Organisation & Compliance
Wie man sie aufbaut und was sie kostet

Die IT-Sicherheitszentrale in Ihrem Unternehmen

Security Operations Centre (SOC)
Der Aufbau hoher Mauern schützt die IT heute nicht mehr wirksam. Es stehen zu viele Einfallstore für Angreifer zur verfügung. Was tun, wenn man Risiken also nicht von vornherein abblocken kann? Man konzentriert sich auf das schnelle Erkennen von tatsächlichen, statt fiktiven Risiken! Angreifer, die sich im Netzwerk aufhalten, müssen gestoppt werden, bevor sie Schaden anrichten.

Von einer Sicherheitsinformation zum tatsächlichen Alarm

So funktioniert die Risikoerkennung im Security Operations Center (SOC) (auch Cyber Defence Center genannt): Im ersten Schritt liefert die automatisierte Risikoerkennung viele Hinweise auf mögliche Sicherheitsrisiken. Die Kunst besteht dann darin, Informationen aus mehreren Quellen zu verdichten und die tatsächlich kritischen Events aus der großen Masse an Daten herauszufiltern. Dann müssen die Experten richtig reagieren: die Informationen aufbereiten, die richtigen Personen informieren oder alarmieren und schlussendlich kontrollieren, dass die gesetzten Maßnahmen zu einer erfolgreichen Gefahrenabwehr geführt haben.

Hardware, Software, Sicherheitsexperten und funktionierende Notfallprozesse: All das wird in einem SOC gebündelt. Je nach Unternehmensgröße muss es 24 Stunden an 7 Tagen in der Woche verfügbar sein.

Die notwendigen Werkzeuge umfassen:

  • Kontinuierliche Schwachstellenanalyse
  • Netzwerk-Risiko-Erkennung basierend auf Signaturen und
    Verhaltensanalyse
  • Logdaten-Analyse (Security Information and Event Management)
  • Sandboxing für Email Attachments & Web Downloads (Advanced
    Persistent Threat Detection)
  • Threat Intelligence
  • Wissensdatenbank (Risiken und Lösungen) und
  • Workflow-Management-System.

Das machen die Experten:

  • Bewertung von Risikohinweisen aus der automatisierten Risikoerkennung
  • Risikoerkennungswerkzeuge ständig an die aktuellen Gegebenheiten anpassen
  • Kontextualisierung von Security Events in wirkliche Incidents
  • Entwickeln, Implementieren und Optimieren von Risk Detection Usecases
  • Integration von bereits existierenden Risk Detection Solutions
  • Steuern der IT Risk Management Prozesse und Workflows
  • Identifizieren, Sammeln und Zusammenführen von Threat Intelligence Daten

Die Expertenarbeit

Im Mittelpunkt der Expertenarbeit steht: Die richtigen Schlüsse ziehen. Sie lassen sich als Kombinationen aus verschiedenen Informationsquellen erkennen.

Kombination verschiedener Informationsquellen

Ein SOC selbst aufbauen – so geht’s

Der Aufbau einer „Sicherheitszentrale“ muss gut geplant sein, schließlich handelt es sich um ein komplexes Zusammenspiel aus verschiedenen Einzelkomponenten.

  1. Was ist bereits im Unternehmen vorhanden?
    Eine erste Bedarfsevaluierung und Sichtung notwendiger Produkte und Lösungen ist der erste Schritt. Was soll überwacht werden und mit welchen Technologien? Welche Compliance Anforderungen sind zu beachten und von welchen Datenmengen ist die Rede?
  2. Sind die Detailplanungen und anschließenden Vertragsverhandlungen abgeschlossen, geht’s in die Umsetzung. Die angeschaffte Hard- und Software wird installiert. Die SOC-Mitarbeiter werden eingearbeitet und geschult. Prozesse für die Behebung der Risiken werden festgelegt. Ein Risiko-Workflow/Ticket System wird implementiert. Der Probebetrieb findet statt und die ersten Ergebnisse werden analysiert.
  3. Der Regelbetrieb schließt an. Die Experten analysieren die automatisiert erlangten Ergebnisse, verdichten die wichtigen Informationen zu tatsächlichen Alarmen, arbeiten bei Risikobehebungen mit anderen Abteilungen zusammen und übernehmen die Endkontrolle der gesetzten Maßnahmen. Wichtig ist, dass das Expertenknowhow immer uptodate ist. Regelmäßige Weiterbildungen in puncto Threat Landscape, neue Angriffsmethoden, neue Produktfeatures und Releases sind unerlässlich.

