Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Was ist ein Security Operations Center (SOC)?

What is SOC security? In this article we'll dive into the functions of an SOC and why it's critical for the safety of your company's security and response to cybersecurity incidents.
David Harrington
7 minute gelesen
Letzte aktualisierung 23. Januar 2023

Inhalt

    Cyberangriffe und Datenschutzverletzungen nehmen immer weiter zu, und Unternehmen jeder Größe müssen sich auf die Sicherung ihrer technologischen Ressourcen konzentrieren. Aufgrund von finanziellen Einschränkungen und konkurrierenden Prioritäten ist es jedoch oft nicht möglich, ein internes IT-Sicherheitsteam in Vollzeit zu beschäftigen. 

    In solchen Fällen ist eine Zusammenarbeit mit einem SOC (Security Operations Center) oftmals die schlaueste Lösung. Ein SOC ist ein ausgelagertes Büro, das sich voll und ganz der Analyse des Netzwerkverkehrs und der Überwachung von Bedrohungen und Angriffen widmet. 

    Get the Free Pen Testing Active Directory Environments EBook

    Hier erfahren Sie, was ein SOC ist, welche grundlegenden Funktionen es hat und welche verschiedenen Modelle und Rollen es gibt. Es ist wichtig, die Best Practices für SOC-Sicherheit zu kennen, damit man seine Optionen gut recherchieren und den besten Anbieter auswählen kann.

    Was ist ein Security Operations Center?

    Ein Security Operations Center (SOC) ist ein zentraler Ort innerhalb des Unternehmens, an dem ein Sicherheitsteam für die Überwachung der Sicherheitslage des Unternehmens und jeglicher Cybersecurity-Bedrohungen zuständig ist. Das SOC schützt alle Bereiche der IT-Infrastruktur des Unternehmens, einschließlich, aber nicht beschränkt auf Netzwerke, Software und vorhandene Daten. SOCs erfüllen mehrere Funktionen, die alle dazu dienen, Cyberangriffe abzuwehren.

    Ein Security Operations Center arbeitet rund um die Uhr und sieben Tage die Woche, um die im System des Unternehmens protokollierten Ereignisse zu verfolgen und zu entscheiden, wie man mit diesen Ereignissen umgehen soll. Es wird in der Regel von einem Team aus Sicherheitsanalytikern, Ingenieuren und Managern unterstützt, die zusammenarbeiten, um möglichst schnell auf Sicherheitsbedrohungen zu reagieren.

    Im Grunde können Sie sich voll und ganz auf dieses Team verlassen, wenn es darum geht, Sicherheitsprobleme in Echtzeit zu lösen und Ihr Netzwerk zu schützen. Außerdem sucht das Security Operations Center kontinuierlich nach Möglichkeiten, die Sicherheitslage des Unternehmens zu verbessern und zukünftige Cyberangriffe zu verhindern. Ein SOC ist eine sinnvolle Investition, wenn man nachts ruhig schlafen möchte, weil man weiß, dass sein Netzwerk durchgehend vor Angreifern geschützt ist.

    Vorteile eines SOCBlog_Design_SOC_20211103_V1_de-DE2

    Da Technologie in jeder Branche weltweit eine zentrale Rolle spielt, muss Cybersicherheit für alle Unternehmen oberste Priorität sein. Das SOC-Modell hat sich in vielen Situationen als effektiv erwiesen, und wir werden im Folgenden die wichtigsten Vorteile untersuchen. Bedenken Sie jedoch, dass Sie mit der Auslagerung Ihrer IT-Sicherheitsaktivitäten ein gewisses Risiko eingehen.

    Kosteneffektivität

    Für die meisten Unternehmen sind die Gehälter ihrer Mitarbeiter der größte Kostenfaktor in ihrem Budget. Ein ganzes Teams von Cybersicherheitsexperten zu beschäftigen erfordert enorme Investitionen, sowohl vorab als auch fortlaufend. Mit dem SOC-Modell zahlen Sie stattdessen für eine Dienstleistung mit klaren Bedingungen und weniger Verpflichtungen.

