Security Operations Center (SOC) - Prof. Dr. Norbert Pohlmann

Was ist ein Security Operations Center?

Ein Security Operations Center (SOC), auch Information Security Operations Center (ISOC) genannt, ist ein unternehmensinternes oder externes Team von Cyber-Sicherheitsexperten, das die gesamte IT-Infrastruktur eines Unternehmens umfänglich und proaktive rund um die Uhr überwacht. Ziel ist Cyber-Sicherheitsereignisse in Echtzeit zu erkennen und diesen so schnell und effektiv wie möglich entgegenzutreten.

Weitere Aufgaben eines Security Operations Center (SOC) können sein, Cyber-Sicherheitsmaßnahmen des Unternehmens auszuwählen und zu betreiben sowie kontinuierlich die Cyber-Sicherheitslage zu analysieren und dafür zu sorgen, dass das Niveau der Cyber-Sicherheit verbessert wird.

Das SOC-Team setzt die gesamte Cyber-Sicherheitsstrategie eines Unternehmens um.

Zentrale Dienste eines SOC

Eine Security Operations Center (SOC) erbringt in der Regel die folgenden zentralen Dienste, um für einen wirkungsvollen Schutz IT-Systeme und Daten eines Unternehmers zu sorgen:

• Proaktive Überwachung der IT-Systeme und Daten sowie laufende Analysen zur aktuellen IT-Sicherheitslage (auch mithilfe von Threat Intelligence)
• Erkennen von Schwachstellen der IT-Sicherheit und deren Beseitigung (Penetrationstest und Patch-Management)
• Zentrales und kontinuierliches Sicherheitsmanagement für die unterschiedlichen IT-Systeme (Endsysteme, Server, Cloud-Dienste, IoT-System …)
• Alarmierung bei erkannten Angriffen und konkreten Gefährdungssituationen
• Sofortige Abwehrmaßnahmen zur Schadensbegrenzung von Cyber-Angriffen
• Durchführung eines Security-Assessments oder IT-Sicherheitsaudit der gesamten Informationssicherheit
• Technische Unterstützung bei allen sicherheitsrelevanten Fragestellungen
• Detailliertes Reporting des Security Operations Center (SOC) über alle sicherheitsrelevanten Ereignisse und der IT-Sicherheitslage des Unternehmens
  
  

Cyber-Sicherheitsmechanismen eines Security Operations Center (SOC)

Um ein Unternehmen effektiv überwachen zu können, benötigt das Security Operations Center (SOC) verschiedene Cyber-Sicherheitsmechanismen. Typische Cyber-Sicherheitsmechanismen, die bei innerhalb eines Security Operations Centers (SOCs) zusammenspielen, sind:

Security Information and Event Management (SIEM):
Ein Security Information and Event Management (SIEM) ermöglicht einen ganzheitlichen Blick auf die IT-Sicherheit eines Unternehmens. Alle sicherheitsrelevanten Daten werden an einer zentralen Stelle gesammelt, um durch intelligente Analysen gefährliche Aktivitäten unmittelbar zu erkennen, damit in Echtzeit darauf reagiert werden kann.

Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR)
Extended Detection and Response (XDR) ist ein IT-Sicherheitskonzept zur erweiterten Erkennung und Abwehr von IT-Sicherheitsbedrohungen über die komplette IT-Infrastruktur eines Unternehmens hinweg. Im Gegensatz zu Endpoint Detection and Response (EDR) konzentriert sich XDR nicht nur auf Endgeräte, sondern integriert auch Server, Netzwerke, Anwendungen und Cloud-Services in die Gefahrenerkennung- und Abwehr.

Firewall-System:
Ein Firewall-System sichert und kontrolliert den Übergang des eigenen Unternehmensnetzwerks zum öffentlichen Internet. Dabei lässt ein Firewall-System auf der Basis vor vorher definierten Regeln erlaubte Kommunikation durch und blockiert nicht gewünschte Aktivitäten.

Log-Management-System:
Ein Log-Management-System hilft, Cyber-Angriffe auf der Basis von Logdaten in Logdateien von verschiedenen IT-Systemen zu identifizieren sowie Aktivität und Abläufe von IT-Systemen nachvollziehen zu können.

Vulnerability Scanners und Penetrationstests:
Ziel ist es, unbekannte Schwachstellen der IT-Systeme und des Netzwerkes des Unternehmens aufzudecken, zu bewerten und Gegenmaßnahmen zu empfehlen.

Ticketsystem:
Ein Ticketsystem hilft den Cyber-Sicherheitsexperten, Alarme zur Bearbeitung zuweisen, zu verfolgen, zu verwalten, zu organisieren und nach Prioritäten ordnen zu können.

Soll ein SOC im Unternehmen oder von Dienstleistern betrieben werden?

Studien zeigen auf, dass statistisch jeder tausendste Mitarbeiter im Unternehmen ein IT-Sicherheitsexperte ist. Das bedeutet zum Beispiel, das die DAX-Unternehmen im Schnitt 131 IT-Sicherheitsexperten haben. Selbst ein Unternehmen mit 100 Mitarbeitern würde theoretisch einen Mitarbeitenden mit einem ein Zehntel Know-how bezüglich IT-Sicherheit benötigen.
Im Gegensatz zu den Erfordernissen stehen zurzeit kaum IT-Sicherheitsexperten zur Verfügung. In Deutschland waren 2023 100.000 IT-Sicherheitsstellen nicht besetzt.
Daher macht es für den Mittelstand auf jeden Fall Sinn, externe Dienstleister einzubinden, die über die notwendigen IT-Sicherheitsexperten verfügen. Da die externen Dienstleister in der Regel sehr viele Kunden betreuen, können diese auch Erfahrungen und Vorkommnisse von anderen Unternehmen nutzen, sodass alle Seiten davon profitieren.

Weitere Informationen zum Begriff “Security Operations Center (SOC)”:

„Analyse und Visualisierung des Internets – Internet-Verfügbarkeits-System“

„Internet-Frühwarnsysteme: Strukturen und Techniken“

„Messen und Warnen – Internet-Frühwarnsystem zur Vorsorge“

„Ideales Internet-Frühwarnsystem“

„Verfügbarkeit und Notfallplanung mit Hilfe der Visualisierung“

„Internet-Verfügbarkeitssystem – Welche Qualität hat das Internet?“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Internet-Frühwarnsysteme“

„Internet Early Warning System: The Global View“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

Security Operations Center (SOC)

Description

Ein Security Operations Center (SOC) ist eine zentrale unternehmensinterne oder externe Stelle, die die gesamte IT-Infrastruktur eines Unternehmens rund um die Uhr überwacht, um Angriffe schnell zu erkennen und effektiv entgegenwirken zu können.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo