Wie rüsten sich Unternehmen gegen die wachsende Cyberbedrohung? Im Rahmen eines ITWelt.at-Roundtable diskutierten Experten den Status Quo und die Zukunft von Security Operations Centern (SOC). Im Fokus: MDR, XDR, KI und Herausforderungen für KMU. [...]
In der heutigen, sich ständig wandelnden Bedrohungslandschaft hat sich das Security Operations Center (SOC) zu einem unverzichtbaren Bestandteil einer robusten IT-Sicherheitsstrategie entwickelt. Als zentrale Anlaufstelle für die Überwachung, Analyse und Reaktion auf Sicherheitsvorfälle spielt ein SOC eine entscheidende Rolle beim Schutz von Unternehmensdaten und -systemen. Angesichts der zunehmenden Komplexität und Häufigkeit von Cyberangriffen gewinnt die Fähigkeit, Bedrohungen in Echtzeit zu erkennen und effektiv zu begegnen, für Unternehmen jeder Größenordnung immer mehr an Bedeutung. Vor diesem Hintergrund veranstalteten Infinigate Österreich und ITWelt.at einen Roundtable mit dem Titel „Bock auf SOC“. Ziel der Expertenrunde war es, den aktuellen Stand und die zukünftige Entwicklung von Security Operations Centern zu beleuchten.
SOC im Unternehmen
„Das Security Operations Center spielt eine zunehmend wichtige Rolle in modernen Unternehmen“, erklärte Timo Kirchem, Sales Engineer Central Europe bei WatchGuard, in seinem Eingangstatemant. „Die konkrete Ausgestaltung und Einführung eines SOC hängt jedoch maßgeblich von der Unternehmensgröße und den individuellen Herausforderungen ab, die mit diesem Prozess einhergehen.“ In der Regel seien verschiedene Zwischenschritte erforderlich, bevor ein voll funktionsfähiges SOC implementiert werden könne. Gerade für KMU können die Herausforderungen in der Anfangsphase besonders groß sein. „Ein zentrales Thema ist dabei die Mindestlizenzierung: Viele KMU erreichen nicht die erforderliche Anzahl an Nutzern, was eine sorgfältige Auswahl der passenden Sicherheitslösung für das Unternehmen unabdingbar macht. Dabei müssen auch die bereits eingesetzten Produkte berücksichtigt werden, insbesondere im Hinblick auf deren Kompatibilität mit der neuen SOC-Lösung.“
Darüber hinaus spielen personelle Ressourcen und das vorhandene Knowhow eine entscheidende Rolle. Schließlich stelle sich die grundsätzliche Frage, wie das SOC organisatorisch und zeitlich aufgestellt werden soll. „Kann sich das Unternehmen einen rund um die Uhr verfügbaren Betrieb leisten oder sind alternative Betriebsmodelle sinnvoller? Alle diese Zwischenschritte und Überlegungen müssen sorgfältig beachtet und geplant werden, um ein erfolgreiches SOC aufzubauen.“
Dem Thema 24/7-Überwachung könne sich ein Unternehmen aber kaum entziehen, ergänzte Klaus Gheri, VP Engineering, Network Security bei Barracuda: „Denn Angreifer agieren weltweit und sind über verschiedene Zeitzonen hinweg aktiv. Das bedeutet: Sie sind auch dann aktiv, wenn bei uns niemand arbeitet – sei es nachts, an Feiertagen wie Weihnachten oder zu Neujahr. Einen eigenen Managed Service rund um die Uhr zu betreiben, ist aufwendig: Schon für eine grundlegende Ausbaustufe benötigt man mindestens fünf bis acht Personen, um den Betrieb aufrechterhalten zu können. Für den professionellen SOC-Betrieb ist jedoch noch viel mehr Kompetenz und eine größere Personaldecke erforderlich.“ Für mittelständische Unternehmen sei es daher kaum realistisch, ein vollständiges 24/7-SOC in Eigenregie zu betreiben. Gheri empfiehlt die Zusammenarbeit mit einem spezialisierten Dienstleister oder die Nutzung von Managed Services.
