Christoph Schulze und seine Kolleginnen und Kollegen überwachen die IT-Systeme von Unternehmen und stellen sicher, dass Vorfälle entdeckt und analysiert werden und im Ernstfall die passende Reaktion darauf erfolgt. Christoph ist seit 2022 beim Bochumer Cyber-Defense-Spezialist tätig.
Was genau versteht man unter Managed SOC?
Christoph: SOC steht für Security Operations Center. Als zentrale Einheit überwacht ein Team die IT-Infrastruktur eines Unternehmens, von Servern bis hin zu PCs – und das 24 Stunden täglich und sieben Tage in der Woche. Es gibt allerdings auch SOCs, die nur innerhalb der Firmengeschäftszeiten aktiv sind– je nachdem, was genau die Anforderungen sind. Im Security Operations Center gehen alle möglichen Arten von Meldungen zentral ein, die analysiert, eingeschätzt und bewertet werden müssen. Das Ziel besteht darin, Angriffe frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten, um diese zu beenden. Gegebenenfalls gibt es auch Handlungsbedarf, um zum Beispiel einen Vorgang zu stoppen.
Bei einem SOC kann es auch sein, dass das Team testet, wie gut die eigene Infrastruktur vor Angriffen geschützt ist. Dabei geht es um das Aufspüren von Schwachstellen und darum, vorbeugend zu agieren – also nicht erst zu warten, dass etwas passiert. IT-Verantwortliche können ein SOC intern im Unternehmen aufbauen, wenn die fachliche Expertise vorhanden ist und sich genug Leute finden, um dies zu leisten. Zeit und Geld spielen dabei natürlich auch eine Rolle. Alternativ können Unternehmen SOC auch in der Managed-Variante betrieben. Ein Anbieter übernimmt dann die Aufgaben.
Was sind die Vorteile eines SOCs – auch in der gemanagten Variante?
Christoph: IT-Verantwortliche in Unternehmen wissen durch den Einsatz eines SOCs genau, was in ihrem Netzwerk passiert – auf den Servern und den Endpoints. So lassen sich Unregelmäßigkeiten entdecken und geeignete Gegenmaßnahmen einleiten. Es kann zum Beispiel passieren, dass sich ein Angreifer in die IT-Infrastruktur eingeschlichen hat und von einem PC aus werden Befehle ausführt, die nicht normal sind. Natürlich kann das legitim sein, wenn es sich beispielsweise um einen IT-Mitarbeiter handelt, der dies machen soll. Diese Fälle sind aber die Ausnahme. Bewegt sich ein Krimineller im Netzwerk, muss eine Reaktion schnellstmöglich erfolgen, um nicht die komplette IT-Infrastruktur und damit alle Server und Rechner zu gefährden.
Firmen, die ein SOC selbst managen möchten, brauchen Mitarbeitende, die diese Aufgabe übernehmen und über das nötige Fachwissen verfügen. Alternativ müssen neue Expertinnen und Experten dafür eingestellt werden. Allerdings sind diese durch den Fachkräftemangel nur schwer zu finden. Klar kann man sagen „Hey IT-Abteilung, Ihr kümmert Euch ab sofort auch um unsere IT-Sicherheit. Ihr seid jetzt nicht nur IT, sondern jetzt auch unser SOC und wir erwarten, dass ihr euch perfekt mit allen sicherheitsrelevanten Dingen in unserem Netzwerk auskennt.” Das klappt natürlich nicht. Die Mitarbeitenden haben das nicht gelernt und andere Aufgaben, die sie bereits voll auslasten. Daher ist klar: Wer selbst ein SOC aufbauen und betreiben möchte, braucht zwingend die fachliche Expertise und Fachkräfte in ausreichender Anzahl. Ist dies nicht möglich, bietet es sich an, einen externen Dienstleister zu beauftragen. Dieser stellt ein Team, das sich mit IT-Sicherheit auskennt und immer auf dem aktuellen Stand in Hinblick auf Angriffsstrategien ist. Die Mitarbeitenden des Anbieters lernen dann, wie das Netzwerk intern läuft, was für Vorgänge erlaubt sind und welche nicht.
Während Angriffe früher insbesondere auf Schadprogrammen basierten, werden heute auch normale Windows-Funktionen ausgenutzt, um Systeme zu infiltrieren und Daten abzuleiten. Das fällt nur auf, wenn Fachleute sich die Logs anschauen und sich ein Bild darüber machen, was im Unternehmen passiert und im Ernstfall auch eingreifen.
Für welche Unternehmen ist ein SOC gut geeignet?
