Security Operations Center
doIT-Whitepaper erklärt SOC für den Mittelstand

© doIT solutions

Von doIT solutions im hessischen Geln­hausen gibt es ein neues White­paper zum Thema SOC (Security Operations Center), das Ent­scheidern kurz und gut erklärt, was eine solche Sicherheits­zentrale leistet und wie sie als Managed Service funktio­niert. Anders ist das für mittel­ständische Unter­nehmen nämlich kaum zu stemmen.

Stand der Dinge ist: Antiviren­software, Fire­walls, Patch-Manage­ment und die übliche Kombi­nation weiterer, einzelner IT-Sicherheits­maßnahmen genügen längst nicht mehr:

„Derzeit registrierte Attacken auf Unter­nehmen erfolgen oft ziel­gerichtet, mehr­stufig und über einen längeren Zeitraum.“

Gerade gezielte Attacken mit Phishing, Social Engineering etc. führen regel­mäßig zum Erfolg, schleusen Ransom­ware ein und erpressen Löse­geld, verleiten mit CEO-Frauds zu Über­weisungen ins irgend­wo und bleiben im schlimmsten Fall längere Zeit unent­deckt, bis sie am Wochenende un­vermutet in Aktion treten, sodass sich das Unter­nehmen zuerst gar nicht bewusst ist, dass Informatio­nen abfließen und Dienste zusammen­brechen. Hinzu kommen noch verschärfte Haftungs­risiken und DSGVO-Meldepflichten.

Erforderlich wäre also eine Rund-um-die Uhr-Bereitschaft an 365 Tagen im Jahr, mit anderen Worten: ein SOC (Security Operations Center). Die zugehörige Make-or-Buy-Frage beantwortet sich angesichts des Mangels an (teuren) Security-Fach­kräften praktisch von selbst – bis vor Kurzem hat man für ein funktions­fähiges SOC mit zehn bis fünfzehn Mitarbeitern gerechnet. Ob man es Outsourcing oder Managed Service nennt, ist egal; Tat­sache bleibt, dass ein SOC für die aller­meisten Unternehmen nur als externer Dienst machbar sein wird. Die modernen Anbieter – auch doIT solutions selbst – setzen dabei auf eine Kombination aus Threat Intelligence, auto­matisierten Alerts und Experten­verfügbarkeit. Ent­scheidende Stell­schrauben sind die Auto­matisierungs­konfiguration und die Priorisierung der Meldungen.

In diesem Zusammenhang weist das White­paper noch auf einen gefährlichen, aber weit ver­breiteten Irrtum hin: Viele mittel­ständische Unternehmen glauben, dass sie nicht wichtig genug seien, dass ihre Assets gar nicht wert­voll genug seien – das ist falsch. Allein Kunden­daten und andere Vertriebs­informationen sind für die inter­nationale Konkurrenz extrem interessant. Laut PwC sind gerade Hidden Champions „hoch­innovativ und deshalb leider auch oft hoch­attraktiv, wenn es zum Beispiel um den Dieb­stahl geistigen Eigentums geht.“

Das doIT-Whitepaper hat zu den einzelnen Rollen und Aufgaben zwischen SOC und Unter­nehmen gute Schau­bilder parat, die zeigen, wie sich die Bau­steine um Security Orchestration & Auto­mation und die zentrale SIEM-Lösung (Security Information and Event Management) gruppieren oder wie die Reaktions­abläufe zwischen Kunde und SOC im Ernst­fall geschaltet sind. Hilf­reich sind auch die Gliederung der Security-Analysten nach Tier und die schematische Abbildung zur Implementierung, das die wesent­lichen vier Schritte der SOC-Ein­führung zeigt. Dass es mit einer einmaligen Ein­führung nicht getan ist, sondern dass ein SOC – wie alle Sicherheits­konzepte – ein Prozess beständiger Selbst­überprüfung und -aktualisierung bleibt, liegt auf der Hand.

Weil das doIT-Dokument von technischen Details fast voll­kommen ab­strahiert und sich auf das kon­zentriert, was Ent­scheider in den Unter­nehmen wissen und verstehen sollten, ergibt es eine an­sprechende, gewinn­bringende Lektüre. Das White­paper „Automatisierter 24/7-Schutz vor Cyber­gefahren“ bekommt man bei doIT un­kompliziert gegen An­gabe von Name und E-Mail-Adresse zugesendet.