    Weniger Ausfallzeiten

    Wenn eine Website oder eine Anwendung ausfällt, bedeutet das oft Umsatzeinbußen oder Schaden am Ruf des Unternehmens. Mit einem SOC können solche Auswirkungen minimiert und die Zeit bis zur Lösung des Vorfalls verkürzt werden. Selbst die zuverlässigsten Tools zur Überwachung der Betriebszeit sind nicht perfekt. Indem Sie also ein Security Operations Center einrichten, können Sie für Redundanz in Ihrem Netzwerk sorgen. Ihr internes Personal hat so viele konkurrierende Prioritäten, dass es von Vorteil sein könnte, Cybersicherheitsaktivitäten an ein SOC auszulagern.

    Kundenvertrauen

    Eine einzige Datenpanne, wie etwa das Datenleck bei Capital One, kann dazu führen, dass ein Kunde zweimal darüber nachdenkt, ob er einem Unternehmen seine privaten Daten anvertraut. Bei so wenig Raum für Fehler kann der Einsatz eines SOC, das die Systeme rund um die Uhr überwacht, all jenen ein Gefühl des Vertrauens bieten, die auf das Netzwerk und die Daten angewiesen sind.

    Wie SOCs arbeiten: 7 HauptverantwortlichkeitenBlog_Design_SOC_20211103_V1_de-DE3

    Bis zur Zunahme des Cloud Computing in den letzten Jahren haben sich Unternehmen in der Regel eine herkömmlichen Softwarelösung zum Scannen nach Malware ausgesucht, entweder per Download oder, ganz früher noch, auf einer CD-ROM, die per Post geliefert wurde. Diese Software wurde dann auf eine Firewall am Netzwerkrand installiert, und man vertraute darauf, dass diese Maßnahmen die eigenen Daten und Systeme hinreichend schützen würden. Heutzutage sieht die Realität deutlich anders aus, da Bedrohungen sich im gesamten Netz befinden und Hacker immer neue Möglichkeiten für rentable und raffinierte Angriffe finden, beispielsweise Ransomware.

    Ein SOC ist eine zentralisierte Funktion innerhalb eines Unternehmens, die Mitarbeiter beschäftigt und Tools einsetzt, um die Sicherheitslage kontinuierlich zu überwachen und verdächtige Malware und Cybersicherheitsvorfälle zu erkennen und zu verhindern. In diesem Zusammenhang bildet es eine Ebene von gemietetem Fachwissen für die Cybersicherheitsstrategie eines Unternehmens, die rund um die Uhr arbeitet, sodass Netzwerke und Endpunkte durchgehend überwacht werden. Wenn eine Schwachstelle gefunden oder ein Vorfall entdeckt wird, arbeitet das SOC mit dem IT-Team vor Ort zusammen, um auf das Problem zu reagieren und die Ursache zu untersuchen.

    Es gibt eine Reihe von operativen Kernfunktionen, die ein SOC erfüllen muss, um einen Mehrwert für ein Unternehmen zu schaffen. Die einzelnen SOCs führen intern verschiedene Aktivitäten und Funktionen aus, unabhängig davon, mit welchem Modell sie arbeiten. Es gibt jedoch eine Reihe von operativen Kernfunktionen, die ein SOC erfüllen muss, um einen Mehrwert für ein Unternehmen zu schaffen. Wir bezeichnen diese als die „sieben Verantwortungsbereiche“ und beschreiben sie nachfolgend näher.