Ausgelagertes SOC
Hier komme Managed Detection and Response (MDR) ins Spiel, so Fabian Freundt, Senior Solutions Engineer bei Sonicwall: „MDR ist im Grunde genommen das outgesourcte Security Operations Center. Bei einem MDR-Service handelt es sich um ein gemanagtes SOC, in dem erfahrene Experten rund um die Uhr für das Unternehmen tätig sind. Sie überwachen kontinuierlich das Netzwerk, reagieren bei Angriffen oder Auffälligkeiten und leiten bei Bedarf sofort Gegenmaßnahmen ein.“ Für ein KMU bedeute MDR somit, dass es die wichtigen Schutzmechanismen eines SOC nutzen kann, ohne selbst die Infrastruktur und das entsprechende Personal vorhalten zu müssen. „Die Sicherheit bleibt damit auf hohem Niveau, während der Aufwand für das Unternehmen gering bleibt“, so Freundt.
Auf die Frage, worauf Unternehmen bei der Evaluierung eines SOC achten sollten, erklärt Peter Aicher, Senior System Engineer bei Rapid 7, dass es wichtig sei, „nicht nur einen Service zu wählen, der die reine Triage übernimmt und lediglich feststellt, dass im Hintergrund möglicherweise etwas Gefährliches passiert ist. Unternehmen sollten vielmehr darauf achten, dass der Service über die klassische Alarmierung hinausgeht und eng mit dem Kunden zusammenarbeitet. Idealerweise gibt es beim Kunden eine fest eingebettete Ansprechperson – eine Art Bindeglied zwischen dem Endkunden und den SOC-Analysten. Diese Person kann nicht nur Fachsprache übersetzen, sondern auch kleinere Anliegen regeln, Dashboards aufbauen und bei Präsentationen gegenüber der Geschäftsleitung unterstützen.“ So werde nicht nur sichergestellt, dass im Notfall schnell und kompetent gehandelt wird, sondern auch, dass die laufenden Dienste und entstehenden Kosten für das Unternehmen transparent und nachvollziehbar bleiben. „Letztlich sollte ein SOC-Dienstleister mehr bieten als nur Alerts und Weboberflächen: Er sollte den Kunden kennen, individuell betreuen und als echter Partner agieren“, so Aicher.
Zu Beginn einer Implementierung eines SOC solle immer das Verständnis für das jeweilige Unternehmen im Mittelpunkt stehen, ergänzt Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist, Office of the CTO bei Check Point. „Es gilt zu identifizieren, welche Bereiche besonders kritisch sind und vorrangig geschützt werden müssen. Ebenso wichtig ist die Frage, an welchen Stellen automatisierte Prozesse im Falle eines Sicherheitsvorfalls greifen können. Sollte ein Incident eintreten, kann durch die permanente Überwachung schnell und effizient reagiert werden. Zudem stehen dem Unternehmen zusätzliche Ressourcen zur Verfügung, die nicht nur im Tagesgeschäft entlasten, sondern auch über umfangreiches Fachwissen verfügen. Dieses Knowhow selbst aufzubauen, erfordert viel Zeit und kontinuierliches Training.“ Hier setze ein SOC- oder MDR-Service an, indem er Unternehmen diese Aufgaben abnimmt. Wichtig dabei sei, den Kunden und seine individuellen Use Cases genau zu verstehen. „Nur so können die richtigen Abläufe definiert und im Ernstfall optimal koordiniert werden. Ziel ist es, als MDR-Lösung den Kunden im Bedarfsfall schnell und effektiv zu unterstützen.“
