CyberInsights
Der Blog rund um
Ihre Datensicherheit

SOC-as-a-Service: 360°-Schutz für alle Unternehmensgrößen

SOC-as-a-Service: 360°-Schutz für alle Unternehmensgrößen

Ein Security Operation Center (SOC) ist der Ausgangspunkt für jedes seriöse IT-Sicherheitskonzept. Der Haken: Gerade für kleine und mittelständische Unternehmen scheint der Betrieb eines SOC oft zu teuer und ressourcenlastig. Die DGC-Experten Walter Bühner und Justus Wagenfeldt zeigen, warum auch kleinere Unternehmen über SOC-as-a-Service (SOCaaS) vom umfassenden Schutz einer eigenen Sicherheitszentrale profitieren können.

Die IT eines Unternehmens wächst oft schneller als das dazugehörige Sicherheitskonzept. Das hängt vor allem damit zusammen, dass dem Thema Cybersicherheit in vielen Unternehmen immer noch ein zu geringer Stellenwert eingeräumt wird. Neben einem entsprechenden Problembewusstsein mangelt es allerdings häufig auch am erforderlichen Budget für eine eigene IT-Security-Abteilung.

Gerade in kleinen und mittelständischen Unternehmen wird IT-Sicherheit oft als Kostenfaktor gesehen, den man einsparen kann. Vielen Entscheidern ist nicht klar, dass es sich bei Cyberattacken inzwischen um ein flächendeckendes Phänomen handelt. Doch das Bewusstsein dafür wächst. Immer öfter berichten Medien von Hackerangriff auf große Unternehmen, etwa auf MediaMarktSaturn im vergangenen Herbst.

Tatsächlich betreffen Cyberattacken heute praktisch jeden. Laut einer Bitkom-Studie waren zuletzt 88 Prozent der deutschen Unternehmen von Datenklau, Spionage oder Sabotage betroffen. Aufgrund des hohen Risikos kommen inzwischen vermehrt Standards für Informationssicherheit (z. B. ISO 27001) zum Einsatz. Die Basis für deren Umsetzung bildet eine leistungsfähige Sicherheitszentrale: das Security Operation Center (SOC).

Was ist ein Security Operation Center (SOC)?

Ein Security Operation Center fungiert als IT-Sicherheitsleitstelle für Unternehmen und Organisationen. Das SOC entscheidet, welche Sicherheitstechnologien für das vorhandene IT-Ökosystem angemessen sind, sorgt für deren Betrieb und Wartung und analysiert kontinuierlich Bedrohungsdaten, um das höchstmögliche Sicherheitsniveau zu garantieren. Dazu überwacht das SOC alle sicherheitsrelevanten Systeme wie Anwendungen, Unternehmensnetzwerke, Server, Arbeitsplatzrechner oder Internetservices. Grundsätzlich haben Unternehmen die Wahl, ein eigenes SOC aufzubauen und zu betreiben oder per SOCaaS von einer entsprechenden Dienstleistung Gebrauch zu machen.

In der Praxis kann man sich ein SOC als Sicherheitszentrum vorstellen, in dem IT-Experten die Informationen über den aktuellen Zustand der IT, die Bedrohungslage und eventuell erforderliche Maßnahmen im Blick behalten.

So sorgt ein SOC für Sicherheit

Generell lassen sich die Tätigkeiten und Verantwortlichkeiten eines SOC grob in die Kategorien Prävention, Überwachung und Wiederherstellung einteilen.

Prävention

Ein SOC ist umfassend über alle zu schützenden Objekte innerhalb und außerhalb einer IT-Infrastruktur (Anwendungen, Datenbanken, Server, Cloud-Dienste, Endpunkte usw.) informiert und bringt auf dieser Basis die passenden T-Sicherheitstools (Firewalls, Antiviren-/Anti-Malware-/Anti-Ransomware-Tools, Überwachungssoftware usw.) in Stellung.

Um die Wirksamkeit der vorhandenen Sicherheitstools und -maßnahmen zu maximieren, führt das SOC vorbeugende Wartungsmaßnahmen durch. Dazu zählen zum Beispiel die Durchführung von Software-Upgrades und die kontinuierliche Aktualisierung von Firewalls, White- und Blacklists sowie Sicherheitsrichtlinien.

Außerdem ist das SOC für die Ausarbeitung eines Vorfallreaktionsplans für den Fall einer Cyberattacke verantwortlich. Mithilfe von Penetrationstests prüft das SOC-Team die Infrastruktur regelmäßig auf Schwachstellen. Auf Basis dieser Ergebnisse kann das SOC das Sicherheitsniveau durch geeignete Maßnahmen weiter optimieren.

Überwachung

Das SOC überwacht ununterbrochen Anwendungen, Server, Systemsoftware, Geräte, Cloud-Workloads sowie Netzwerke und ist in der Lage, sofort auf Angriffe und verdächtige Aktivitäten zu reagieren. In vielen Security Operation Centern kommt dabei eine KI-basierte Technologie namens Security Information and Event Management (SIEM) zum Einsatz. SIEM sammelt in Echtzeit Warnmeldungen und Telemetriedaten aus Software und Hardware im Netzwerk, um Anomalien und potenzielle Bedrohungen zu erkennen.