    1. Asset-Bestandsaufnahme: Damit ein SOC einem Unternehmen helfen kann, sich zu schützen, muss es über ein vollständiges Inventar der Ressourcen verfügen, die es zu schützen gilt. Andernfalls kann es möglicherweise nicht den gesamten Umfang des Netzwerks schützen. Eine Asset-Bestandsaufnahme sollte jeden Server, Router und jede Firewall unter Unternehmenskontrolle sowie alle anderen Cybersicherheitstools identifizieren, die aktiv genutzt werden.
    2. Protokollsammlung: Daten sind die wichtigste Grundlage für ein ordnungsgemäß funktionierendes SOC, und Protokolle dienen als wichtigste Informationsquelle für Netzwerkaktivitäten. Das SOC sollte direkte Feeds von Unternehmenssystemen einrichten, damit Daten in Echtzeit erfasst werden können. Natürlich können Menschen solch große Mengen an Informationen nicht verarbeiten. Daher sind Protokoll-Scanning-Tools, hinter denen KI-Algorithmen stehen, für SOCs extrem wertvoll, auch wenn diese interessante Nebeneffekte mit sich bringen, die man gerade loszuwerden versucht.
    3. Vorbeugende Wartung: Im besten Fall kann das SOC Cyberangriffe verhindern, indem es seine Prozesse proaktiv gestaltet. Dazu gehören die regelmäßige Installation von Sicherheits-Patches und die Anpassung von Firewall-Richtlinien. Da bestimmte Cyberangriffe als Insider-Bedrohungen beginnen, muss ein SOC auch innerhalb der Organisation nach Risiken suchen.
    4. Kontinuierliche Überwachung: Um auf einen Cybersicherheitsvorfall reagieren zu können, muss das SOC für durchgehende und aufmerksame Überwachung sorgen. Wenige Minuten können darüber entscheiden, ob ein Angriff abgewehrt wird oder ob er ein ganzes System oder eine Website lahmlegt. SOC-Tools führen Scans im gesamten Unternehmensnetzwerk durch, um potenzielle Bedrohungen und andere verdächtige Aktivitäten zu erkennen.
    5. Alarmmanagement: Automatisierte Systeme sind sehr gut darin, Muster zu finden und festgelegte Abläufe zu befolgen. Aber wenn es darum geht, automatisierte Alarme zu analysieren und sie nach Schweregrad und Priorität einzustufen, zeigt sich, wie wertvoll die Mitarbeiterinnen und Mitarbeiter eines SOCs sind. Sie müssen nämlich wissen, welche Maßnahmen zu ergreifen sind und wie sie überprüfen können, ob ein Alarm wirklich ernstzunehmen ist.
    6. Ursachenanalyse: Nachdem ein Vorfall aufgetreten ist und behoben wurde, fängt die Arbeit des SOC erst an. Cybersicherheitsexperten analysieren die Ursache des Problems und stellen fest, warum es überhaupt aufgetreten ist. Dies führt zu einem kontinuierlichen Verbesserungsprozess, bei dem Sicherheitstools und -regeln regelmäßig geändert werden, um die gleichen Vorfälle in Zukunft zu verhindern.
    7. Compliance-Audits: Unternehmen möchten wissen, dass ihre Daten und Systeme sicher sind, aber auch rechtmäßig verwaltet werden. SOC-Anbieter müssen regelmäßige Audits durchführen, um ihre Compliance in den Regionen, in denen sie tätig sind, zu bestätigen. 

    SOC-Positionen

    Für Menschen, die bereits Erfahrung im Bereich Cybersicherheit haben, ist ein SOC-Anbieter der perfekte Ort, um Karriere zu machen. Gehen wir nun die wichtigsten Positionen durch, die mit der Leitung einer SOC verbunden sind.

    SOC-Manager

    SOC-Manager sind die Führungskräfte in ihrer Organisation. Sie tragen also Verantwortlichkeiten der obersten Ebene, einschließlich Einstellung/Entlassung, Budgetierung und Festlegung von Prioritäten. Sie unterstehen in der Regel direkt der Führungsebene, insbesondere dem Chief Information Security Officer (CISO).

    Compliance-Auditoren

    Compliance-Auditoren spielen eine Schlüsselrolle bei der Standardisierung der Prozesse innerhalb eines SOC. Sie fungieren im Wesentlichen als Abteilung für Qualitätskontrolle und stellen sicher, dass die SOC-Mitglieder Protokolle befolgen und sich an die staatlichen bzw. branchenspezifischen Vorschriften halten.

