Gorodenkoff - stock.adobe.com
Managed Security Operations Center: Worauf es ankommt
Die Funktionalität eines Security Operations Center ist mittlerweile für Unternehmen aller Größen unabdingbar. Da kommt oftmals als Lösung ein SOC als Dienstleistung ins Spiel.
IT-Sicherheit hat sich seit ihrem erstmaligen Aufkommen drastisch weiterentwickelt. Wo früher ein einfaches Passwort ausgereicht hat, sind heute mehrere Sicherheitsschichten auf einmal vonnöten. Das hat direkte Auswirkungen darauf, was IT-Sicherheit in der Praxis bedeutet und wie wir Sicherheit in Zukunft praktizieren werden. So viel sei verraten: Ohne Hilfe von außen hat kein Unternehmen eine Chance, sicher vor Cyberangriffen zu sein.
Was im Kabarett beinahe schon eine gesetzlich vorgeschriebene Floskel ist, kennen auch viele Menschen aus der IT: „Früher war alles besser“. Doch stimmt das wirklich? Nun - es kommt darauf an, wem diese Frage gestellt wird. Vieles war sicher in den Achtziger und Neunzigerjahren einfacher. „Wackele mal am Kabel“, ab und zu eine Maus oder Tastatur wieder einstöpseln oder ein Passwort zurücksetzen, hat für vieles ausgereicht. Doch irgendwann wurden Computer allgegenwärtiger und hielten Einzug in immer mehr Haushalte. Manche IT-Fachleute denken vermutlich mit Schaudern zurück an die Zeit vor USB-Geräten - und an Nutzer, die PS/2-Stecker für eine Schraubverbindung hielten.
IT-Sicherheit wird erwachsen
Doch Spaß beiseite: Inzwischen ist IT-Sicherheit ein eigenes Fachgebiet, das auch entsprechendes Fachwissen braucht. Die Zeiten, in denen sich die Security im Setzen eines Passwortes erschöpfte, sind endgültig vorbei. Updates für eingesetzte Software kommen beinahe täglich und wollen getestet und ausgerollt werden. Netzwerke sind beinahe per definitionem weltumspannend – irgendein System steht eigentlich immer mit einem virtuellen Bein im Internet.
Zugleich hat die globale Vernetzung auch gut organisierte Kriminelle auf den Plan gerufen, die ebenfalls ein Stück vom Kuchen abhaben möchten. Schwachstellen im Auge zu behalten, gleichzeitig aber Updates immer zeitnah zu schließen und alle relevanten Systeme im Blick zu halten und vor allem die richtigen Protokolldateien auf Unregelmäßigkeiten im und Zeichen für Angriffe auf das Netzwerk zu überwachen, ist für viele Unternehmen de facto unmöglich geworden. Die erforderliche Fachkompetenz und Erfahrung sind in den allermeisten Unternehmen schlicht nicht vorhanden. Gerade kleinere und mittelgroße Firmen haben nicht die Möglichkeit, ihre IT in einem Maße abzusichern, wie es eigentlich nötig wäre.
Steigende Anforderungen durch Gesetze
Die Gründe dafür sind so vielfältig wie einleuchtend: Zum einen steigen die Anforderungen an die Sicherheit der IT-Systeme in Unternehmen stetig an. Immer neue Gesetze, Verordnungen und Richtlinien wie etwa die europäische NIS2-Richtlinie legen eindeutig fest, wie IT-Sicherheit sicherzustellen ist – dabei spielen wirtschaftliche Bedenken nur eine untergeordnete Rolle. Die zu treffenden Maßnahmen müssen angemessen und wirksam sein und auch dem Stand der Technik entsprechen.
Allein aus diesem kurzen Halbsatz ergibt sich für einige Unternehmen ein schwindelerregend umfangreiches Lastenheft. Auch wenn ein Unternehmen nicht direkt von einer Regelung wie der NIS2 betroffen ist, können Kunden bestimmte Sicherheitsanforderungen stellen. Grund dafür ist, dass nach der EU-Direktive auch die Lieferketten betroffener Unternehmen abzusichern sind – und damit kommen dann weit mehr Betriebe mit ins Boot als vorher gedacht. Allein in Deutschland werden voraussichtlich 29.000 Unternehmen entweder direkt oder indirekt von den Neuregelungen betroffen sein. Hier gilt es, Maßnahmen zu treffen.
