Aktuelle Studie: Viele Unternehmen sind unzufrieden mit SOC-Leistungen. Die Gründe lesen Sie hier!

Die stetig steigende Anzahl an Cyberangriffen und Cyberbedrohungen erfordert von Unternehmen immer aufwendigere Lösungen in der IT Security. Die klassischen Abwehrtechniken wie eine Firewall oder Antivirenprogramme sind längst nicht mehr ausreichend, um mit Advanced Persistent Threats (APT) und ähnlichen raffinierten Cyberangriffen umzugehen bzw. diese erfolgreich zu detektieren und abzuwehren. Als Antwort setzen viele Unternehmen auf ein SOC. Eine Studie des US-amerikanischen IT-Sicherheitsspezialisten FireEye in Zusammenarbeit mit dem Ponemon Institut im Jahre 2020 ergab jedoch, dass ein Großteil der Unternehmen mit dem eigenen SOC unzufrieden ist.

Was genau ist ein SOC?

Hinter der Abkürzung SOC verbirgt sich das Security Operations Center oder auch „IT-Sicherheitszentrum“. Ein SOC bildet die zentrale Anlaufstelle für alles, was innerhalb der Organisation mit dem Thema IT Security verbunden ist. Hier finden die Gefahrenfrüherkennung sowie die Verwaltung der Sicherheitssysteme statt. Das SOC ist eine Entwicklung der letzten Jahre, die von zunehmenden und immer raffinierter werdenden Cyberbedrohungen geprägt sind. Bis dahin haben die IT-Administratoren die Aufgaben des SOC mit übernommen - beziehungsweise es bestand noch nicht die Notwendigkeit für die Implementierung eines SOC. Mit einem SOC sorgen Unternehmen für eine schnelle Reaktionsfähigkeit, da hier ein IT Security Team mit vollem Fokus auf das Thema Sicherheit abgestellt ist. Kleinere Unternehmen, die nicht über entsprechende Ressourcen für ein eigenes Security Operations Center verfügen, greifen gerne auf externe Dienstleister zurück. In dieser Form erfüllt SOC as a Service dieselben Aufgaben, nur dass die Überwachung über das Netzwerk stattfindet.

Aufgaben und Ziele eines SOC

Ein SOC übernimmt deutlich mehr und weitergehende Aufgaben als jene, die der traditionellen IT-Sicherheit zuzuordnen sind. Vor allem konzentriert sich das SOC auf die aktive Identifizierung von Cyberbedrohungen und raffinierten Cyberangriffen wie Advanced Persistent Threats.

Hierfür arbeitet das SOC proaktiv und mit Techniken abseits des klassischen Ansatzes der IT Security. Dies beinhaltet eine umfassende Detektierung des Netzwerkes. Hierbei analysieren spezielle Tools Vorgänge im Netzwerk in Echtzeit, unter anderem durch die Auswertung von Logdaten und Kommunikationen. Bei Auffälligkeiten erfolgt eine Alarmierung - und die Spezialisten im SOC beginnen mit der Arbeit.

Die Tätigkeitsbereiche in einem SOC lassen sich in drei Phasen kategorisieren: Detect, Respond und Recover. In der ersten Phase des Entdeckens arbeiten Software-Lösungen weitestgehend autark. Sie suchen nach Aktivitäten im Netzwerk, die nicht der Norm entsprechen. Dies kann ein Zugriff von einer unbekannten IP-Adresse sein oder die Datenübertragung sensibler Informationen an Empfänger außerhalb des Netzwerkes. Als Tools eignen sich SIEM-Systeme, die automatisch Ereignisse im Netzwerk analysieren.

Bei verdächtigen Aktivitäten senden die Kontrolltools eine Warnmeldung an die IT Security und die zweite Phase, Respond, beginnt. Die SOC-Mitarbeiter starten dann mit der manuellen Kontrolle und Auswertung der gemeldeten Situation. Hierbei ist eine schnelle Reaktion entscheidend, was einer der Hauptgründe für die Einrichtung eines SOC ist. Die Mitarbeiter sind exklusiv damit beauftragt, möglichst ohne zeitliche Verzögerung auf einen Alarm zu reagieren, ihn zu analysieren und zu bewerten. Nur so ist gewährleistet, dass das SOC Cyberangriffe innerhalb kürzester Zeit eindämmt.

