicherheit und Datenschutz.
Meti Rudaj, Senior Strategic Consultant, Aveniq (Quelle: Aveniq)