Für Konstantin Berger, Solutions Engineering Manager DACH bei Trellix, ist auch XDR – also Extended Detection and Response – ein essenzieller Bestandteil moderner SOC-Architekturen: „XDR ist keine bloße Weiterentwicklung von EDR (Endpoint Detection and Response), sondern steht für ›extended‹ – also erweitert. Das bedeutet, XDR integriert zahlreiche verschiedene Sicherheitsvektoren: Endpunkte, Netzwerke, E-Mail, Data Protection und Identity Management – um nur einige zu nennen. Diese diversen Quellen werden im XDR korreliert und übersichtlich dargestellt. Dabei geht es nicht darum, einfach ein weiteres Dashboard im SOC zu schaffen, das nur zusätzliche Alarme produziert. Vielmehr muss XDR die wirklich relevanten Warnungen herausfiltern und die SOC-Mitarbeitenden darauf fokussieren, worauf es im Ernstfall ankommt.“ Für Jürgen Reinhart, Solution Consultant bei WithSecure, spielen auch Incident Response Retainer im Umfeld eines SOCs eine ganz entscheidende Rolle:“ „Oft liegt der Fokus lediglich auf der Detection, also dem Erkennen von Vorfällen. Doch damit ist man bereits einen Schritt zu spät, denn der Vorfall ist zu diesem Zeitpunkt schon eingetreten. Aus meiner Sicht ist daher das Thema Response, insbesondere die Incident Response, sogar noch bedeutsamer.“ Reinhart bringt dazu den Vergleich mit Rauchmeldern: „Die Detection funktioniert heutzutage sehr gut – Brände können frühzeitig erkannt werden. Die entscheidende Frage ist jedoch: Was passiert danach? Hier kommt die Incident Response ins Spiel, vergleichbar mit der Feuerwehr, die ausrückt, um den Brand zu löschen. Doch es macht einen großen Unterschied, ob eine kleine Dorffeuerwehr oder ein hochspezialisiertes Einsatzteam zum Einsatz kommt. Wir sind überzeugt, dass reine Automatisierung – etwa das automatische Isolieren eines Hosts – in vielen Fällen nicht ausreicht. Der Geschäftsbetrieb unserer Kunden muss ja weiterlaufen. Wir können nicht einfach die Feuerwehr sein, die alles lahmlegt; vielmehr müssen wir dafür sorgen, dass die digitalen Geschäftsprozesse, wenn möglich, auch während eines Angriffs aufrechterhalten werden. Hier kommt ein erfahrenes Incident Response Team ins Spiel – Profis, die genau wissen, wie sie in kritischen Situationen ruhig, überlegt und effektiv handeln.“
„Die Vorteile eines SOC liegen vor allem darin, dass Unternehmen ihre Sicherheitsprozesse und -überwachung im eigenen Haus zentralisieren können“, bringt es Timo Kirchem auf den Punkt. „Um jedoch hohe Kosten und einen großen personellen Aufwand zu vermeiden, sind bestimmte technologische und organisatorische Maßnahmen entscheidend.“
Gamechanger KI
Hier wird die Rolle der künstlichen Intelligenz (KI) immer größer. „Der Einfluss von KI auf das SOC ist enorm“, so Kirchem. „KI ist in der Lage, riesige Datenmengen schnell und effizient zu analysieren und ermöglicht es dem SOC-Team, wesentlich schneller auf sicherheitsrelevante Ereignisse zu reagieren. Früher war es notwendig, tief in die Daten einzutauchen, um relevante Informationen zu finden. Heute liefert KI gezielt die entscheidenden Hinweise. Dadurch entlastet die Technologie das Team erheblich und übernimmt viele Routineaufgaben.“
Doch KI steigert auch die Effizienz und Qualitiät auf Angreiferseite, ergänzte Klaus Gheri: „Das bedeutet: Es gibt mehr Angriffe, und sie werden immer raffinierter und schwerer zu erkennen. Sie sind zwar weiterhin identifizierbar, doch der Aufwand für die Erkennung steigt erheblich. Wir haben im letzten Jahr eine Vervierfachung der Ransomware-Angriffe festgestellt.“ KI sei aber im SOC mittlerweile unverzichtbar. “ Sie gruppiert und kontextualisiert Daten aus verschiedenen Quellen, reduziert und dedupliziert Informationen und hilft dabei, relevante Indicators of Compromise zu identifizieren. So werden Analysten effektiv dabei unterstützt, Vorfälle schneller und fundierter zu beurteilen. Gerade angesichts der enormen Datenmengen ist diese Unterstützung entscheidend“, so Gheri.