Viele Hacker nutzen die Tatsache, dass Unternehmen Protokolldaten nicht konsequent analysieren. Das führt häufig dazu, dass Viren und Malware oft wochen- oder gar monatelang unentdeckt bleiben. Die Protokollverwaltung – also das Sammeln und Analysieren von Protokolldaten, die von jedem Netzwerkereignis generiert werden – ist ein wichtiger Teilbereich der Überwachung und Bestandteil von SIEM.

Wiederherstellung

Im Falle einer erfolgten Cyberattacke beseitigt das Security Operation Center die Bedrohung und versetzt die betroffenen Ressourcen in den Zustand zurück, in dem diese sich vor dem Vorfall befunden haben. Im Falle einer Datenpanne oder eines Ransomware-Angriffs kann die Wiederherstellung auch das Umschalten auf Backup-Systeme sowie das Zurücksetzen von Passwörtern und Authentifizierungsdaten umfassen. Um eine Wiederholung zu verhindern, nutzt das SOC die Erkenntnisse aus dem Vorfall, um Schwachstellen besser zu beheben, Prozesse und Richtlinien zu aktualisieren, neue Sicherheitstools einzuführen oder den Reaktionsplan zu überarbeiten.

Das SOC muss sicherstellen, dass alle Anwendungen, Systeme sowie Sicherheitstools und -prozesse geltenden Datenschutzbestimmungen wie der Datenschutzgrundverordnung (DSGVO) entsprechen. Nach einem Vorfall stellt das SOC sicher, dass Benutzer, Aufsichtsbehörden, Strafverfolgungsbehörden und andere Parteien vorschriftsgemäß benachrichtigt und die erforderlichen Vorfallsdaten zu Beweis- und Prüfzwecken aufbewahrt werden.

In-House oder SOC-as-a-Service (SOCaaS)?

Wer sich für ein SOC entschieden hat, steht bei der Umsetzung vor vielen Fragen. Die wichtigste: Lohnt sich der Aufbau eines eigenen SOC für das Unternehmen oder ist es sinnvoller, das SOC über einen Managed Services Security Provider (MSSP) als SOCaaS zu beziehen. Relevant für diese Entscheidung sind dabei vor allem die Unternehmensgröße und das vorhandene Budget.

Der Betrieb eines unternehmenseigenen SOC ist sehr aufwendig. Neben der technologischen Infrastruktur und den Lizenzkosten für diverse Sicherheits-Tools ist qualifiziertes Personal erforderlich, das in vielen Fällen für den Betrieb des SOC neu eingestellt werden müsste und aufgrund des Fachkräftemangels schwer zu finden ist. Die monatlichen Kosten bewegen sich in der Regel im mittleren fünfstelligen Bereich, können aber je nach individuellen Anforderungen auch deutlich höher liegen. Gerade für kleine und mittelständische Unternehmen ist das in vielen Fällen keine Option. Hier bietet SOCaaS eine vollwertige Alternative zum hauseigenen SOC.

SOC-as-a-Service ist ein kostenpflichtiges, abonnementbasiertes Modell für Managed Threat Detection- und Response. Der Service stellt Unternehmen die Tools, die Technologie und das Fachwissen zur Verfügung, die für die Erkennung, Untersuchung und Reaktion auf Ransomware, Malware, Datendiebstahl, Spear-Phishing-Angriffe und mehr erforderlich sind.

Was unterscheidet das Cyber Defense Operation Center (CDOC) der DGC von einem herkömmlichen SOC-as-a-Service?

Mit ihrem Cyber Defense Operation Center bietet die DGC eines der fortschrittlichsten SOCaaS-Modelle auf dem Markt – und setzt dabei konsequent auf Qualität Made in Germany. Die gesamte DGC-Infrastruktur befindet sich in Deutschland. Viele der eingesetzten Tools sind hauseigene Entwicklungen. So zum Beispiel der Schwachstellenscanner cyberscan.io, der unter anderem wichtige Hilfe bei der Prävention gefährlicher Zero-Day-Exploits leistet. Bei der Implementierung eines CDOC bietet die DGC in jeder Phase der Zusammenarbeit vollumfängliche Unterstützung.

Fazit: Umfassender Schutz nur per SOC

Wer sich über zuverlässige Lösungen für die IT-Sicherheit seines Unternehmens informiert, stößt früher oder später auf den Begriff SOC. Die DGC bietet mit dem Cyber Defence Operation Center eine 360°-Sicherheitslösung, die sich als SOCaaS besonders für kleine und mittelständische Unternehmen eignet, die erkannt haben, dass Cyberattacken heute in jedem Unternehmen existenzbedrohende Schäden anrichten können.

Folgen Sie uns auf

Abonnieren Sie unseren Newsletter rund um das Thema Cybersicherheit

Mit unserem Cyberletter sind Sie stets topaktuell informiert - über Schwachstellenmeldungen, aktuelle IT-Bedrohungsszenarien sowie andere relevante Nachrichten aus dem Bereich Cyber Security und Datensicherheit

Mit der Anmeldung akzeptiere ich den Umgang mit meinen personenbezogenen Daten (§13 DSGVO) und stimme der Datenschutzerklärung zu.