Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
sicherheit & Datenschutz l SOC als Dienstleistung l 39 2 l 2020 sicherheit & Datenschutz l SOC als Dienstleistung l 39 SoC-Service-Mischformen Level 1 extern Level 2 extern Level 1 und 2 extern erklärung zur mischform Das Unternehmen übergibt die Aufgaben von Level 1 an eine externe Firma Die andere Möglichkeit besteht darin Level 2 von einem Dienstleister zu buchen während die Mitarbeiter von Level 1 aus den eigenen Reihen stammen Ein SOC wird komplett an eine externe Firma ausgelagert vorteile Für Unternehmen entfällt die Organisation des ungeliebten Schichtdiensts Durch die Vernetzung der Level-1-Gruppe mit dem Rest der Belegschaft und ihre Detailkenntnisse der IT-Landschaft und der internen Prozesse werden viele Abläufe bei der Arbeit des SOCs vereinfacht und beschleunigt Zudem halten externe Firmen ausgebildete Sicherheitsexperten bereit die durch ihre Erfahrung viele Security-Events besser einschätzen können Die Personalsuche und die Organisation der Dienstpläne entfallen zudem übergibt man die Arbeit an Spezialisten die bereits Erfahrungen in diesem Security-Bereich vorweisen können nachteile Externe Personen müssen in engem Kontakt mit den Mitarbeitern anderer Abteilungen innerhalb der Firma stehen was es schwerer macht den richtigen Ansprechpartner zu finden Der Schichtdienst muss intern geleistet werden Zudem muss bei einem Alarm die Anfahrtsoder sogar Reisezeit des Spezialisten der Fachfirma einkalkuliert werden was die Reaktion deutlich verzögern kann Ein reiner Remote-Support durch den Dienstleister wird in der Regel nicht funktionieren da ein direkter Zugriff auf sämtliche Netzwerkkomponenten erforderlich ist Das Unternehmen macht sich in einem sehr sensiblen Bereich abhängig von einer Fremdfirma Diese Abhängigkeit nimmt im Laufe der Zeit sogar noch zu da die externen Experten enge Kontakte zu den Mitarbeitern knüpfen müssen um Informationen zu sammeln und ihre Aufgabe zu erledigen Diese Informationskanäle und das zugehörige Vertrauensverhältnis entstehen nur langsam und müssen beim Wechsel zu einem anderen Anbieter mühsam wieder neu geschaffen werden Hinzu kommt dass sich bei einem Security-Vorfall für gewöhnlich die Reaktionszeiten verlängern ➤ Eine der größten Herausforderungen beim Aufbau eines SOCs insbesondere für kleine und mittelständische Unternehmen sind die Kosten bei denen es sich in erster Linie um Personalkosten handelt Ein SOC muss rund um die Uhr besetzt sein schließlich können Hackerangriffe Unternehmen zu jeder Tagesund Nachtzeit treffen Die Mitarbeiter müssen also in mehreren Schichten arbeiten was die benötigte Personalstärke deutlich erhöht Berücksichtigt man zudem Ausfälle durch Urlaub und Krankheit so kommt man auf eine minimale Mitarbeiterzahl von acht Personen Die meisten Leitfäden empfehlen kleineren und mittleren Unternehmen jedoch eine SOC-Besetzung mit zehn bis 15 Mitarbeitern Eine alternative Lösung ist die Einbindung externer Dienstleister Das muss allerdings nicht eine Entwederoder-Entscheidung sein Entweder das Unternehmen organisiert sein SOC selbst oder übergibt es komplett an eine externe Firma Stattdessen sind verschiedene Mischformen möglich So gibt AirITSystems in seinem Whitepaper Security Operations Center Die Antwort auf eine veränderte Bedrohungslage Empfehlungen wie sich die Mitarbeiter des SOCs beispielsweise in zwei Gruppen einteilen lassen Die eine Gruppe von Analysten Level 1 genannt hat eine einfache Security-Ausbildung ihre Mitglieder decken den Schichtdienst ab Sie werten in erster Linie die Meldungen und Alarme der technischen Systeme aus also von SIEM und Vulnerability-Management und folgen dabei schriftlich festgelegten Anleitungen die sich aus dem übergreifenden Sicherheitskonzept des Unternehmens ableiten Ihre Aufgabe ist der Nachweis dass es sich bei einer Warmeldung um einen Fehlalarm handelt Gelingt ihnen das ist kein weiteres Eingreifen erforderlich Falls nicht geben sie den Fall weiter an die zweite Gruppe Level 2 Auf diesem Level sind die höher qualifizierten SOC-Mitarbeiter zu finden Sie sind Bereitschaftsdiensten zugeteilt müssen jedoch nicht ständig vor Ort sein Sobald sie von einem Mitglied von Level 1 über einen Sicherheitsvorfall informiert werden beginnen sie mit einer eingehenden Analyse die unter anderem eine Spurensuche im Netzwerk oder auch die Untersuchung von Code in einer Sandbox umfasst Falls sich herausstellt dass es sich tatsächlich um einen Angriff auf die IT-Systeme des Unternehmens handelt sind sie für die Information des Computer Emergency Response Teams zuständig das dann die Organisation der Abwehrmaßnahmen und die Bekämpfung übernimmt Jede der beiden SOC-Gruppen können Mitarbeiter eines Dienstleisters bilden DK