Security Operation Center (SOC) FAQ

Was Unternehmen über Security Operation Center wissen müssen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Lesen Sie, was hinter dem Begriff SOC steckt und welche Vorteile ein Security Operation Center für Unternehmen bietet.

Unsere FAQ beantwortet die wichtigsten Fragen zum Thema Security Operation Center (SoC), darunter auch SoC as a Service.

Was ist ein SOC?

SOC steht für Security Operation Center und gilt als eine entscheidende Entwicklung im Bereich Security, um den zunehmend komplexen und raffinierten Cyber-Attacken zu begegnen. Ein Security Operation Center überwacht zentral bestimmte IT-Ressourcen und Daten, sucht nach Anzeichen für Angriffe und steuert die Reaktion auf IT-Bedrohungen. In einem SOC werden Security-Maßnahmen und Security-Kompetenz gebündelt. Den geballten Cyber-Angriffen wird geballte Security entgegengesetzt.

Man kann sich ein SOC als Kommandobrücke der Security vorstellen; tatsächlich sehen Security Operation Center so aus, mit ihrer Vielzahl an Displays, vor denen Security-Analysten sitzen, und den Großbildschirmen, auf denen die große Lage der Security präsentiert wird. Ticker-Meldungen zu Security-Ereignissen laufen über die Bildschirme, an dem einen oder anderen Display leuchtet ein Security-Alert, eine Warnung, auf, die sich der Security-Analyst sofort genauer ansieht.

Automatisierte Verfahren suchen dazu aus der Vielzahl der Sicherheitsmeldungen die für die zu schützenden IT-Systeme relevanten Meldungen heraus, der Security-Analyst erhält die kritischen Meldungen zur Entscheidung vorgelegt und kann die notwendigen Abwehrmaßnahmen einleiten. Je nach Auftrag informiert ein SOC zuerst den Kunden oder die verantwortliche Stelle, bevor die Abwehr beginnt, oder das SOC übernimmt direkt den kompletten Prozess von der Erkennung über die Bewertung bis hin zur Abwehr der Attacken.

Ein Security Operation Center kann innerhalb eines Unternehmens oder einer Behörde betrieben werden, es kann sich aber auch an einem separaten Ort befinden. In jedem Fall ist die zu schützende IT mit dem SOC eng über Schnittstellen verknüpft. Ein SOC kann parallel für mehrere Unternehmen oder Behörden aktiv sein, die sich dann die Aufwände für das Security Operation Center teilen.

Wer braucht ein Security Operation Center?

Im Prinzip könnte jedes Unternehmen von einem SOC profitieren, denn Security ist keine Aufgabe für "Einzelkämpfer". Security kann nur im Team geleistet werden, wie es in einem Security Operation Center bereitgestellt wird.

Ein Blick auf die Entwicklung der Cyber-Attacken macht dies deutlich: Auch die Angreifer sind in aller Regel keine Einzeltäter mehr, die Internetkriminalität ist inzwischen hochorganisiert und hat industriellen Charakter erlangt. Es gibt eine Aufgabenteilung wie die Programmierung von Malware, den Versand von Spam und die kriminelle Suche nach Sicherheitslücken. Es gibt Auftraggeber, Angriffsteams, Erfolgsgarantien für Attacken und Supportverträge, wie in der IT-Industrie.

Genauso muss es in der Security eine Aufgabenteilung und Teambildung geben. In einem Security Operation Center laufen alle Fäden der Erkennung, Analyse und Abwehr von IT-Angriffen zusammen. Erforderlich sind dafür Security-Experten, Security-Tools und nicht zuletzt ein Operation-Raum mit den notwendigen Arbeitsplätzen. Da die Attacken rund um die Uhr erfolgen, muss es auch im SOC einen Schichtbetrieb geben.

Der entsprechend hohe Bedarf an Security-Personal erschwert den Aufbau und Betrieb eines SOC. Für kleine und mittlere Unternehmen ist es kaum möglich, ein eigenes Security Operation Center zu betreiben, zu groß ist der Fachkräftemangel in der IT-Security und zu hoch sind die Erwartungen an die Gehälter bei vielen Security-Experten. Selbst größere Unternehmen können Schwierigkeiten mit einem eigenen SOC haben, so dass sich Security Operation Center as a Service, kurz SOC as a Service, anbietet.

Was bedeutet SOC as a Service?

Unter SOC as a Service versteht man die Dienstleistung eines Security Service Providers, im Kundenauftrag ein SOC zu betreiben. In der Regel wird SOC as a Service für mehrere Kunden parallel angeboten und geleistet. Es ist aber auch möglich, dass ein SOC für nur einen Kunden extern aufgebaut und betrieben wird.

Welche Leistungen genau unter die Bezeichnung SOC as a Service fallen, kann von Anbieter zu Anbieter variieren. Der Kern der Leistung ist immer die Überwachung des Security-Status (Monitoring) sowie die Suche nach Anzeichen für mögliche Attacken, die Auswertung sicherheitsrelevanter Informationen und die Berichte zur Security-Lage an den Kunden (Analytics).

Zusätzlich können auch weitere Security-Maßnahmen im SOC as a Service - Modell angeboten werden, darunter DDoS-Schutz, Firewall-Management, Management von Sicherheitsrisiken, Ereignis- und Protokollmanagement, Bearbeitung von Schwachstellen und Compliance, mobile Sicherheit, Erkennung und Abwehr von Angriffen von außen und innen, Informations- und Ereignismanagement (SIEM), Identitäts- und Zugriffsmanagement, Anwendungssicherheit, E-Mail- und Websicherheit, Analyse von Sicherheitsbedrohungen oder Web-Gateway-Management, also die ganze Palette an Managed Security Services.

Die Security-Aufgaben können zwischen dem Provider und dem Kunden aufgeteilt werden, die interne Security-Abteilung kann somit alle Aufgaben übernehmen, die möglich und sinnvoll sind. Das SOC kann auch beim Kunden selbst betrieben und vom Dienstleister verwaltet werden.

Beispiele für SOC as a Service sind:

8com Managed Security Solutions

Cisco Security Service for Managed Threat Defense

CSC SOC as a Service

EiQ SOCVue

FireEye as a Service

RadarServices

Telekom Cyber Defense as a Service

ThreatCloud Managed Security Service

Verizon SOC Services

Inhalt dieses Artikels