Auch Fabian Freundt zeigte sich davon überzeugt, dass man KI mit KI bekämpfen müsse: „Als Hersteller nutzen wir ebenfalls KI-Technologien, um solche sich ständig weiterentwickelnden Angriffe zu erkennen und abzuwehren. Natürlich bringt auch eine von uns eingesetzte gute KI gewisse Herausforderungen mit sich, etwa sogenannte Blind Spots. Das bedeutet: Wenn eine neue Ransomware-Variante oder ein bisher unbekannter Zero-Day-Angriff auftaucht, kann auch unsere KI diese Bedrohung zunächst noch nicht erkennen. In anderen Fällen ist die KI jedoch in der Lage, Muster und Auffälligkeiten zu identifizieren und diese den SOC-Analysten übersichtlich darzustellen, sodass sie gezielt reagieren können. Das Fazit ist: Im aktuellen Bedrohungsumfeld muss KI tatsächlich mit KI bekämpft werden. Nur so kann man mit der rasanten Entwicklung auf der Angreiferseite Schritt halten.“
Peter Aicher sieht im SOC-Bereich zwei zentrale Anwendungsfelder für KI: Erstens die Automatisierung von Standardaufgaben. „Besonders bei der Erstellung von standardisierten Reports bietet KI einen enormen Mehrwert. Analysten müssen so keine Zeit mehr in Routineaufgaben investieren. Komplexere Reports und Analysen bleiben nach wie vor Aufgaben für den Menschen.“ Und zweitens die Reduktion des Grundrauschens: „Zunächst werden im SOC große Mengen an Daten gesammelt, doch nicht alle Informationen sind sofort relevant. Die KI hilft, die Datenflut zu bewältigen und filtert Unwichtiges heraus. Dadurch werden die Analysten entlastet und können sich auf wirklich entscheidende Vorfälle konzentrieren.“ Wichtig sei jedoch, dass jede KI immer nur so leistungsfähig wie die Qualität der ihr zur Verfügung stehenden Daten sei. „Sie muss kontinuierlich optimiert, angepasst und überprüft werden – erst dann kann man sich wirklich auf sie verlassen. Bei Rapid7 legen wir großen Wert auf Transparenz im Umgang mit KI-Technologien. Wird beispielsweise ein Alert automatisch durch die KI geschlossen, wird dies eindeutig getaggt und für die Kunden nachvollziehbar dokumentiert. So weiß jeder Kunde ganz genau, welche Entscheidungen auf KI-Basis getroffen wurden.“
Katz- und Maus-Spiel
Check Point setze KI bereits seit über zehn Jahren ein, so Patrick Fetter: Unsere ThreatCloud AI, eine zentrale Wissensdatenbank, analysiert kontinuierlich Angriffe aus unterschiedlichen Bereichen – etwa aus dem Netzwerk-, Endpoint-, E-Mail- und Mobilbereich – und trifft dabei täglich rund vier Milliarden eigenständige Entscheidungen. Das bedeutet, viele Angriffe werden bereits erkannt und abgewehrt, bevor sie den Kunden oder Endanwender überhaupt erreichen. Es handelt sich hier um ein ständiges Katz-und-Maus-Spiel: Angreifer entwickeln laufend neue KI-gestützte Angriffsmethoden und es ist unsere Aufgabe als Anbieter, mit modernen Technologien gegenzusteuern. In diesem Zusammenhang ist es entscheidend, dass Unternehmen dem Hersteller vertrauen können und dieser sich regelmäßig unabhängig testen lässt. Denn jeder kann heutzutage behaupten, KI einzusetzen – tatsächlich ist eine KI aber immer nur so gut wie das Training, das ihr zugrunde liegt.“
Die Implementierung von künstlicher Intelligenz bringe zweifellos große Chancen, aber auch Risiken mit sich, warf Konstantin Berger ein: „Wird KI falsch implementiert, kann sie mit einem hyperaktiven Praktikanten verglichen werden: Sie ist äußerst motiviert und arbeitet sehr schnell, aber sie benötigt eine klare Anleitung. Zunächst muss man ihr die Welt erklären und sie muss mit qualitativ hochwertigen Daten gefüttert werden, damit sie versteht, was im Unternehmen passiert und welche Prozesse wie ablaufen sollen – und ebenso, was vermieden werden soll.Ein häufiger Trugschluss ist, einfach einen Chatbot als Unterstützung für SOC-Mitarbeiter einzusetzen. Die Mitarbeitenden müssten Zeit investieren, um Fragen zu formulieren, Antworten zu verifizieren und diese weiterzuverarbeiten. In vielen Fällen dient KI hier lediglich als Unterstützung bei der Recherche – sie ersetzt jedoch keine fundierte Analyse. Richtig eingesetzt, bringt KI vor allem dann einen Mehrwert, wenn sie relevante Zusammenhänge erkennt und die richtigen Daten korreliert.“
