SOC as a Service

Unternehmen rüsten ihre Cybersicherheit auf, um die steigernden Anforderungen an die Informationssicherheit zu erfüllen. Als Mittelständler müssen sie sich besser gegen Cyberkriminalität und Cyberangriffe schützen. Wer nach ISO 27001 zertifiziert sein will, muss entsprechende Sicherheitsvorkehrungen treffen. Lieferanten der Automobilindustrie haben durch TISAX noch mehr für die Cybersicherheit zu tun. Daher lohnt es sich für KMUs und mittelständische Betriebe nicht ein eigenes SOC aufzubauen. Mit dem SOC as a Service können Mittelständler die hohen Personalkosten und technischen Investitionen vermeiden. Ein Team von erfahrenen IT Sicherheitsfachkräften überwacht die IT Infrastruktur von Unternehmen, privaten Bildungseinrichtungen und NGOs.

SOC steht für Security Operations Center. Ein SOC as a Service überwacht und analysiert die Bedrohungslage eine spezifischen Organisation. So erfüllen diese Organisationen ihre gesetzlichen und vertraglichen Verpflichtungen zum Schutz vertraulicher Daten. Ein SOC identifiziert, analysiert, bewertet und bekämpft proaktiv Bedrohungen. Durch die Einführung von NIS 2.0 in der Europäischen Union müssen Unternehmen verschiedenster Branchen nachweisen, dass Sie sich darum bemühen sensible Daten (z.B. Kundendaten, Personaldaten, Transaktionsdaten, steuerliche relevante Daten) zu schützen.

SOC as a Service verbessert die Informationssicherheit

Im folgenden Video erfahren Sie wie ein SOC as a Service ihre Unternehmenssicherheit stärken kann. Dabei wird auch erklärt, wie ein SOC die Anforderungen der ISO 27001 und TISAX leichter erfüllen lässt.

Was für Leistungen bietet ein SOC an?

Ein SOC ist mehr als nur ein Leitstand in einem Rechenzentrum. Unsere technischen Experten haben Erfahrung aus dem Rechenzentrumsbetrieb in mehreren europäischen Konzerne (Automobilindustrie, Elektroindustrie, IT Sektor) sowie aus anderen öffentlichen Organen (z.B. Militär, Polizei, Energieversorgung). Daher wurde das SOC mit folgenden elementaren Bestandteilen speziell für KMU und gehobenen Mittelstand bzw. hybriden Organisationen sowie privaten Universitäten aufgebaut:

Berichtswesen

Der TISAX Standard fordert eine Beweissicherung und aktuelle Berichtswesen zur Cybergefahren der Organisation.

24x7 Überwachung

Das SOC Team (in 3 Zonen) überwacht ihre IT Sicherheit mit Hilfe der SIEM und EDR Technologie.

Sicherheitsmaßnahme

Die ISO 27001 fordert die Einführung von Sicherheitsmaßnahmen zum Schutz von Informationen.

SOAR

SOAR ermöglicht es Sicherheitstools effizient zu orchestrieren. Zahlreiche Aufgaben werden automatisiert ausgeführt, um die Reaktionszeiten erheblich zu verkürzen.

24x7 Überwachung

Das SOC Team (in 3 Zonen) überwacht ihre IT Sicherheit mit Hilfe der SIEM und EDR Technologie.

Sicherheitsmaßnahme

Die ISO 27001 fordert die Einführung von Sicherheitsmaßnahmen zum Schutz von Informationen.

Security Operations Center für den Mittelstand

Mittelständische Unternehmen verfügen nicht über das nötige Fachpersonal, um ein SOC Kontrollzentrum aufzubauen und in 3 Schichten zu betreiben. Daher lagern viele Mittelständler und KMUs die aufgaben eines SOC an einen externen Security Operations Center Betreiber.

Was ist ein Managed SOC

Bei einem Managed SOC wird ein Security Operations Center im Auftrag eines Unternehmens betrieben und gesteuert. Dadurch muss das auftraggebende Unternehmen nicht selbst die erforderliche Infrastruktur für ein SOC aufbauen. 

SIEM Angriffserkennung

Sicherheitsrelevante Vorgänge werden in Echtzeit analysiert von Fachkräften und der KI in der Cloud.