Während der Respond-Phase bewertet die IT Security, ob es sich bei der Anomalie tatsächlich um einen Cyberangriff handelt oder ob ein sogenannter False Positive, also ein falscher Alarm, vorliegt. Wird die aufgedeckte Anomalie als ein Cyberangriff eingestuft, leiten die SOC-Mitarbeiter umgehend die notwendigen Gegenmaßnahmen ein. Dazu gehört es unter anderem, kompromittierte Accounts zu deaktivieren oder betroffene Systeme zu isolieren.

Die dritte Phase, Recover, beinhaltet die Wiederherstellung der von den Cyberangriffen befallenen Systeme. Auch hier geht es darum, möglichst schnell wieder zum Normalzustand zurückzukehren und die Auswirkungen auf das Unternehmen zu minimieren.

Die Grenzen eines Security Operations Center – darum sind viele Unternehmen unzufrieden

Zunächst einmal entscheidet die Kombination aus effektiven Tools und kompetentem Personal über die Reaktionszeit sowie die Effektivität des SOC. Denn Sinn und Zweck des SOC ist es, möglichst schnell auf Cyberbedrohungen zu reagieren und einen maximalen Anteil der Cyberangriffe zu erkennen. Für ein Unternehmen ist der Betrieb eines SOC also nur sinnvoll, wenn es sich in der Praxis beweist. Das bedeutet, dass das SOC Cyberangriffe unterbindet, bevor diese Schäden anrichten.

Ein SOC stellt damit eine ressourcenintensive Abteilung in einem Unternehmen dar. Die Mitarbeiter sind exklusiv für die dort anfallenden IT Security Aufgaben abgestellt. Nur so ist eine sofortige Reaktion mit vollem Fokus möglich, wenn eine mögliche Cyberattacke identifiziert ist. Die aus dieser Ressourcenbindung entstehenden Kosten sind nicht unerheblich und lässt viele Unternehmensverantwortliche die Daseinsberechtigung ihres SOC regelmäßig hinterfragen.

Es besteht in diesem Zusammenhang eine logische Verbindung zwischen den Kosten eines SOC sowie einem möglichen finanziellen Vorteil für das Unternehmen. Hier wird mit dem messbaren Return on Investment kalkuliert. Arbeitet das SOC effektiv, dann wendet es finanzielle Schäden, die durch Cyberangriffe entstehen, vom Unternehmen ab. Demgegenüber stehen die jährlichen Kosten, die dem Unternehmen durch das SOC entstehen. Dies sind vor allem die Gehälter der SOC-Analysten sowie die finanziellen Aufwendungen für die Software im SOC. Sind die Kosten für den Betrieb jedoch deutlich höher als die verhinderten Schäden, dann zweifeln Unternehmen am Sinn eines eigenen SOC. Laut der Studie von FireEye sahen 51 Prozent der Unternehmen eine negative Entwicklung beim Return on Investment ihres SOC. (Der Security-Hersteller FireEye hat 2020 gemeinsam mit dem Ponemon Institut 682 SOC-Manager, Sicherheitsanalysten, allgemeine Sicherheitsexperten, IT-Manager und -Direktoren zu ihren SOC-Erfahrungen und -Investitionen befragt. Die vollständige „Zweite jährliche Studie zur Wirtschaftlichkeit von Security Operations Centern: Was sind die wahren Kosten für Effektivität?“ finden Sie hier.)

Der zweite Aspekt betrifft die Mitarbeiter im SOC. Für die dort zu bewältigenden Aufgaben sind spezialisierte IT-Fachkräfte notwendig. Die Umfrage von FireEye ergab, dass 2020 nur 38 Prozent der Unternehmen der Meinung waren, passendes Personal für die Aufgaben im SOC zu finden. Die Effektivität des SOC hängt jedoch maßgeblich von erfahrenen Fachkräften ab.