KI und die Risiken
Gerade die Nutzung von KI durch klassische Endanwender stelle häufig das größte Risiko dar, so Jürgen Reinhart. „Der Umgang mit KI-Tools aller Art erfolgt meist noch sehr unbedacht. Vielen Unternehmen fehlt es derzeit an klaren Spielregeln und Richtlinien, wie mit diesen leistungsstarken Werkzeugen umzugehen ist. Das liegt auch daran, dass wir uns diesbezüglich noch am Anfang einer Lernkurve befinden – vergleichbar mit dem Schreibenlernen in der Schule. Es ist eine Fähigkeit, die erst entwickelt werden muss. Mittlerweile beobachten wir bereits erste Versuche von gezielten Angriffen oder Social-Engineering-Aktionen, bei denen KI genutzt wird, um Nutzer zu täuschen – zum Beispiel, um Geschäftsführern Überweisungen auf fremde Konten abzuluchsen. Das Ziel ist stets, jemanden zu manipulieren und zu unerwünschten Handlungen zu bewegen. Wenn Endnutzer nicht genau wissen, was sie tun oder worauf sie achten müssen, geraten sie schnell in solche Fallen. Hier sehen wir einen zentralen Punkt, an dem wir unsere Kunden gezielt unterstützen wollen: Gemeinsam mit ihnen Spielregeln und Richtlinien für den Umgang mit KI aufzustellen und das nötige Bewusstsein zu schaffen. Die sinnvolle Nutzung von KI soll dabei keineswegs verhindert werden – es braucht aber klare Leitlinien.“
KI gegen Fachkräftemangel
Künstliche Intelligenz könne zweifellos dazu beitragen, dem Fachkräftemangel entgegenzuwirken – zumindest bis zu einem gewissen Grad, so Timo Kirchem: „Sie hilft, Prozesse zu automatisieren und Routineaufgaben effizienter zu gestalten. Allerdings stehen Unternehmen hierbei vor weiteren Herausforderungen: Viele Unternehmen verfügen über unklare oder nicht optimal definierte Prozesse, was die Implementierung von Automatisierung erschwert. Es ist daher entscheidend, dass Plattformen die Möglichkeit bieten, Automatisierung sowohl zwischen verschiedenen Produkten als auch innerhalb einzelner Produktbereiche zu realisieren. Besonders hilfreich ist hierbei die Integration von Managed Services. Wenn ein Unternehmen nicht genügend eigene SOC-Mitarbeiter bereitstellen kann, kann es auf einen externen Managed Service zurückgreifen.“
„Die Bedrohungslage in der IT-Security verändert sich ständig. Gleichzeitig ist es zunehmend schwierig, geeignetes Personal zu finden“, ergänzt Klaus Gheri. „Das spricht klar für Partnerschaften mit externen Dienstleistern. Über einen Managed Service Partner können Unternehmen XDR-Lösungen und weitergehende Dienstleistungen beziehen, ohne das entsprechende Personal selbst vorhalten zu müssen. Ein klassisches Beispiel ist die Möglichkeit, einen externen CISO anzumieten – ein Modell, das für Mittelständler besonders attraktiv ist. Kaum ein Unternehmen mit 200 Mitarbeitern leistet sich einen eigenen CISO oder einen spezialisierten Security-Experten. Häufig übernehmen IT-Mitarbeiter diese Aufgaben nebenbei – sie kümmern sich primär um Serversysteme und zahlreiche Windows-Desktops und können das Thema IT-Security oft nur eingeschränkt abdecken.“ Grundsätzlich glaubt Gheri, dass SOC as a Service in Zukunft deutlich stärker zum Standard wird, als es heute der Fall ist.