MITRE Sicherheitsstandard

Die Erkennung von Cyberbedrohungen erfolgt auf Basis des MITRE Standards.

Echtzeitüberwachung

Durch eine Echtzeitüberwachung werden Hinweise auf einen sich anbahnenden Angriff ermittelt und Gegenmaßnahmen getroffen

Made in Germany

Unser SOC wurde in Deutschland entwickelt und sorgt für mehr Informationssicherheit bei unseren Kunden in mehreren Regionen

Souveränität

Die Daten eines Unternehmens sollten stets im Besitz des Unternehmens verbleiben. Die Heimat des Unternehmens entscheidet.

Innovationskraft

Durch steige Verbesserung und Erprobung neuer Schutzmechanismen erweitert sich das SOC Angebot fortlaufend.

Warum ist ein SOC wichtig für Unternehmen?

Neben der Erfüllung von gesetzlichen und vertraglichen Verpflichtungen, muss ein Unternehmen durch den Einsatz eines SOC seinen  Versicherungsschutz aufrecht erhalten. Ab einem Risikograd wollen Unternehmen sich gegen Bedrochungen mit einer Cyberversicherung schützen. Hat die Unternehmensleitung nicht die notwendigen Sicherheitsmaßnahmen zur Risikominimierung getroffen, kann der Versicherungsschutz aufgehoben werden. Die Versicherung ist nur bereit ein Risiko zu versichern, wenn das Eintrittsrisiko durch entsprechende Vorkehrungen des Unternehmens gemindert werden.

Bei einem Hacking-Vorfall kann die Versicherung die Übernahme von Regulierungskosten nach einem Schaden verweigern. Dabei wird sie sich darauf berufen, dass der Versicherte das Risiko billigend in Kauf genommen hat. Durch einen SOC as a Service können sie gegenüber ihrer Haftpflichtversicherung nachweisen, dass sie die notwendigen Maßnahmen ergreifen. Versicherer erwarten immer mehr , dass Unternehmen eine ISO 27001 Zertifizierung sowie ein SOC mit den entsprechenden SIEM und EDR aufrecht erhalten.

Warum ein Security Information and Event Management (SIEM) System betreiben?

Ein Security Information and Event Management (SIEM) as a Service überwacht Ihre gesamte IT-Infrastruktur rund um die Uhr auf Anomalien.

  • Sammlung, Aufbereitung und Auswertung von Log-Daten
  • Erkennung, Analyse & Abwehr von Cyberbedrohungen
  • Proaktives Threat Hunting durch unsere Analysten
  • Schutz für alle Assets (Im eigenen Büro bzw. Serverraum, Homeoffice, Cloud, Colocation Server und Virtualisierungen)

So überwacht ein Endpoint Detection and Response (EDR) as a Service

Ein Endpoint Detection and Response (EDR) as a Service überwacht rund um die Uhr Ihre Endpunkte, um bedrohliche Aktivitäten zu erkennen und abzuwehren.

  • Stärkere Reaktionsfähigkeit auf Sicherheitsvorfälle
  • Automatische Abwehr bekannter Bedrohungen
  • Nur ein Software-Agent für unterschiedliche Assets
  • Schutz für alle Assets (Clients & Server z.B., Windows, MacOS, Linux-Systeme uvm.)

Extended Detection and Response (XDR) as a Service ist Pflicht

Extended Detection and Response (XDR) as a Service erweitert den klassische EDR-Service um SIEM-Funktionalitäten:

  • Erweiterter Schutz über Endpunkte hinaus
  • Überwachung von Cloud, Firewall, Appliance-Daten und mehr
  • Erstellung von Verhaltensprofilen zur Erkennung von Anomalien
  • Reduzierte Reaktionszeit bei Cyberbedrohungen

ISO 27001:2022 verlangt ein Schwachstellenmanagement

Mit der Einführung der neuen ISO 27001:2022 Norm, sind Unternehmen dazu aufgefordert ein effektives Schwachstellenmanagement einzuführen. Daher überwacht das Vulnerability Management as a Service  Ihre IT-Systeme 7×24 auf Sicherheitslücken und liefert Empfehlungen zur Behebung.