Selbst betreiben oder als „SOC as a Service“

Der Aufbau eines eigenen SOCs ist besonders für sehr große Unternehmen und öffentliche Einrichtungen geeignet. Die Alternative „SOC as a Service“, also die Inanspruchnahme eines externen Dienstleisters, sollte jedenfalls auch überlegt werden. Die Dienstleister liefern das Komplettset und liefern schnell Ergebnisse. Entscheidend für den einen oder anderen Weg zum SOC sind – neben strategischen Überlegungen – meistens auch die Kosten.

Zwei Beispiele

Ausgangspunkt 

Das Risiko-Erkennungs-Modul „Network-based Intrusion Detection (NIDS)“ meldet einen verdächtigen Zugriff auf eine Internetseite mit Malware-Hintergrund.

Informationsverdichtung 

Der Zugriff (Netzwerkverkehr, PCAP) wird im Detail analysiert, ebenso die Kritikalität der Internetseite. Firewall- und Proxy-Log-Daten des betroffenen IT-Systems werden berücksichtigt.

Ausgangspunkt 

Das Risiko-Erkennungs-Modul „Security Information & Event Management (SIEM)“ meldet eine ungewöhnlich hohe Anzahl an Firewall-Deny-Meldungen von intern in Richtung Internet.

Informationsverdichtung 

Datenverkehr und Verhalten des betroffenen IT-Systems werden analysiert. Download-Verhalten und Anti-Viren-Meldungen werden begutachtet. Das Ergebnis der letzten Schwachstellen-Analyse wird berücksichtigt. Weitere Analysemaßnahmen des Endgerätes werden mit der operativen IT eingeleitet.

Eine Beispielrechnung

Ein Unternehmen hat 5.000 Mitarbeiter, das heißt übersetzt in zwei für ein SOC wichtige Faktoren: Es gibt circa 5.000 IP-Adressen und 5.000 events-per-second (EPS).

Aufbau eines eigenen SOC

Der Aufbau eines eigenen SOCs in diesem Rahmen dauert erfahrungsgemäß 9 bis 12 Monate. In dieser Phase sind vor allem die internen Personalressourcen, die Anschaffung der Technologie, externe Consultingleistungen und der Aufbau von SOC-Mitarbeitern zu kalkulieren. Ab dem zweiten Jahr bestehen die hauptsächlichen Kostenblöcke aus Lizenzkosten für die Nutzung der Technologie und das SOC-Personal.

BeschreibungKosten AnschaffungKosten jährlich
Technologie – RadarServices Cyber Security Detection PlatformEUR 300.000EUR 60.000
Threat IntelligenceEUR 10.000
Consulting (extern)EUR 20.000
Personal (interner SOC-Betrieb / Mindestszenario 5*12; 4 Mitarbeiter)EUR 320.000
GESAMT – Interner SOC-Betrieb auf der technologischen Basis der RadarServices Cyber Security Detection PlatformEUR 300.000EUR 410.000

In diesem Szenario würde der finanzielle Aufwand im ersten Jahr also EUR 710.000 und im zweiten Jahr EUR 410.000 betragen.

Neben den Kosten: Sie brauchen Zeit!

„A fool with a tool is still a fool“ – ein Sprichwort, das besonders im Bereich Sicherheit bedacht werden kann, um sich nicht in falscher Sicherheit zu wiegen. Struktur, die Ressource „Zeit“ und ein echter Fokus auf den SOC-Aufbau und -Betrieb gehören zu den entscheidenden Erfolgsfaktoren. Am Ende muss alles funktionieren, wenn es einmal ernst wird.

SOC as a Service im Vergleich

Externe Dienstleister bringen in der Regel alle notwendigen Werkzeuge und Experten ebenso wie etablierte Prozesse mit. Damit ist der vollständige SOC-Betrieb abgedeckt. Kunden wählen die gewünschten Risikoerkennungsmodule und die Intervalle in denen Experten tätig werden: In diesem Beispiel gehen wir von täglichen Analysen aus.

Es gibt im Regelfall keine Anschaffungskosten, sondern eine „Setup Fee“ die alle Anfangsaufwendungen umfasst. Die Arbeit des externen SOCs wird in einer „Testphase“ (Proof of Concept, POC) demonstriert.

BeschreibungKosten AnschaffungKosten jährlich
POC (Proof of Concept, 3 Monate)EUR 30.000
Setup FeeEUR 70.000
Jährliche Service FeeEUR 190.000
GESAMT – SOC as a ServiceEUR 100.000EUR 190.000

In diesem Szenario würde der finanzielle Aufwand im ersten Jahr also EUR 290.000 bei der Wahl eines täglichen Intervalls betragen, in dem die Experten analysieren. Im zweiten Jahr ist mit EUR 190.000 bei täglichem Intervall zu rechnen. Inkludiert sind die Kosten für Experten, Maintenance und Threat Intelligence, exkludiert ist möglicher Consultingaufwand.