Agil gegen Cyberangriffe
IT-Sicherheit ist und bleibt eines der Topthemen in Unternehmen. Das bestätigt auch die aktuelle Umfrage „Cybersicherheit in Zahlen“ von G DATA CyberDefense in Zusammenarbeit mit Statista. Darin gaben rund 75 Prozent der Befragten mit IT-Security-Kompetenzen an, dass in ihren Unternehmen hier noch mehr getan werden müsse. Die IT hat sich dafür eine bewährte Struktur von Feuerwehr und Polizei abgeschaut – das Security Operations Center (SOC). Als Lagezentrum für IT-Sicherheit laufen hier alle Fäden zusammen, so dass Risiken vorab erkannt und entschärft werden können.
Was ist ein Security Operations Center (SOC)?
Dafür werden im SOC Daten aus allen Unternehmensbereichen analysiert, etwa Zugriffe, Datenflüsse und im Netzwerk aktive Devices. Ein gut aufgestelltes Center behält dabei drei Teilbereiche im Blick:
- Technologie: Welche Soft- und Hardware ist vorhanden und was genau tut sie an welchen Stellen?
- Prozesse: Wo gibt es Schnittstellen und Zugriffe? Welche Risiken können sich daraus ergeben?
- Mensch: Wer hat, worauf Zugriff? Wie ist die Identifizierung geregelt? Gibt es plötzlich auffälliges Verhalten oder seltsame Einwahlzeiten oder -orte?
Damit die Mitarbeiter*Innen des SOC alle Informationen schnell sehen und bewerten können, laufen die Informationen in zentrale Dashboards ein, die auch Risikostufen anzeigen und direkte Gegenmaßnahmen vorschlagen können. Diese Maßnahmen werden in physikalisch (Schutz des Unternehmensnetzwerks, z. B. über Firewalls) und anwendungsbezogen (spezielle Lösungen zur Autorisierung & Authentifizierung von Nutzer*innen, aber auch Antivirensoftware) unterteilt.
Durch regelmäßige Security Assessments wird immer wieder geprüft, ob die Sicherheitsarchitektur Lücken hat oder noch auf dem aktuellen Stand ist. Neben der Prävention greift das SOC bei aktuellen Attacken direkt ein. Das Management des Unternehmens erhält vom SOC zudem Reportings zur Sicherheit der IT-Systeme.
Aufgaben eines Security Operations Center
Typischerweise gehören folgende Aufgaben in ein SOC:
- Erkennen von Schwachstellen der IT-Sicherheit und deren Beseitigung
- Security-Device-Management
- Reporting
- Security-Alert (Warnmeldungen)
- Security-Assessments
- Proaktive Überwachung der IT-Systeme und laufende Analysen zur aktuellen Bedrohungslage
- Direkte Abwehrmaßnahmen zur Schadensbegrenzung bei Cyberangriffen
- Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen
Dafür nutzt ein SOC, das mit Microsoft-Technologie arbeitet, in der Regel diese Tools:
- Microsoft Sentinel: Zentralisiertes SIEM (Security Information & Event Management) für unternehmensweite Einsicht in Protokolle
- Microsoft Defender für Cloud / Endpoint /O365 / Cloud Apps: Warnungen und Sicherheits-Playbooks mit Reaktionshilfen
- Azure Monitor: Ereignisprotokolle von Anwendungen und Azure-Diensten
- Azure-Netzwerksicherheitsgruppe (NSG): Einblick in Netzwerkaktivitäten
- Azure Information Protection: Schützen von E-Mails, Dokumenten und vertraulichen Daten, die außerhalb des Unternehmens freigegeben werden
Was passiert bei einem Cyberangriff?
Das Security Operations Center handelt bei Vorfällen grob in drei Schritten:
- Angreifer im System identifizieren
- Schnelle Analyse, ob es sich um einen tatsächlichen Angriff oder falschen Alarm handelt
- Bei einem tatsächlichen Angriff (und danach) direkt die Integrität und Verfügbarkeit von Workloads wiederherstellen
Vor allem die Bereiche, die für ein Unternehmen besonders kritisch sind, z.B. Administratorzugriffe aber auch geheime Forschungsdaten, sollten besonders geschützt werden. Hacker finden immer wieder neue Wege, Systeme zu attackieren. Deshalb ist eine aktive Suche nach ihnen eine Kernaufgabe des SOC. Denn auch wenn sich nicht jeder Angriff vermeiden lässt: Entscheidend ist, dass Angreifer nur möglichst kurz in der Unternehmensumgebung agieren können. So ist bei einer intelligenten Sicherheitsarchitektur (Defense in Depth) der Zugang zu kritischen Stellen blockiert.
Vorteile für IT Security und Management
Ein SOC hat also klare Vorteile, auch jenseits der IT-Sicherheit:
- Sicherheitslücken werden präventiv erkannt und geschlossen.
- Die Sicherheitsarchitektur wird stets dynamisch an die Bedrohungslage angepasst.
- Angriffe werden schnell bemerkt, analysiert und abgewehrt.
- Die Zentralisierung erlaubt eine klare Bestimmung des Security-Budgets.
- Es gibt einen zentralen Ansprechpartner für alle Themen zur IT-Sicherheit.
- Regelmäßige Reportings setzen die Unternehmensführung proaktiv über den Stand der IT-Security in Kenntnis.
- Die Bündelung macht es leichter, Compliance-Nachweise, z. B. zu Datenschutz und Datensicherheit, zu erbringen.
Auf der anderen Seite erfordert der Betrieb viel Fachpersonal, denn ein SOC sollte so aufgestellt sein, dass es 24 Stunden am Tag an 365 Tagen im Jahr aktiv arbeiten kann. Kaum ein Unternehmen kann das selbst leisten. Deshalb lagern viele den Dienst aus zu spezialisierten Anbietern. Über diesen Weg bleiben die Vorteile erhalten, die Kosten sinken dagegen erheblich. Ein guter Anbieter verfügt über hoch qualifiziertes Sicherheitspersonal, das sich kontinuierlich fortbildet. Moderne IT-Sicherheit für das eigene Unternehmen ist also weit einfacher und günstiger als oft gedacht. Darum die eigene Sicherheit jetzt nicht mehr auf die lange Bank schieben: Wir helfen gern bei Fragen rund um das Thema Security Operations Center. Gerne stellen wir Ihnen auch unser Cyber Security Center persönlich vor – nehmen Sie Kontakt zu uns auf.
Skaylink Cyber Security Center
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Starten wir gemeinsam in die Zukunft
Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!
Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.