Security Operations Center unabdingbar
Denn effektiv verlangen viele moderne Sicherheitsframeworks ein Security Operations Center (SOC), welches dauerhaft die Sicherheit der IT-Umgebung überwacht. Diese Anforderung ist jedoch wirtschaftlich für kaum ein kleines Unternehmen leistbar, da damit auch eine entsprechende personelle Abdeckung implizit gefordert ist. Allein für ein umfassendes Monitoring- und Reportingsystem wäre mindestens eine zweistellige Anzahl an Neueinstellungen erforderlich, um das System betreuen und konfigurieren zu können und dabei die notwendige Abdeckung und Redundanz bereitzustellen. Vorausgesetzt, es finden sich überhaupt geeignete Kandidatinnen und Kandidaten für diese Tätigkeit, die über die entsprechende Qualifikation und Erfahrung verfügen. Zudem braucht es auch neue Arbeitszeitmodelle für eine 24/7-Betreuung der Systeme und damit potenziell auch eine Bereitschaftsregelung für Feiertage und Wochenenden.
„Ein vollständiger Überblick über unternehmenskritische Systeme sowie ein rund um die Uhr erreichbarer Kontakt sind absolut essenziell, damit bei einem Zwischenfall eine schnelle Reaktion erfolgen kann und nicht wertvolle Zeit verstreicht, bis jemand mit sowohl technischer als auch Entscheidungskompetenz gefunden ist.“
Tim Berghoff, G DATA CyberDefense
Bei all dem sind wir noch nicht einmal bei den technischen Anforderungen und den dafür erforderlichen Prozessen angelangt. Und auch die sind nicht ohne. Hier rächt sich die Tatsache, dass der primäre Fokus von Unternehmen auf der Prävention von Angriffen gelegen hat. Die Erfahrungen der letzten Jahre haben jedoch gezeigt, dass Angreifer sich sehr lange Zeit unbehelligt in einem Netzwerk bewegen können, wenn sie einmal an der Perimeterverteidigung vorbeigekommen sind. Es fehlt an Möglichkeiten, ein erfolgreiches Eindringen zu erkennen. Kommt es dann zum Super-GAU und das Netzwerk ist komplett verschlüsselt, ist guter Rat im wahrsten Sinne des Wortes teuer. Oft genug stellt sich bei einer eingehenden Untersuchung heraus, dass es durchaus Anzeichen für einen Angriffsversuch gegeben hat – doch diese wurden entweder komplett übersehen oder falsch gedeutet (zum Beispiel als Fehlalarm), weil das notwendige Know-how in den meisten IT-Abteilungen nicht vorhanden ist. Und die Muster, die zu einem erfolgreichen Angriff gehören, sind recht charakteristisch und unzweideutig. Eine rechtzeitige Erkennung von Unregelmäßigkeiten, die auf ein Eindringen ins Netzwerk hindeuten, kann hier großen Schaden verhindern oder zumindest in einem überschaubaren Rahmen halten.
Konzernsicherheit wird leistbar für Kleinunternehmen
Die Vorteile eines SOC sind also unstrittig. Doch allein der Aufbau eines eigenen SOC kann Jahre dauern und schnell Kosten in sieben- bis achtstelliger Höhe verursachen. Die entscheidende Frage ist vielmehr, wie ein Kleinunternehmen sich diese Sicherheit leisten kann.
