SOC ein Plan zur kontinuierlichen Überwachung

veröffentlicht am 16. Dezember 2021

von Cem Yilmaz, Rödl & Partner Köln, und Martin Gärthöffner

Ein geordnetes Herangehen zur kontinuierlichen Überwachung aller aus Sicht von Cybersicherheit relevanten Indikatoren kann Ihrer Organisationen dabei helfen Sicherheitsbedrohungen und -schwachstellen proaktiv zu erkennen, sowohl schnell und angemessen zu reagieren, als auch in Stresssituationen die richtigen Prioritäten zu setzen. Maßnahmen zur Überwachung und Bewältigung von Sicherheitsschwachstellen in Systemen können Organisationen auch eine Fülle wertvoller Informationen über ihre Gefährdung durch Cyber-Bedrohungen liefern und ihnen helfen, die mit dem Betrieb ihrer Systeme verbundenen Sicherheitsrisiken zu ermitteln sowie diesen zu begegnen. Eine kontinuierliche Überwachung bedeutet auch, die Sicherheitskontrollen gemäß den sich stetig in Veränderung befindlichen Cyber-Bedrohungen anzupassen, um deren Wirksamkeit zu gewährleisten.

Drei Arten von kontinuierlichen Überwachungsmaßnahmen sind

Schwachstellenbewertungen auf Basis der Architektur,
automatisierte Schwachstellenscans und
additive Penetrationstests.

Eine Schwachstellenbewertung besteht in der Regel aus einer Überprüfung der Systemarchitektur oder einer eingehenden praktischen Bewertung, während ein Schwachstellenscan die Verwendung von Softwaretools zur automatisierten Überprüfung auf bekannte Sicherheitslücken beinhaltet. In jedem Fall besteht das Ziel darin, so viele Sicherheitslücken wie möglich zu identifizieren. Ein Penetrationstest hingegen dient dazu, durch die Anwendung realer Cyberangriffstechniken ein bestimmtes Ziel zu erreichen, sei es die Überwindung von Sicherheitsmaßnahmen oder die Möglichkeit der Kompromittierung kritischer Systemkomponenten oder Daten.

Unabhängig von den gewählten kontinuierlichen Überwachungsaktivitäten sollten diese von entsprechend qualifiziertem Personal durchgeführt werden, das von dem zu bewertenden System unabhängig ist. Dabei kann es sich sowohl um internes Personal als auch um eine dritte Partei handeln. Auf diese Weise wird sichergestellt, dass kein Interessenkonflikt besteht, weder vermeintlich noch tatsächlich und das die Aktivitäten objektiv durchgeführt werden.

Eine intelligente Lösung ist in diesem Fall die Zusammenarbeit mit einem SOC (Security Operations Center). Ein SOC ist eine interne oder ausgelagerte Zentrale, welche sich ausschließlich der Analyse des Datenverkehrs und der Überwachung von Betriebsdaten auf Bedrohungen und Angriffe widmet.

Was ist ein Security Operations Center?

Ein Security Operations Center (SOC) ist ein Zentrale innerhalb des Unternehmens, ein Sicherheitsteam, welches für die Überwachung der Sicherheitslage des Unternehmens und aller Cybersicherheitsbedrohungen zuständig ist. Das SOC trägt dazu bei, alle Bereiche der IT-Infrastruktur des Unternehmens zu schützen, einschließlich, aber nicht beschränkt auf: Netzwerke, Systeme, Software und vorhandene Daten. SOCs erfüllen mehrere Funktionen, um das Hauptziel der Abwehr von Cyberangriffen zu erreichen.

Ein Security Operation Center arbeitet kontinuierlich, rund um die Uhr und 365 Tage im Jahr, um die im Unternehmen aufgezeichneten Ereignisse zu verfolgen und zu entscheiden, wie diese Ereignisse behandelt werden sollen. Sie werden in der Regel von einem Team aus Sicherheitsanalytikern, Sicherheitsingenieuren und forensischen Spezialisten unterstützt, die zusammenarbeiten, um sofort auf Sicherheitsbedrohungen zu reagieren.

Im Grunde können Sie sich voll und ganz darauf verlassen, dass dieses Team Sicherheitsprobleme in Echtzeit angeht und Ihr Unternehmen und Netzwerk schützt. Das Security Operations Center sucht außerdem ständig nach Möglichkeiten, die Sicherheitslage des Unternehmens zu verbessern und zukünftige Cyberangriffe zu verhindern. Ein SOC ist eine sinnvolle Investition, wenn Sie ruhig in dem Wissen schlafen wollen, dass Ihr Netzwerk kontinuierlich vor Hackern geschützt ist.

