Was ist ein SOC?

Ein Security Operations Center (SOC) ist eine Kombination aus Experten & Expertinnen, Werkzeugen und Prozessen mit dem Ziel, IT Sicherheits-Risiken zu managen. Dies umfasst vor allem das Verhindern, die Entdeckung, die Analyse sowie Bewertung der Sicherheits-Risiken wie auch das Beschreiben und Kontrollieren der Behebung dieser. Im Bedarfsfall ist bei der Umsetzung von Maßnahmen zu unterstützen und die Beweissicherung einzuleiten.

Das SOC stellt in vielen Unternehmen einen integralen Bestandteil eines Enterprise Security Response Teams (CSIRT) dar und eignet sich somit zum Bilden einer zentralen Einheit, welche für die Echtzeitüberwachung und -erkennung von Sicherheitsvorfällen zuständig ist. Eines der wichtigsten Tools eines SOC sind Security Information and Event Management Systeme (SIEM) mit welchen bösartige Aktivitäten in Echtzeit identifiziert werden können. Ein SOC dient somit der Gefahrenabwehr von Cyberangriffen in Bereichen, die ihm unterstellt sind. Dem SOC stehen neben den Informationen, die intern gesammelt werden können, noch weitere Quellen für die Analyse zur Verfügung. In Deutschland gibt es beispielsweise Organisationen wie das DFN-CERT (Das Deutsche Forschungsnetzwerk) oder auch das BSI (Bundesamt für Sicherheit in der Informationstechnik), welche aktuelle Informationen über Gefahren und Schwachstellen zur Verfügung stellen sowie Empfehlungen zu Anpassungen an Systemen aussprechen.


Das SOC hat innerhalb eines Unternehmens in der Regel lediglich eine unterstützende Rolle (siehe Abbildung) und orientiert sich an den vom Management festgelegten Unternehmenszielen und der Relevanz der Assets des Unternehmens, die es schützen soll.

Wieso und wann braucht man ein SOC?

Bevor sich ein Unternehmen Gedanken über den Aufbau eines SOC macht, sollte überprüft werden, inwiefern die internen sowie externen Mitarbeitenden des Unternehmens bereits in IT-Security Awareness geschult wurden. Etwa 70% der IT-Sicherheitsvorfälle in Deutschland sind auf nicht gut genug geschulte Mitarbeitende zurückzuführen und somit zumindest in der Theorie bereits recht einfach vermeidbar. Aufgrund des hohen Kostenfaktors eines SOC ist es in erster Linie für große Unternehmen und für Unternehmen mit KRITIS-Bezug interessant ein SOC aufzubauen. Vor allem bei KRITIS-relevanten Unternehmen kann das Einführen eines SOC erhebliche Entlastung bzgl. der Reportpflicht gegenüber dem BSI mit sich bringen.

 

Wie ist ein SOC aufgebaut?

Es gibt verschiedene Möglichkeiten ein SOC zu betreiben. Generell muss sich ein Unternehmen im ersten Schritt die Frage stellen, ob der Betrieb durch einen internen Aufbau, Outsourcing oder eine Mischung von InHouse und Outsourcing betrieben werden soll. Im nächsten Schritt empfiehlt sich die Definition des Umfangs, in dem das SOC betrieben werden soll. Dementsprechend gibt es verschiedene Stufen eines SOC-Aufbaus, wie beispielsweise: ein Virtual SOC, ein Distributed/ Co-managed SOC, ein Multifunction SOC/NOC oder ein Dedicated SOC.

 

Virtual SOC:

Beim Betrieb eines Virtual SOC wird der Betrieb nur aufgenommen, wenn es zu einer kritischen Warnung oder einem Vorfall kommt. Es gibt keine spezielle Einrichtung innerhalb des Unternehmens und die Teammitglieder sind in der Regel Teilzeitkräfte. Dieses Modell wird häufig verwendet, wenn die verwaltete Sicherheit an eine*n Dienstanbieter*in (MSSP) delegiert wird. 

 

Distributed / Co-managed SOC:

Beim Betrieb eines Distributed / Co-managed SOC läuft der Betrieb während der normalen Geschäftszeiten, in der Regel 8 Stunden täglich an fünf Tagen pro Woche. Es gibt Arbeitsplätze für die internen Teammitglieder. Co-managed ist das SOC dann, wenn einzelne Aufgabenbereiche an einen MSSP ausgegliedert wurden und dieser mitverantwortlich ist für den Betrieb des SOC.

 

Multifunction SOC / NOC:

Beim Betrieb eines Multifunction SOC / NOC läuft der Betrieb rund um die Uhr (24/7). Es gibt eine spezielle Einrichtung mit einem fest zugeordneten Team. Es werden jedoch zur Kostensenkung nicht nur sicherheitsrelevante Aufgaben ausgeführt, sondern ebenfalls auch andere kritische IT-Vorgänge, um die Gesamtkosten des IT-Betriebs zu senken.

 

Dedicated SOC:

Beim Betrieb eines Dedicated SOC läuft der Betrieb ebenfalls rund um die Uhr in einer speziell dafür vorgesehenen Einrichtung mit einem fest zugeordneten Team. Im Unterschied zu einem Multifunction SOC / NOC übernimmt das Dedicated SOC ausschließlich IT-sicherheitsrelevante Aufgaben. 

 

Die verschiedenen Stufen unterscheiden sich somit in erster Linie darin wie umfangreich ein Unternehmen das SOC betreiben möchte.

 

Wie können wir als KaCon bei der Konzeption und dem Aufbau eines SOC unterstützen?

Zusammenfassend sind die drei wichtigsten Bestandteile eines SOC die Mitarbeitenden, Prozesse und Assets eines Unternehmens. Nur durch das optimale Zusammenspiel dieser drei Bereiche kann das SOC effektiv arbeiten. 

Wir als KaCon unterstützen unsere Kunden & Kundinnen in allen drei Bereichen sowie der bestmöglichen Abstimmung dieser, so dass im Ergebnis das SOC effizient und auf die individuellen Bedürfnisse unserer Kunden & Kundinnen zugeschnitten arbeitet. In einem persönlichen Gespräch erläutern wir gerne, wie wir bestmöglich den Aufbau eines SOC unterstützen können. 


Managed Security Service Provider (MSSP) bieten Unternehmen die Möglichkeit, einzelne Bereiche ihrer IT-Security an externe Unternehmen auszugliedern.

Dies können beispielsweise folgende Leistungen sein:

  • Projekt- und Teilprojektleitung
  • Prozessentwicklung und Harmonisierung
  • Ausschreibung von Hardware und Softwarekomponenten
  • Entwicklung Security Use Cases für SIEM Applikationen
  • Beratungsleistungen Anbindung von Assets an bestehendes SOC
  • Unterstützung des Aufbaus eines internen SOC
  • Aufbau und Konfiguration der dem SOC zugrundeliegenden Hard- und Software
  • Entwicklung von Konzepten
  • Entwicklung von Architekturen
  • Erstellung von Lasten- und Pflichtenheften