    Vorfallsreaktion

    Die Mitarbeiterinnen und Mitarbeiter in der Vorfallsreaktion werden dafür bezahlt, so schnell wie möglich auf Alarmmeldungen zu reagieren. Sie nutzen eine breite Palette von Überwachungsdiensten, um den Schweregrad der Warnmeldungen zu bewerten. Sobald eine davon als wirkliches Problem erkannt wird, wenden sie sich an das betroffene Unternehmen, um mit den Wiederherstellungsmaßnahmen zu beginnen.

    SOC-Analysten

    Ein SOC-Analyst ist dafür verantwortlich, vergangene Vorfälle zu überprüfen und die Ursache dafür zu ermitteln. Sie verfügen in der Regel über langjährige Berufserfahrung im Bereich Cybersicherheit und spielen eine entscheidende Rolle dabei, die technischen Aspekte hinter Vorfällen und deren Vorbeugung zu verstehen.

    Bedrohungsverfolgung

    In der Bedrohungsverfolgung werden proaktiv Tests in einem Netzwerk durchgeführt, um Schwachstellen zu ermitteln. Diese sollen gefunden werden, bevor ein Angreifer sie mit einem Angriff ausnutzen kann. So soll die allgemeine Datensicherheit verbessert werden.

    SOC-Modelle 

    Bis zu diesem Punkt haben wir uns auf ein externes SOC-Verarbeitungsmodell konzentriert, bei dem das jeweilige Unternehmen einen externen SOC-Anbieter bezahlt, damit dieser sich um seine Cybersicherheit kümmert. Es gibt jedoch mehrere andere Modelle der SOC-Architektur, die ähnlich funktionieren können.

    Eigenes oder internes SOC

    Das Unternehmen richtet ein eigenes Cyber-Security-Team innerhalb seiner Belegschaft ein. Wenn Sie sich entscheiden, Ihr eigenes SOC zu betreiben, benötigen Sie das Personal und das Fachwissen, um alle SOC-Aufgaben zu erfüllen, vom Manager bis hin zum Analysten.

    Virtuelles SOC 

    Das Sicherheitsteam verfügt über keinen eigenen Standort und arbeitet häufig aus der Ferne.  In einem virtuellen SOC-Modell wird die Rolle des SOC-Managers noch wichtiger, wenn es um die Koordinierung von Personen an mehreren Standorten geht.

    Globales bzw. Command-SOC 

    Eine hochrangige Gruppe, die kleinere SOCs in einer großen Region beaufsichtigt. Große, global verteilte Unternehmen bevorzugen oft das globale SOC-Modell, da es ihnen ermöglicht, strategische Initiativen zu implementieren und Verfahren bis hin zur Bedrohungsverfolgungs- und Analystenebene zu standardisieren. 

    Co-Managed SOC

    Die interne IT des Unternehmens ist eng mit einem ausgelagerten Anbieter verbunden, und die Cybersicherheit wird so gemeinsam verwaltet. Dies ist eines der kosteneffizientesten Modelle, da man nicht jede Rolle besetzen muss und mit dem Compliance-Auditor seines Partners zusammenarbeiten kann, um ordnungsgemäße Verfahrensabläufe sicherzustellen.

    SOC Best Practices

    Blog_Design_SOC_20211103_V1_de-DE4

    Da sich das SOC-Modell in den letzten Jahren stetig weiterentwickelt hat, verändern sich auch die Best Practices in Bezug auf den optimalen Betrieb eines SOC. Unabhängig davon, ob Sie ein internes SOC betreiben oder einen SOC-Anbieter suchen, sind hier einige wichtige Best Practices aufgeführt, die Sie umsetzen sollten.