Zukunft des SOC
Auch Fabian Freundt ist davon überzeugt, dass sich die Rolle der SOC-Analysten von der klassischen Log-Analyse hin zu echten Incident Managern entwickeln muss. „Das bedeutet, sie müssen in der Lage sein, bereits im Vorfeld potenzielle Sicherheitsvorfälle zu erkennen und proaktiv gegenzusteuern. Durch KI-gestützte Automatisierung werden zunehmend standardisierte Aufgaben automatisch erledigt. Die SOC-Analysten können sich dadurch stärker auf präventive und strategische Tätigkeiten konzentrieren.“
Besonders hervorzuheben sei auch die zunehmende Nutzung von Cloud-Services, so Peter Aicher: „Dies führt jedoch dazu, dass sich auch die Angriffsvektoren in diese Bereiche verlagern. Zwei weitere zentrale Herausforderungen, die wir bei Rapid7 beobachten, betreffen insbesondere die Transparenz über die gesamte Angriffsfläche sowie die Notwendigkeit, Datensilos aufzubrechen. Ich denke, dass SOC-Dienstleistungen zunehmend ganzheitlicher werden. Es entsteht ein Wandel von einer reaktiven hin zu einer proaktiven Sicherheitsstrategie, bei der Vorfälle nicht nur erkannt und behandelt, sondern idealerweise bereits im Vorfeld durch aktive Tests und Maßnahmen verhindert werden.“
„Ich glaube, eines der großen Vorurteile gegenüber Security in Unternehmen ist, dass sie häufig als Business-Verhinderer und weniger als Business Enabler wahrgenommen wird“, sagt Patrick Fetter. „Glücklicherweise werden derzeit neue regulatorische Vorgaben eingeführt, die in diesem Bereich viel verändern werden. Diese Vorgaben sorgen nicht nur dafür, dass Unternehmen verstärkt Interesse an SOC-Lösungen haben, sondern verpflichten sie auch zur Umsetzung entsprechender Maßnahmen. Das wird in Unternehmen zu einem grundlegenden Wandel führen.“
Für Konstantin Berger wird das SOC der Zukunft nicht unbedingt größer, sondern vor allem smarter und hybrider. „Einerseits werden KI und Automatisierung weiter an Bedeutung gewinnen und viele Prozesse im SOC vollständig automatisieren können – unter menschlicher Kontrolle und mit einem prüfenden Auge. Andererseits werden auch MDR-Services flexibler und dynamischer gestaltet, sodass Unternehmen je nach Bedarf und aktueller Bedrohungslage schnell und flexibel auf verschiedene Services zugreifen können.“
Aufgrund der derzeitigen geoplitischen Veränderungen würden Kunden Kunden verstärkt nach europäischen Sicherheitsprodukten und einer europäischen Datenhaltung fragen, ergnzte Jürgen Reinhart. Die DSGVO sei dabei nur ein Baustein. „Unser Ansatz ist es, unseren Kunden zu vermitteln: Es besteht kein Grund zur Sorge. Wir handeln verantwortungsbewusst und stellen sämtliche notwendigen Unterlagen bereit, damit jederzeit eine Überprüfung möglich ist. Diese Transparenz ist entscheidend, denn Kunden werden zunehmend kritischer und sensibler, insbesondere was europäische Produkte und Datenschutzstandards betrifft. Ich bin überzeugt, dass wir in naher Zukunft einen deutlichen Trend in Richtung europäischer Lösungen und digitaler Souveränität erleben werden.“
Be the first to comment