  • Kontinuierlicher Überblick über Sicherheitslücken
  • Regelmäßige Reports mit Maßnahmenempfehlungen
  • Priorisierung von Schwachstellen nach Kritikalität und Exploitability
  • Security Advisories

Network Detection and Response (NDR) as a Service schützt

Durch die Bereitstellung eines Network Detection and Response (NDR) as a Service erweitern Sie den Schutz Ihrer IT auch auf die OT. Damit erfolgt die Risikoanalyse bis hin zur Anomalie- und Angriffserkennung für IT/OT:

  • Überwachung des kompletten Netzwerkverkehrs
  • Einsatz von Machine Learning zur Bedrohungserkennung
  • Sichtbarkeit für IT und OT
  • Autonome Angriffsabwehr möglich

SOC as a Service ermöglicht ein schnelleres Incident Response

Unternehmen müssen zeitnah auf Sicherheitsereignisse (= Incidence Response) reagieren. Durch die Kombination aus dem EDR/XDR und SIEM as a Service können Unternehmen rechtzeitig sich auf den Sicherheitsvorfall vorbereiten. Die ISO 27001 und Tisax erwarten von Norm-konformen Organisationen, dass sie alle Werkzeuge und Prozesse für eine schnelle Abwehr nach einem vorgegebenen Verfahren ausführen können. Dazu sollten folgende Aktivitäten und Verfahren natlos ausgeführt werden können:

  • Schnelle und kompetente Einschätzung der Gefährdungslage
  • Enge Zusammenarbeit unserer Analysten und Forensiker
  • Einhaltung gesetzlicher Meldepflichten
  • Schnelle Wiederherstellung des Regelbetriebs

Digitale Forensik mit Hilfe des SOC

Die digitale Forensik stellt einen wichtigen Bestandteil einer Incident-Response-Strategie dar. Unser Unternehmen unterstützt Geschäftskunden und Behörden in der IT Forensik. Unsere Experten halten Vorträge bei Behörden (BKA Mobilfunkfachtagung 2015), Sicherheitsveranstaltungen und Kongressen. Unsere Kunden profitieren von der besonderen Expertise. Wir unterstützen Sie bei der Vorfallsbehandlung und der Kommunikation mit Sicherheitsbehörden für die Strafverfolgung.

  • Auswertung betroffener Server und Clients
  • Analyse von Speicherabbildern ohne Beeinträchtigung der Produktivumgebung
  • Gerichtsverwertbares Gutachten
  • Handlungsempfehlungen zur Vermeidung künftiger Vorfälle

Warum sollte man einen SOC selbst betreiben?

Wenn Sie eine eigene IT Abteilung mit mehr als 100 IT Fachkräften haben, könnten Sie ein eigenes SOC Team aufbauen. Unternehmen mit mehr als 15.000 Mitarbeitern haben meistens schon aus historischen Gründen einen RZ Leitstand. Dort können Sie ihr SOC gut unterbringen. Dazu müssen Sie aber die dort vorhandenen Schichtmitarbeiter intensiv fortbilden oder durch ein dediziertes SOC Team ergänzen. Am besten nehmen Sie ihr aktuelles Notfallhandbuch zur Hand. Haben Sie für alle möglichen Szenarien eine passende Handlungsempfehlung dokumentiert? Sie werden erkennen, dass Sie noch einige Hausaufgaben erledigen müssen. Ihr künftiges SOC wie ein schnelles Einsatzkommando technisch und organisatorisch ausstatten müssen. Berücksichtigen Sie das Security Operations Center in ihrem ISMS, damit ihre Informationssicherheit keine klaffenden Sicherheitslücken erdulden muss.

Was braucht man für das eigene SOC?

Für ein SOC Team benötigen Sie mindestens 2 Personen in 3 Schichten. Denken sie an urlaubs- und krankheitsbedingte Ausfälle. Haben Sie genügend Personal, um unerwartete Lücken kurzfristig zu füllen? Machen Sie sich am besten auf die Suche nach 9 neuen IT Mitarbeitern.

Weiterhin benötigen Sie auch die hohe technische Ausrüstung für einen komplexen Arbeitsplatz. Es reicht nicht einen 15″ Monitor und einen Core 5 basierenden Notebook. Häufig werden Sie bei SOCs mehrere Bildschirme vorfinden, wodurch der Cybersecurity Experte stets den überblick behält, während er eine Maßnahme vorbereitet oder ausführt. Der Experte benötigt auch zusätzliche Ausrüstung, um fortlaufend neue Szenarien oder Technologien zu erproben.