    Automatisierung implementieren

    SOC-Teams müssen so effizient wie möglich sein. Das bedeutet, dass sie nicht die ganze Zeit mit dem Lesen von Protokolleinträgen und dem Beobachten des Datenverkehrs verbringen können. Stattdessen müssen sie automatisierte Tools für Security Operations Center implementieren, die mithilfe künstlicher Intelligenz Muster erkennen und sie auf wirklich wichtige Meldungen hinweisen.

    Cloud-Ansatz

    Früher konnte man eine Firewall an der Peripherie des Rechenzentrums errichten und darauf vertrauen, dass alles im Inneren geschützt war. Da sich nun alles zunehmend in Richtung Cloud Computing bewegt, müssen SOCs deutlich breiter ansetzen. Sie sollten analysieren, wie alle Teile einer Cloud-Infrastruktur interagieren und wo sich die Schwachstellen verbergen könnten.

    Wie ein Hacker denken

    Cyberkriminelle sind ständig auf der Suche nach neuen Angriffsformen, die Unternehmen und Privatpersonen nicht erwarten. Um ihnen immer einen Schritt voraus zu sein, müssen SOC-Teams für Cybersicherheit denselben kreativen Ansatz verfolgen. Wenn sie sich den ganzen Tag über veraltete Bedrohungen Gedanken machen, sind sie blind für die neuen Angriffe, die sich am Horizont abzeichnen. Penetrationstests und Chaostests sind wichtige Aktivitäten des Security Operations Center, da sie die Teams dazu zwingen, nach Schwachstellen an unerwarteten Stellen zu suchen.

    SOC FAQs 

    F: Wozu ein Security Operations Center?

    A: Ein SOC ist für den Schutz von Daten, Systemen und anderen Unternehmensressourcen unerlässlich. Mit einer SOC-Lösung können Sie sicher sein, dass Ihr Netzwerk vor Angriffen geschützt ist, sodass sich Ihre Mitarbeiter auf ihre eigentlichen Aufgaben konzentrieren können, anstatt sich um die Cybersicherheit sorgen zu müssen.

    F: Was sollte ein SOC überwachen?

    A: SOC-Tools und -Teams sollten den gesamten Datenverkehr eines Netzwerks überwachen, der von externen Quellen stammt. Das bedeutet, dass sich jeder Server, Router und jede Datenbank innerhalb des Verantwortungsbereichs des Security Operations Center Teams befinden müssen.

    F: Was ist der Unterschied zwischen NOC und SOC?

    A: Ein NOC ist ein Network Operations Center (Netzwerkbetriebszentrum). Ein NOC konzentriert sich in erster Linie auf die Minimierung von Ausfallzeiten und die Einhaltung von Servicelevel-Vereinbarungen, während ein SOC sich eingehender mit Bedrohungen und Schwachstellen in der Cyber-Security befasst.

    F: Was ist der Unterschied zwischen SOC und SIEM?

    A: SIEM steht für Security Information and Event Management (Sicherheitsinformations- und Ereignismanagement) und ist eine Softwareanwendung, die dabei hilft, Ereignisse für die Analyse zusammenzufassen, und die dazu beitragen kann, Sicherheitsereignisse in einen Kontext zu setzen. Ein SOC ist eine Gruppe von Personen und Tools, die zusammenarbeiten. Ein SIEM ist das Tool, das sie verwenden.

    Abschließende Überlegungen

    Der Einsatz eines SOC – ob intern oder ausgelagert – ist eine der besten Möglichkeiten, kritische Netzwerke und Daten sowohl vor externen als auch vor Insider-Bedrohungen zu schützen. Ein SOC kann Ihnen dabei helfen, Präventivmaßnahmen zu ergreifen, den Schaden von Hacks zu begrenzen und die Cyber-Kill-Chain einzuschätzen, falls es dennoch zu einem Angriff kommt. Und durch die Zusammenarbeit mit einem erfahrenen SOC-Partner wie Varonis können Sie alle Vorteile eines SOC kosteneffizient nutzen.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Harrington
    David Harrington

    David ist ein professioneller Autor und Berater für Technologieunternehmen, Start-ups und Risikokapitalfirmen.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?