Eine zusätzliche Erschwernis im Bereich Personal-Recruitment ist die hohe, spezifische Belastung der SOC-Mitarbeiter. Die Tätigkeit in diesem Bereich erfordert eine Rufbereitschaft und sofortige Reaktion zu Tages- und Nachtzeiten. Aus der Studie von FireEye geht so hervor, dass im Jahr 2020 der hohe Anteil von 85 Prozent der SOC-Analysten angab, dass die Arbeit anstrengend oder sehr anstrengend ist. Ein Jahr zuvor lag der Anteil nur bei 70 Prozent. Im Schnitt haben, laut der Studie, 3,2 SOC-Analysten ihren Job in 2020 aufgegeben oder wurden gekündigt. Die Unternehmen gaben hingegen an, im Schnitt fünf Analysten einstellen zu wollen. Dieser Wettbewerb führt zu wachsenden Gehältern. So stieg der durchschnittliche Verdienst allein von 2019 auf 2020 von 102.000 auf 111.000 US-Dollar.

Ein effizientes SOC benötigt dazu eine Vielzahl an Mitarbeitern. Auf Cyberbedrohungen kann die IT Security nur schnell reagieren, wenn jederzeit ein entsprechender SOC-Mitarbeiter verfügbar ist. Dies beinhaltet Wochenenden, Feiertage und natürlich auch die Nächte. In der Praxis bedeutet dies, dass ein SOC mindestens drei Personen für eine Stelle benötigt. Allein durch den Mangel an entsprechenden Fachkräften ist es schwer, das eigene SOC durchgehend hochwertig zu besetzen.

Viele Unternehmen scheitern bereits bei der Aufstellung eines eigenen SOC. Vor Beginn ist es wichtig, den genauen Aufgabenbereich der IT Security präzise zu definieren. Hierbei geht es darum zu definieren, welche Aufgaben das SOC bei der Prävention, Detektion und Reaktion auf IT-Sicherheitsvorfälle, wie beispielsweise Advanced Persistent Threats, hat. Ebenfalls ist die Planungsphase von zentraler Bedeutung. Dies betrifft einerseits technische Fragen, wie etwa die Wahl der konkreten SOC-Technologien und die Definition der SOC-Prozesse. Auch gilt es, organisatorische Abläufe zu klären. Welche Räumlichkeiten sind für das SOC vorhanden und wie läuft die Kommunikation zwischen dem SOC, der IT sowie anderen Bereichen ab? Gerade hier kommt es in der Praxis immer wieder zu Missverständnissen. Die Kommunikation zwischen dem CISO (Chief Information Security Officer) sowie den Führungskräften im Unternehmen ist elementar wichtig, um das Verständnis für diesen speziellen Bereich der IT Security hochzuhalten.

Zu den weiteren Herausforderungen, denen sich Unternehmen mit eigenem SOC in der Zukunft stellen müssen, zählen die wachsenden Investitionen. Die Anzahl der Advanced Persistent Threats sowie die konkrete Bedrohung durch diese wird in den nächsten Jahren nach einhelligen Expertenmeinungen weiter anwachsen. Ein SOC muss mit dieser Entwicklung Schritt halten beziehungsweise den Angreifern voraus sein. Dies erfordert eine kontinuierliche Fortbildung der SOC-Mitarbeiter sowie die Anschaffung weiterer SIEM-Systeme. Die Studie von FireEye und dem Ponemon Institut ergab, dass die befragten Unternehmen 2020 im Schnitt 2.716.514 US-Dollar in Sicherheitstechnologien investierten. Allein auf SIEM-Systeme entfielen 183.150 US-Dollar. Jedoch zeigten sich nur 23 Prozent der Unternehmen zufrieden mit der Abwehr von Advanced Persistent Threats durch das SOC. Gleichzeitig bewerteten 46 Prozent der Befragten die Existenz eines SOC als sehr wichtig für die kontinuierliche Abwehr von Cyberbedrohungen.