An dieser Stelle kommen externe Dienstleister ins Spiel, die den Bereich IT-Sicherheit übernehmen können. Doch hier ist genaues Hinschauen wichtig. Denn nicht jeder Dienstleister, der IT-Sicherheit auf seine Fahnen geschrieben hat, ist auch geeignet, diesen Bereich sinnvoll zu betreuen. Unternehmen, die diese Dienstleistung anbieten, sind denselben Herausforderungen am Arbeitsmarkt unterworfen wie deren Auftraggeber – auch sie müssen das entsprechende Personal erst einmal finden. Ein guter Dienstleister verfügt über Fachleute, die Erfahrung im Umgang mit Angriffen haben und die auch in der Lage sind, diese zu erkennen. Eben diese Expertise ist das, was Fachkräfte mit dieser Qualifikation so selten macht. Oft kommen diese Expertinnen und Experten aus einem akademischen Umfeld und haben ein Studium der IT-Sicherheit absolviert, oder sie verfügen über eine IT-nahe Ausbildung. Beide haben gemeinsam, dass sie sich weiter qualifiziert haben und über die Jahre einen entsprechenden Erfahrungsschatz aufgebaut haben.
Derart qualifiziertes Personal übernimmt für Kunden praktisch die Rolle des eigenen SOC inklusive eigener maßgeschneiderter Werkzeuge - allerdings ohne die damit verbunden Kosten sowie die monate- beziehungsweise jahrelanger Aufbauarbeit. Die Aufschaltung auf ein gemanagtes SOC (auch mSOC genannt) kann innerhalb von Stunden bis Tagen vonstattengehen.
Die Wahl des richtigen Anbieters
Wichtig ist jedoch, dass es eine vertrauensvolle Zusammenarbeit mit dem gewählten Anbieter gibt. Ein regelmäßiger Austausch über Neuerungen oder geänderte Anforderungen ist für ein konstant hohes Sicherheitsniveau unerlässlich. Ein Betrieb, der sich ein mSOC leisten möchte, muss jedoch auch einige Hausaufgaben erledigen – vor allem zu Beginn einer Kooperation mit einem Anbieter. Dazu gehört unter anderem die Frage nach dem Datenschutz: Auch ein IT-Sicherheitsdienstleister benötigt eigene IT-Infrastrukturen. Diese sollten sich, um etwaige Fragen oder künftige Probleme zu umgehen, am besten in Deutschland befinden, oder zumindest in der EU. Zudem sollten, wie es auch die Gesetzgebung diktiert, nur solche Daten erhoben werden, die auch tatsächlich notwendig sind. Der Ansatz “Wir lassen uns erst einmal alles von jedem System kommen und sortieren dann aus” ist nicht nur nicht datensparsam und erzeugt eine Menge Mehrarbeit, sondern ist auch technisch nicht wirklich zielführend.
Ein vollständiger Überblick über unternehmenskritische Systeme sowie ein rund um die Uhr erreichbarer Kontakt sind ebenfalls absolut essenziell, damit bei einem Zwischenfall eine schnelle Reaktion erfolgen kann und nicht wertvolle Zeit verstreicht, bis jemand mit sowohl technischer als auch Entscheidungskompetenz gefunden ist.
Interne Prozesse müssen darauf abgestimmt sein, auf Sicherheitsvorfälle reagieren zu können, und das binnen Minuten und tageszeitunabhängig. Oft müssen die Voraussetzungen hierfür erst geschaffen werden. Der Aufwand dafür ist jedoch vergleichsweise überschaubar. Fakt ist, dass für die Verbesserung der Sicherheit in vielen Unternehmen einiges an Arbeit notwendig ist. Technische Schulden sind aufzuarbeiten, und Prozesse sowie Meldeketten müssen geschaffen, etabliert und getestet werden. Das ist kein Pappenstiel und wird auch nicht über Nacht passieren.
Die gute Nachricht ist: Mit dieser Herausforderung stehen die Betriebe nicht allein da. Sie können vom Wissen und der Erfahrung von Anbietern profitieren, die sich genau auf diesen Bereich spezialisiert haben. Eine Investition ist nicht nur strategisch klug, sondern auch technisch sinnvoll – denn sie kann ein Unternehmen vor dem sicheren Untergang retten.
Über den Autor:
Tim Berghoff ist Security Evangelist bei G DATA CyberDefense.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