Christoph: SOC ist auf jeden Fall für gut geeignet für Firmen, die hohen Compliance-Anforderungen entsprechen müssen, zum Beispiel NIS-2 oder der Cyber Resilience Act. Je nachdem, welche Regularien die Unternehmen befolgen müssen, sind weitgehende Sicherheitsmaßnahmen und auch Meldepflichten vorgeschrieben. Bei NIS-2 kommen unter anderem die Erkennung, Analyse, Eindämmung und Reaktion auf Vorfälle dazu.
Generell ist ein SOC eine gute Lösung für alle Unternehmen, die einem hohen Cyberrisiko ausgesetzt sind und das unabhängig von der Branche und der Größe. Das bedeutet, dass die Gefahr eines erfolgreichen Angriffs sehr hoch ist. Interessant ist der Einsatz von SOC aber auch, wenn ein Unternehmen eine komplexe IT-Infrastruktur hat, die nur schwer zu überblicken ist. Natürlich macht ein SOC in einem sehr kleinen Unternehmen mit vielleicht vier Angestellten, die sich einen Rechner teilen, nicht viel Sinn. Es sollte eine IT-Infrastruktur mit einer Netzwerkstruktur dahinterstecken, bei der sich eine Überwachung lohnt. Das kann auch schon bei einem kleineren Mittelständler der Fall sein.
Könnten Unternehmen eine Managed-Komponente nicht einfach einsparen?
Christoph: Wenn es genug Fachkräfte in der Firma gibt, dann ist es vollkommen in Ordnung, SOC selbst zu managen. Es geht allerdings nicht nur darum, sich anzuschauen, was im Netzwerk passiert – so wie wir das bei G DATA CyberDefense jeden Tag bei unseren Kunden machen. Es geht auch darum zu wissen, welche Prozesse normal für das Unternehmen sind und welche nicht. Das beschleunigt die Einschätzung, ob ein Vorgang schädlich ist oder nicht. Was sind die Standardprozesse im Netzwerk und damit legitim und was nicht? Jeden Tag können sehr viele Meldungen auftreten, die alle im SOC landen. Wenn ein Unternehmen die zahlreichen Meldungen nicht selbst bewältigen kann, sollte es einen Dienstleister mit dieser Aufgabe betrauen. Das Problem lässt sich nicht einfach immer durch mehr Personal lösen, das sich die Daten anschaut. Zudem muss man dieses auch erst einmal finden und sie müssen zwingend über das nötige Fachwissen verfügen.
Es ist entscheidend, dass ein SOC gut gemanagt ist und ausreichend Zeit und auch Expertise einfließt. Der Fokus muss hier auf den wichtigen sicherheitsrelevanten Aspekten liegen. Dazu ist es notwendig, permanent daran zu arbeiten. Viele Firmen können das oft nicht selbst stemmen. Häufig verfügen diese noch nicht einmal über eine eigene IT-Abteilung. SOC-Expertinnen und Experten sind spezialisiert und agieren im Ernstfall viel schneller. Denn sie wissen, was zu tun ist. Das ist ihr Job. Im schlimmsten Fall bleiben die Informationen bei einem selbstgemanagten SOC ungelesen und ungenutzt und das macht überhaupt keinen Sinn. Ein SOC lohnt sich nur, wenn die Daten angeschaut und analysiert werden.
Wohin werden sich deiner Meinung nach SOC entwickeln und spielt KI in diesem Bereich eine wichtige Rolle?
Christoph: Es ist Fakt, dass die zu analysierenden Daten nicht weniger werden, sondern im Gegenteil die Menge immer weiter anwächst. Hier kommt Künstliche Intelligenz ins Spiel. KI wird immer leistungsfähiger und ist in der Lage, viele Informationen zu verarbeiten. Das schafft kein Analystenteam in der gleichen Zeit. In der Datenanalyse ist Künstliche Intelligenz also schon jetzt nicht mehr wegzudenken und in Zukunft wird sie für uns immer wichtiger. Sie kann schneller als ein Mensch einschätzen, wo Unregelmäßigkeiten bestehen. Expertinnen und Experten müssten dafür erst einmal viele Logs und Daten sichten, um zu einem Ergebnis zu kommen. Die Prozesse werden enorm beschleunigt. Trotz aller KI-Vorteile macht es aber Sinn, sich nicht vollständig darauf zu verlassen. Bei Bedarf sollten weiterhin manuelle Analysen durchgeführt werden, weil auch Fehler passieren können. Trotzdem wird SOC immer mehr auf KI zurückgreifen, um noch effektiver zu arbeiten.
G DATA CyberDefense bietet mit G DATA 365 | MXDR ein Managed SOC an.