Darüberhinaus benötigt man im eigenen SOC auch spezielle Software, um alle verschiedenen Systeme und Plattformen zu überwachen. Bei einem Ausrollen neuer Sicherheitsvorkehrungen müssen Sie sicherstellen, dass alle Systeme die neuen Einstellungen übernehmen. Wenn es Probleme bei der Aktivierung dieser neuen Sicherheitsmaßnahmen, zeigt das jeweilige Sicherheitssystem, welche Systeme nicht angepasst werden konnten.

Antworten auf häufige Fragen rund um den SOC as a Service

Hier finden Sie viele typische Fragen die sich unsere Kunden vor der Einführung eines SOC stellten. Lesen Sie auch die nachfolgenden Seiten zu den verwandten Themen eines SOC Dienstes.

Zu einem SOC as a Service gehört neben dem Managed Service (Regelwerks- und Change-Management) ein SOC-Analystenteam und Leistungen wie u. a.:

  • Bereitstellung der SIEM-Plattform und Log-Collectoren (IBM QRadar)
  • Anbindung definierter IT-Systeme (z. B. EDR-Plattform, Firewalls)
  • Automatisierte Korrelation von Events
  • 1st- und 2nd-Level-Analyse von Sicherheitsevents
  • Unterstützung des Kunden im Bedrohungsfall (nach z. B. Run- und Playbook)
  • Wartung, Hochverfügbarkeit und Optimierung der SIEM-Plattform
  • Erstellung von Berichten und Reports

Da unsere Kunden in Europa und Nordamerika tätig sind wird das SOC Service durch ein mehrsprachiges Team (Deutsch, Englisch, Polnisch, Türkisch, Spanisch, Niederländisch, Französisch) unterstützt. Es reicht nicht mehr ein deutschsprachiges SOC as a Service in einem vereinten Europa zu betreiben.

Für unser Managed SOC setzen wir beim SIEM auf den Industriestandard von IBM QRadar. Die sicherheitsrelevanten Daten werden dabei in unserer eigenen datensouveränen sowie BSI-C5-testierten Cloud-Infrastruktur (T-Systems VMware) verarbeitet.

  • Plattformanbieter: IBM QRadar 
  • Sensorik: Security-Lösungen sowie Log-Collectoren – auch bei Ihnen vor Ort (virtuelle Appliance)
  • Datenquellen: EDR, Windows, Linux, Firewall, Flow-Collectoren
  • Anbindung der Datenquellen: Auf Basis des IBM-Standards.
  • Individuelle Use-Cases auf Anfrage.

Unsere SOC Use Cases werden auf Basis der führenden Standard von MITRE zur Erkennung von Cyberbedrohungen entwickelt.

  • Die Phasen des Angriffs können jederzeit korrekt identifiziert werden (Cyber-Killchain)
  • SOC-Use-Case-Datenbank für z. B. EDR-Lösungen oder Domain Controller wird fortlaufend optimiert und erweitert
  • Erkennung von Zero-Day-Schwachstellen (als Ergänzung zu EDR und Schwachstellmanagement-Lösungen)
  • SOC-Analyse und -Reporting auf dieser Basis

Für die Einführung  unseres SOC Services in ihre Systemlandschaft führen wir ein standardisiertes Onboarding mit Ihnen durch. dadurch ist es für Unternehmen unterschiedlicher Größe binnen kurzer Zeit möglich, den SOC as a Service auch ohne eigene Security-Experten in Betrieb zu nehmen.

Folgendes ist Teil eines SOC Onboardings:

  • Kick-off-Meeting
  • Bestandsaufnahme und Zieldefinition
  • Erstellung eines kundespezifischen Onboarding-Plans
  • Anbindung der Log-Sources (Standardisierte Sources)
  • Aufbau Regelwerk nach aktuellem Best Practice
  • Feinanpassungen der Security-Lösungen (z. B. EDR Events)
  • Aktivierung der Use Cases auf Basis der MITRE ATT&CK
  • Feinanpassung des Regelwerks in Zusammenarbeit mit dem Kunden
  • Definition von Run- und Playbooks
  • Dokumentation