Security Operations Center SOC auslagern

Glaubt man dem Internet, fand der erste Cyberangriff vor gut 190 Jahren in Frankreich statt – zwei Brüder kompromittierten das Telegrafensystem, um an Finanzmarktinformationen zu gelangen. Heute ist Cybersicherheit eines der wichtigsten Themen auf der IT-Agenda von CIOs, denn Hacker und Schwachstellen haben sich massiv vermehrt. Mit Folgen: Laut unserer IT-Agenda-Umfrage sind die Security-Budgets seit dem Covid-Jahr 2020 zweistellig gewachsen. Auch wenn der Zuwachs in der Wirtschaftskrise zurückgegangen ist – die Wachstumsraten der IT-Gesamtbudgets sind stärker geschrumpft.

Alleine können nur die wenigsten Unternehmen den Wettlauf gegen die Angreifer gewinnen: Schärfere Regulierungen und die steigende Zahl von Cyberangriffen durch die sich weiter industrialisierende Branche der BlackHats erhöhen den Bedarf an qualifizierten Security-Experten. Die Nachfrage nach dieser seltenen Spezies treibt die Preise in die Höhe und die Verfügbarkeit herunter. Laut Cybersecurity Workforce Study von ISC2 sind zwei Drittel der Befragten der Meinung, nicht über genügend Cybersecurity-Experten in ihrer Organisation zu verfügen. Viele Stellen bleiben unbesetzt.

Das SOC und seine Rollen

Derweil müssen Regulierungsanforderungen erfüllt werden: Allein mehr als 40.000 deutsche Unternehmen werden unter die NIS2-Regulatorik fallen. Die „Netz- und Infrastruktur-Sicherheitsrichtlinie 2“ (NIS2) der EU verpflichtet Firmen dazu, neben der Angriffserkennung (Detection) auch Maßnahmen zur Angriffsbeantwortung (Response) und zur Wiederherstellung betroffener Daten, Applikationen und Infrastrukturen (Recovery) zu schaffen oder zu verbessern. Dies läuft in vielen Fällen auf ein Security Operation Center (SOC) hinaus, welches sich um die Erkennung und Analyse von Sicherheitsvorfällen sowie die adäquate Reaktion kümmert.

Das SOC ist permanent besetzt – mit mindestens drei unterschiedlich qualifizierten Rollen:

• Tier1-SOC-Analysten: Initiales Monitoring und Triage von Sicherheitswarnungen;
• Tier2-SOC-Analysten: Detaillierte Analyse und Bearbeitung eskalierter Sicherheitsvorfälle;
• Tier3-SOC-Analysten: Proaktive Bedrohungsjagd (Threat Hunting) sowie Post-Incident-Forensik.

Ein Rechenbeispiel: Für ein Unternehmen mit rund 1.000 PC-Arbeitsplätzen können für den 7x24h-Betrieb des SOC – vorbehaltlich individueller Details – 6 bis 12 FTEs erforderlich sein, ohne Management- und Spezialistenrollen.

SOC – Sourcing statt Selbstbetrieb

Angesichts der finanziellen und personellen Herausforderungen ist es kein Wunder, dass die Auslagerung von SOCs im Trend liegt. Die Forscher von Mordor Intelligence taxieren den SOC-as-a-Service-Markt 2024 auf 3,14 Milliarden Dollar, bis 2029 soll sich das Volumen verdoppeln. Und laut einer Techconsult-Studie im Auftrag von Sophos setzen über 40 Prozent der Firmen auf ausgelagerte SOC-Services.

Die Vorteile liegen auf der Hand: SOC-Sourcing ermöglicht den Zugriff auf einen Pool spezialisierter Experten ohne langwierige Rekrutierungsprozesse. Dies beschleunigt die Skalierung, also die Anpassung von Ressourcen an wechselnde Bedrohungslagen. Zudem bekommt der Kunde Zugriff auf Expertenwissen, Best Practices und aktuelle Technologien. Speziell die Anschaffung und Wartung von Security-Tools für SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response) sowie XDR (Extended Detection and Response) kann sehr kostspielig sein, zudem sind kontinuierliche Investitionen in Updates, Prozesse und Experten erforderlich.

Managed SOCs

Auch bei den SOCs as a Service gibt es verschiedene Spielarten, um die Anforderungen der Kunden abzudecken:

1. Managed Security Services (MSS): Der Provider übernimmt alle Aspekte des SOC-Betriebs von der Überwachung bis zur Incident Response.
2. Co-Managed Security Services: Eine Kombination aus internen und externen Ressourcen. Das Unternehmen behält die Kontrolle über bestimmte Bereiche, während der MSS-Provider andere übernimmt.
3. Cloud-basierte SOCs: Das SOC wird in der Cloud betrieben und bietet eine hohe Flexibilität.

Security-Sourcing beginnt bei der Strategie

Unternehmen, die Security-Services oder SOCs von extern beziehen wollen, sind indes gut beraten, nicht gleich mit der Providerauswahl und dem eigentlichen Transaktionsprozess zu starten. Vorgelagert sollte immer eine fundierte Security-Sourcing-Strategie entwickelt werden. Dazu zählt unter anderem die Frage, wie das Unternehmen seine individuelle Security-Position beurteilt und wie es sich grundsätzlich zu möglichen Sourcing-Optionen positioniert:

• Sollen nur Teile der Security oder „das Ganze“ herausgegeben werden?
• Strebt man einen einzigen Security-Service-Provider an oder mehrere Lieferenten, die sich an Bereiche der IT-Operations andocken?
• Herrscht Klarheit zu Vor- und Nachteilen von Dienstleistern in Europa und Offshore?
• Geht es um den gezielten Aufbau der Skills und Ressourcen oder (auch) um Einsparungen?

Natürlich ist die Wahl des richtigen Partners entscheidend für den Erfolg eines ausgelagerten SOCs. Allerdings kommt es auch darauf an, dass der Kunde den Sourcing-Prozess nach der Strategie optimal durchläuft. Dazu gehören ein proaktiver Ansatz vor dem Zeitpunkt der Auslagerung, die Definition detaillierter SLAs (u.a. Reaktionszeiten, Verfügbarkeit, Reports und kontinuierliche Verbesserung) sowie eine langfristige Perspektive mit Kontrollen und Anpassungen. Hinzu kommt eine proaktive und konkrete Bedarfsanalyse zur Tool-Landschaft.

Security-Sourcing ist kein Schnellschuss

Mit einem kategorischen Nein zum Security-Sourcing vergeben Unternehmen viele Chancen. Gleiches gilt für Organisationen, die hemdsärmelig oder verspätet an die Aufgabe herangehen. Für ein nachhaltiges SOC-Sourcing braucht man Experten und Erfahrungen in beiden Disziplinen. Die gute Nachricht: Ausgelagerte Security kommt gut an. In unserer Umfrage zu IT-Agenda 2024 bekam der Bereich von allen abgefragten Managed Services die beste Bewertung.