Es gibt eine Reihe von Kernfunktionen, mittels derer ein SOC einen Mehrwert für ein Unternehmen schafft:

Bestandsaufnahme: Damit ein SOC einem Unternehmen helfen kann, sicher zu bleiben, muss es über ein vollständiges Inventar der zu schützenden Ressourcen verfügen. Andernfalls sind sie möglicherweise nicht in der Lage, das Netzwerk und die Systeme in vollem Umfang zu schützen. Bei einer Bestandsaufnahme sollten alle Server, Router und Firewalls unter der Kontrolle des Unternehmens sowie alle anderen aktiv genutzten Cybersicherheitstools erfasst werden.

Log-Sammlung: Protokolldaten sind eine wichtige Komponente für das ordnungsgemäße Funktionieren eines SOC. Die Protokolle dienen als Hauptquelle für Informationen über die System- und Netzwerkaktivitäten. Das SOC sollte die direkte Verarbeitung dieser Informationen einrichten, damit die Daten in Echtzeit erfasst werden. Tools zum Scannen von Protokollen können zusätzlich zu herkömmlicher Methodiken auch mittels Algorithmen mit künstlicher Intelligenz unterstützt werden.

Vorbeugende Wartung: Im besten Fall kann das SOC Cyberangriffe verhindern, indem es seine Prozesse proaktiv gestaltet. Dazu gehören die regelmäßige Installation von Sicherheits-Patches und die Anpassung von Firewall-Richtlinien. Da einige Cyberangriffe als Insider-Bedrohungen beginnen, muss ein SOC auch innerhalb des Unternehmens nach Risiken suchen.

Kontinuierliche Überwachung: Um auf einen Vorfall im Bereich der Cybersicherheit reagieren zu können, muss das SOC seine Überwachungspraktiken gezielt anwenden. Wenige Minuten können den Unterschied ausmachen, ob ein Angriff abgewehrt wird oder ob er ein ganzes System oder eine Website lahm legt. SOC-Tools führen Scans im gesamten Unternehmensnetzwerk durch, um potenzielle Angreifer zu identifizieren.

Alarmmanagement: Automatisierte Systeme sind hervorragend in der Lage, Muster zu erkennen und Skripten zu folgen. Aber der menschliche Faktor eines SOC erweist sich, des Öfteren als wertvollstes Element, wenn es darum geht, automatische Alarme zu analysieren und sie nach Schweregrad und Priorität einzustufen. SOC-Mitarbeiter müssen wissen, welche Maßnahmen zu ergreifen sind und wie sie überprüfen können, ob eine Warnung auch berechtigt ist.

Ursachenanalyse: Nachdem ein Vorfall eingetreten und behoben ist, analysieren die Cybersecurity-Experten des SOC die Ursache des Problems und stellen fest, warum es überhaupt aufgetreten ist. Dies fließt in einen Prozess der kontinuierlichen Verbesserung ein, bei dem Sicherheitstools und -regeln geändert werden, um künftige Vorfälle des gleichen Typs zu verhindern.

Audits zur Einhaltung der Vorschriften: Unternehmen wollen nicht nur wissen, dass ihre Daten und Systeme sicher sind, sondern auch, dass sie rechtssicher verwaltet werden. SOC-Anbieter müssen regelmäßig Audits durchführen, um ihre Compliance in den Regionen, in denen sie tätig sind, zu bestätigen.

Rödl & Partner kann Sie bei der Konzeptionierung und Umsetzung eines SOC unterstützen. Hierbei können wir in einem Assessment die Komplexität ihrer Organisation aus Sicht des SOC feststellen, und mit Ihnen im Rahmen eines Projektes den technischen Aufbau eines SOC mit begleiten. Dabei achten wir gemeinsam auf die Schnittstellen zu ISMS, Datenschutz und Business Continuity Management. Über mehrere Phasen kann so das SOC-Team mit den wichtigsten Systemen beginnend in Ihre Cybersicherheitsstrategie eingebettet und in Ihre Unternehmenslandschaft integriert werden.

Haben Sie noch Fragen zum Thema? Kontaktieren Sie uns gerne!

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *

Datenschutzerklärung *Ich stimme der Nutzung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung ausdrücklich zu.
EinwilligungJa, ich möchte von Rödl & Partner* per E-Mail über weitere Neuigkeiten und Veranstaltungen rund um das Thema Digital GRC informiert werden.
Ja, ich möchte von Rödl & Partner* per E-Mail außerdem darüber hinaus über Neuigkeiten und Veranstaltungen rund um die Themen Recht, Steuern und Wirtschaft informiert werden.

Helfen Sie uns, Spam zu bekämpfen.