Im Jahr 2024 stehen Unternehmen weltweit vor einer neuen Welle von Cyberbedrohungen. Die Angreifer sind raffinierter, ihre Techniken ausgeklügelter und die Angriffe zielen zunehmend auf vernetzte Systeme und kritische Infrastrukturen. Die Bedrohungen reichen von gezielten Ransomware-Attacken bis hin zu tiefgreifenden Supply-Chain-Angriffen, die ganze Branchen lahmlegen können.
In diesem Umfeld haben sich Security Operations Center (SOC) weiterentwickelt. Ein SOC ist nicht mehr nur ein Reaktionszentrum, sondern eine proaktive, intelligente Organisationseinheit mit vielen Aufgaben, das nicht nur in Echtzeit Bedrohungen erkennt, analysiert und abwehrt, sondern vielmehr das Unternehmen proaktiv, unter Einhaltung neuer Gesetzgebungen wie NIS2, schützt. Dabei werden sowohl interne als auch externe Perspektiven auf die IT-Infrastruktur genutzt, um Konfigurationen und Schwachstellen zu identifizieren und zu beheben. Zudem gehört die Vorbereitung auf einen kritischen Security Incident zu den Hauptaufgaben in einem SOC. Unternehmen, die in ein modernes SOC investieren, haben einen entscheidenden Vorteil: Sie können nicht nur schneller, sondern auch intelligenter agieren.
Früherkennung durch KI – ein Kundenbeispiel
Im SOC sind künstliche Intelligenz (KI) und maschinelles Lernen bereits allgegenwärtig. KI-basierte Tools haben die Fähigkeit, Datenströme in Echtzeit zu analysieren und Bedrohungen auf eine Weise zu erkennen, die für das menschliche Auge unmöglich ist. Diese Systeme sind kontinuierlich im Lernmodus: Sie verarbeiten Tag für Tag Unmengen an Telemetriedaten, verknüpfen Sicherheitsvorfälle und entdecken auf diesem Weg Muster, die gegebenenfalls auf einen bevorstehenden Angriff hinweisen.
Ein realer Einsatz dieser Technologie zeigt sich anhand eines internationalen Unternehmens, das kürzlich Ziel einer kritischen Sicherheitsherausforderung wurde. Das SOC registrierte eine ungewöhnliche Häufung von Netzwerkaktivitäten ausserhalb der regulären Arbeitszeiten. Anmeldungen aus einem unerwarteten Standort in Nigeria und kurz darauf aus Grossbritannien und Italien führten zu Alarmen im SOC. Dazu kam, dass der betroffene Mitarbeiter seltsame E-Mail-Regeln eingerichtet hatte – ein klassisches Anzeichen für einen sogenannten Business-Email-Compromise-Angriff (BEC), bei dem Cyberkriminelle versuchen, über kompromittierte E-Mail-Konten finanzielle Schäden zu verursachen.
Durch die Analyse des Datenverkehrs stellte das SOC mit Hilfe eingesetzter XDR-Tools fest, dass es sich um eine schleichende Datenexfiltration handelte, bei der Angreifer versuchten, kritische Daten zu transferieren, ohne direkt aufzufallen. Innerhalb weniger Minuten wurde das betroffene Konto gesperrt und der Host isoliert. Durch die Zusammenarbeit mit dem Kunden konnte die Bedrohung schnell eingedämmt und das Problem vollständig gelöst werden, bevor es grössere Schäden anrichten konnte. Dieses Szenario zeigt, welche Rolle ein SOC beim Schutz eines Unternehmens übernimmt – und wie es in der Lage ist, Bedrohungen zu erkennen, bevor sie zu weitreichenden Schäden führen.
SOAR als Schlüsseltechnologie
Während die Nutzung von KI eine unterstützende und immer wichtigere Rolle bei der Erkennung und Analyse übernimmt, spielt der Mensch weiterhin eine zentrale und unerlässliche Rolle bei der Entscheidungsfindung und im Management von Vorfällen. Hier kommt die Security-Orchestration-, Automation- and Response-Technologie (SOAR) ins Spiel. SOAR-Plattformen ermöglichen es SOC-Teams, automatisierte Reaktionen auf Bedrohungen zu konfigurieren. Durch vorab definierte Playbooks können bestimmte Angriffe vollständig automatisiert abgewehrt werden. Ein Beispiel: Ein Unternehmen erlebt eine Welle von Phishing-Angriffen, die auf die E-Mail-Konten von Führungskräften abzielt. Ein SOC ist in der Lage, innerhalb kurzer Zeit automatisierte Playbooks und somit Prozesse auszuführen, die nicht nur den Zugang der kompromittierten Konten sofort sperren, sondern auch verdächtige E-Mails identifizieren und die betroffenen Nutzer alarmieren.
