Digitalisierung, das Internet der Dinge (IoT) und Industrie 4.0 sind nicht länger eine Zukunftsvision technisch bewanderter Menschen. „Intelligente“ Produktionen und die zunehmende Vernetzung von Maschinen sind schon heute State of the Art entlang der gesamten Wertschöpfungskette. Das enorme Gewinnpotenzial digitaler Geschäftsmodelle birgt jedoch auch Risiken in sich, die bisher weniger Beachtung fanden. Hackerangriffe und Cyberkriminalität verband man eher mit persönlichen Daten, Finanzinstitutionen oder Geheiminformationen denn mit Produktionsstraßen.
Doch die Zahl der Cyberangriffe auf Produktionen, Betriebsgeheimnisse und Unternehmensdaten steigt. Werden „intelligente“ System nicht durch eine umfassende, integrierte Cyber Security Strategie geschützt, verschwinden sie womöglich bald wieder von der Bildfläche, weil sie die Unternehmen zu angreifbar machen.
Cybersecurity hat daher heute jenen Stellenwert im Unternehmen, der ihr gebührt: den eines zentralen Bestandteils der Industrie 4.0, alle Bemühungen gesteuert vom Security Operations Center (SOC). Im Auftrag von T-Systems untersuchten die Analysten von Gartner in einer Studie, wie jede Organisation das geeignet SOC findet, um gegen Cyberattacken gewappnet zu sein.
Mit der zunehmenden Bedeutung der IT-Sicherheit für den operativen Betrieb wandelten sich die Initiativen für Cyber Security von einzelnen, isolierten Maßnahmen zu unternehmensweiten Sicherheitskonzepten. Bedrohungen vorzubeugen ist kaum mehr möglich, im Fokus steht daher, Angriffe schnellstmöglich entdecken und richtig reagieren zu können. Ein SOC als zentrale Anlaufstelle für Cybersecurity koordiniert, konsolidiert und überwacht die Maßnahmen zum Schutz der Unternehmens-IT. Die Bündelung an einem „Ort“ versetzt eine Organisation in die Lage, schneller und effizienter auf Bedrohungen zu reagieren, ihnen besser vorzubeugen und die einzelnen Unternehmensbereiche bei der Umsetzung des Cybersecurity-Konzepts zu unterstützen.
Über diese Kernaufgaben hinaus umfasst das SOC, speziell in sehr großen Betrieben, oft noch weitere Sicherheitsfunktionen, um so kostengünstig wie möglich arbeiten zu können. Der Kostenfaktor stellt nämlich die größte Hürde beim Aufbau und Betrieb eines SOC dar. Da Cyberangriffe rund um die Uhr stattfinden können, müssen die SOC auch immer besetzt sein – was bedeutet, über entsprechend qualifizierte Personalressourcen für einen 24/7-Schichtbetrieb zu verfügen. Für Konzerne mit komplexen Anforderungen oft sinnvoll, ist dies für Mittelbetriebe kaum zu bewältigen, weswegen ein hybrides SOC, eine Mischung aus externem Dienstleister und eigenen Mitarbeitern, hier die beste Lösung darstellen könnte.
Da die Bedürfnisse Firmen so unterschiedlich sind, weichen auch der Aufbau und die Organisation des jeweiligen SOC voneinander ab. Dennoch lassen sich die Cybersecurity Center laut den Experten von Gartner grob in fünf Kategorien einteilen:
Die Minimalform eines SOC. Es gibt weder einen physischen Ort, noch eigens für Cybersecurity eingestellte Mitarbeiter, das SOC ist nur ein Teil ihres Aufgabenbereichs. Prävention und Beratung zu Cyberangriffen sind in diesem Fall nicht möglich, die oft weit verstreut sitzenden Mitarbeiter werden lediglich nach Erhalt von Alarmmeldungen aktiv. Diese Form findet sich meist bei Klein- und Mittelbetrieben.
Hier werden aus Kostengründen die Funktionen des SOC mit anderen kritischen, rund um die Uhr benötigten IT-Services des Network Operations Centers (NOC) kombiniert. Eine durchaus praktikable Lösung für kleinere und mittelgroße Unternehmen, bei denen oft räumliche und personelle Überschneidungen zwischen den Teams der NOC und SOC vorliegen.
Das hybride SOC ist eine Mischung zwischen „klassischem“ SOC mit eigenen Räumlichkeiten und Personal und virtuellem SOC. Beide Varianten können entweder von internen Mitarbeitern oder externen Dienstleistern übernommen werden. Die Kombination aus zwei SOC-Modellen ermöglicht auch Klein- und Mittelbetrieben, wenn notwendig, rund um die Uhr für Cybersecurity zu sorgen. Je nachdem, wie hoch der Outsourcing-Anteil ist, behalten die Firmen mehr oder weniger Kontrolle über Prozesse und Effektivität des SOC.
Diese Variante mit eigenen Räumlichkeiten und spezialisierten Mitarbeitern entspricht der ursprünglichen Definition eines SOC. Die Cybersecurity-Services werden ausschließlich von internen Mitarbeiter, 24 Stunden am Tag, sieben Tage die Woche zur Verfügung gestellt. Die dadurch entstehenden Kosten rechnen sich nur für große Unternehmen oder Konzerne, Service Provider oder Unternehmen, deren IT-Systeme besonders gefährdet sind.
Die „SOC-Leitstelle“. Ein solches SOC überwacht, koordiniert und plant die Tätigkeiten der untergeordneten, klassischen SOC. Übergeordnete SOC finden sich nur bei sehr großen Konzernen, großen Service Providern, bei Behörden, dem Militär oder Geheimdiensten.
Der größte Nutzen eines Unternehmens durch die Einrichtung eines SOC ist mit Sicherheit eine bessere, effizientere Reaktion auf Bedrohungen aus dem Netz. Hier laufen die Meldungen verschiedenster Sicherheitssoftware und Überwachungssysteme zusammen, werden verglichen und zueinander in Relation gesetzt, sodass bei verdächtigen Aktivitäten sofort eingegriffen werden kann. Dies führt uns zum zweiten wichtigen Vorteil: Vorfälle werden schneller entdeckt, sodass Hacker und Cyberkriminelle weniger Schaden anrichten können. Als weiteren Vorteil nennen die Gartner-Analysten die Einhaltung von gesetzlichen Bestimmungen in Bezug auf Datensicherheit und Datenschutz, etwa der DSGVO.
Bei den Risiken steht eine „Überreizung“ der SOC-Mitarbeiter laut den Ergebnissen der Gartner-Studie ganz oben auf der Liste. Durch die Vielzahl an Meldungen von unterschiedlicher Sicherheitssoftware und Überwachungssystemen fällt es den Mitarbeitern irgendwann schwer, auszufiltern, was nur kleine Möchtegern-Angriffe und falscher Alarm und was tatsächlich echte Attacken aus dem Cyberspace sind.
Hier können bessere Analytic Tools und eine umfangreiche Security Information and Event Management (SIEM) Lösung Abhilfe schaffen. Das Personal bleibt dennoch der größte Knackpunkt des SOC. Qualifizierte, derart hoch spezialisierte Mitarbeiter sind schwer zu finden, Schichtdienst und monotone Arbeiten machen die Position eines SOC-Analysten eher unattraktiv. Ein unterbesetztes oder mit unterqualifizierten Mitarbeitern besetztes SOC wird jedoch über kurz oder lang scheitern und die gesteckten Ziele nicht erreichen. Gartner empfiehlt daher, dem Punkt „Personal“ von Anfang an genug Aufmerksamkeit zu widmen.
