Sponsored Post Was ist das?

IT-Sicherheit: Was ist ein Security-Operations-Center und wo liegen die Vorzüge?

SOC BWI IT-Karriere

Ein SOC unterstützt die Geschäftsbereiche operativ bei Sicherheitsfragen. (Foto: BWI)

Anzeige

Das Security-Operations-Center (SOC) ist eine zentrale Unternehmenseinheit, die für die operative (IT-)Sicherheit verantwortlich ist – von den Prozessen bis hin zu den Technologien. Hier erfährst du, wie ein SOC arbeitet.

Ein Security-Operations-Center hat permanent die Systeme, Daten und das Netzwerk einer Organisation im Blick, um Bedrohungen frühzeitig zu erkennen und ihnen gezielt entgegenzuwirken.

In einem SOC laufen alle sicherheitsrelevanten Tätigkeiten zusammen:

  • Überwachung sämtlicher Aktivitäten im Unternehmensnetzwerk
  • Untersuchung von potenziellen Vorfällen
  • Umsetzung von Gegenmaßnahmen

Das SOC unterstützt alle Geschäftsbereiche operativ bei Sicherheitsfragen und in einer Bedrohungslage.

Wie funktioniert ein SOC in der Praxis?

Die Arbeitsbereiche eines SOC gliedern sich unter anderem in Monitoring, Analyse und in ein Security Informations- und Ereignis-Management (SIEM), das Logdaten sammelt, auswertet und für die Analysten aufbereitet.

Ein SOC ist in der Regel dreistufig aufgebaut:

  • Level 1: Die Analysten im Level 1 bearbeiten viele Vorfälle in kurzer Zeit. Dabei folgen sie genau definierten Vorgaben, die in sogenannten Playbooks festgehalten sind. Diese Werkzeuge funktionieren wie eine Checkliste nach dem Motto: „Wenn dieser Incident auftritt, prüfe das Folgende.“
  • Level 2: Bei schwereren Bedrohungslagen kommen die Analysten aus Level 2 zum Einsatz. Nun ist klar, dass der Vorfall entweder zu schwerwiegend, zu zeitintensiv oder zu umfangreich ist, dass er sich mit einer formalisierten Vorgehensweise wie den Playbooks lösen ließe. Hochqualifizierte Cybersecurity-Analysten gehen dem Fall nach und arbeiten mit Hypothesen: Könnte dieses oder jenes passiert sein? Wie kann ich meine Annahmen falsifizieren oder verifizieren? Anhand individueller Analysen und Korrelationen zu anderen Vorfällen nehmen sie sich der Sache an.
  • Level 3: Analysten aus Level 3 sind immer bei hoher Kritikalität gefragt, etwa wenn der Verdacht besteht, dass ein Advanced-Persistent-Threat (APT) – das heißt eine andauernde, technisch ausgeklügelte und auf das Angriffsziel speziell zugeschnittene Angriffskampagne – hinter dem Vorfall stecken könnte. Je nach Ausmaß kann die Bearbeitung eines Falls auf Level 3 mehrere Monate dauern.

Ein SOC ist in der Regel dreistufig aufgebaut. (Foto: BWI)

Welche Vorteile ein SOC bietet

Zu den Vorteilen eines Security-Operations-Center zählt, dass es durch die Bündelung Synergieeffekte erzielt und Silos effektiv vermieden werden. Die Überwachung der Systeme, Daten und Netzwerke erfolgt zentral und ist nicht in verschiedene Unternehmensbereiche oder Abteilungen gekapselt. Das heißt, das SOC hat den Gesamtüberblick und kann als Folge der Bündelung nicht mehr nur reagieren, sondern proaktiv agieren.

Zum anderen ermöglicht das SOC ein hohes Maß an Automation. Denn große Teile der Überwachung laufen automatisiert ab, wenn die entsprechenden Werkzeuge und Regeln vorher bei der Implementierung des SOC definiert wurden. Diese Werkzeuge filtern Unregelmäßigkeiten heraus, zum Beispiel bei Log-Daten, und stellen Korrelationen her. Sie können automatische Alarme auslösen, die im SOC in Echtzeit angezeigt werden. Auf dieser Basis lassen sich die Daten analysieren, und die SOC-Experten können entscheiden, ob es sich um ein Ereignis handelt, dem es nachzugehen gilt.

Das SOC der BWI nimmt im März 2019 den Betrieb auf – und sucht IT-Experten

Die BWI GmbH mit Sitz in Meckenheim und über 40 weiteren bundesweiten Standorten arbeitet seit Anfang 2018 an der Einführung eines SOC. Für die Kunden Bundeswehr und Bund setzt das Unternehmen eine operative Einheit mit hochspezialisiertem Know-how im Bereich IT-Sicherheit ein.

Der Aufbau des SOC erfolgte mehrstufig: Die vergangenen Monate nutzte das Unternehmen, um Strukturen aufzubauen und diese an internationalen Standards auszurichten. 2019 sollen dann etwa 100 Cyber-Security-Experten mit der Aufgabe betraut werden, die IT für Deutschland vor Angriffen zu schützen und bei Bedrohungslagen proaktiv zu agieren.

Du bist IT-Experte/in und interessierst dich für IT-Sicherheit? Oder hast du schon viele Jahre Berufserfahrung und verfügst bereits über profunde Kenntnisse in der IT-Sicherheit? Dann informiere dich auf www.bwi-karriere.de über deine Einstiegs- und Karrieremöglichkeiten oder bewirb dich direkt bei einem der Top-10-IT-Unternehmen in Deutschland.

Jetzt informieren!