Während die ersten Schritte automatisiert ablaufen, überprüft das SOC-Team die Massnahmen und bestätigt die Schwere des Vorfalls. Dank dieser symbiotischen Zusammenarbeit zwischen Menschen und Maschine können solche Bedrohungen abgewehrt werden, ohne den Geschäftsbetrieb zu stören.
Der Mensch bleibt unverzichtbar
Auch im Jahr 2024 bleibt der menschliche Sicherheitsanalyst eine Schlüsselfigur im SOC. Während Automatisierung und KI Routineaufgaben übernehmen, verschiebt sich der Fokus des Analysten auf die Lösung von komplexen, nicht vorhersehbaren Problemen. Sicherheitsexperten agieren als Problemlöser, die taktische Entscheidungen treffen und Sicherheitsstrategien in Echtzeit anpassen.
Analysten nutzen dabei Tools wie Microsoft Defender XDR, die ihnen eine visuelle Darstellung der gesamten Bedrohungslandschaft bieten. Dieses und weitere Tools integrieren Bedrohungsdaten, Systemwarnungen und Handlungsempfehlungen in einer einheitlichen Ansicht. So können Analysten bei kritischen Vorfällen schnell reagieren und massgeschneiderte Gegenmassnahmen einleiten.
Prävention durch Intelligenz
Die Bedrohungslage hat sich jedoch verschärft, was sich unter anderem daran zeigt, dass viele Versicherungsunternehmen Cyberversicherungen nur noch unter strengen Auflagen anbieten und beispielsweise die Umsetzung von ISO27001 verlangen. Darüber hinaus gibt es neue Gesetze und branchenspezifische Anforderungen, die sicherheitstechnische Vorgaben machen, wie zum Beispiel NIS2, DSG und die bevorstehende Anpassung des Informationssicherheitsgesetzes (ISG), welche Standards wie NIST, ISO27001 oder den IKT-Minimalstandard verlangen. Auch diese Standards entwickeln sich weiter und umfassen inzwischen nicht nur Meldepflichten, sondern auch Themen wie Penetration Testing, Threat Intelligence und Vulnerability Management. All diese Aufgaben werden heute an ein SOC gestellt, das eine Vielzahl von spezialisierten Rollen vereint, um diese Anforderungen zu erfüllen.
Unternehmen sind nicht mehr länger nur darauf angewiesen, auf Angriffe zu reagieren, sondern sollten sie verhindern, bevor sie überhaupt beginnen. Spezifische Services wie (SPM) Security Posture Management und (CTI) Cyber Threat Intelligence bieten einen erweiterten proaktiven Schutz, der sich flexibel und modular in eine bestehende Infrastruktur integrieren lässt. Dadurch sind Bedrohungen und Sicherheitslücken in Echtzeit sichtbar und können automatisch und frühzeitig geschlossen werden. Solche Tätigkeitsfelder sind in einem modernen SOC unverzichtbar und bieten dem Kunden einen vollwertigen 360-Grad-Schutz seiner Infrastruktur.
Zunehmende Komplexität
Eine der grössten Herausforderungen für Unternehmen ist zudem, dass Änderungen an der Infrastruktur je nach Komplexität länger dauern können und das Aufgabentracking und konsequente Umsetzen oft schwierig sind. Während ein Analyst eine Sicherheitslücke aufdeckt, sollte deren Behebung von jemandem mit technischen Engineering-Kenntnissen durchgeführt werden. Hier liegt jedoch oft das Problem: Die Ingenieure sind stark mit dem Tagesgeschäft und laufenden Projekten ausgelastet, sodass Aufgaben wie das Vulnerability Management nicht ordnungsgemäss ausgeführt werden. Es gibt jedoch die Möglichkeit, dass ein Managed Service Provider langfristig Security Engineers zur Verfügung stellt, um solche Aufgaben zu übernehmen.
Unternehmen, welche diese Sicherheitsaufgaben wahrnehmen, profitieren von Sicherheits-Benefits, welche durch Datenintelligenz angetrieben werden, die nicht nur reaktiv, sondern vor allem proaktiv und selbstoptimierend sind. Ein modernes SOC ist dabei mehr als nur ein Überwachungssystem – es ist die zentrale Komponente, die Unternehmen gegen die immer komplexer werdenden externen und internen Cyberbedrohungen schützt. Wie das zuvor genannte Beispiel zeigt, sind schnelle, fundierte Entscheidungen und proaktive Massnahmen der Schlüssel, um ernsthafte Vorfälle zu verhindern.
Der Autor
Thomas Reichmuth leitet seit August 2024 als Head of SOC das SOC-Angebot des Oltener IT-Dienstleisters Basevision. Zuvor hat er 16 Jahre lang für den Flughafen Zürich gearbeitet, zuletzt als Teamleader ICT Windows Platform.