Illustration Absmeier foto freepik

Warum es so wichtig ist zu den Grundlagen zurückzukehren.

Oft passiert das Folgende in Unternehmen: Es gibt einen neuen Bedrohungsbericht über einen möglichen Angreifer und das SOC (Security Operation Center) beginnt mit der Suche nach Taktiken, Techniken und Verfahren (TTPs) ohne etwas zu finden. Zwei Monate später erpresst derselbe Angreifer das Unternehmen mit gestohlenen Daten.

An diesem Beispiel sieht man gut, wie das SOC aufgrund zu vieler getroffener Annahmen über die Umgebung, die es schützen soll, und die Daten, mit denen es arbeiten muss, scheiterte. »Es ist daher dringend notwendig, dass sich die Rolle der Sicherheitsteams aufgrund der gestiegenen Sicherheitsanforderungen und der zunehmenden Komplexität moderner IT-Umgebungen weiterentwickeln,« verdeutlicht Andy Grolnick, CEO vom SIEM-Sicherheitsanbieter Graylog die Lage. »Sicherheitsteams müssen bei der Verteidigung ihrer Organisationen sowohl proaktiv als auch effektiv sein. Anstatt den Magic Ball zu schütteln und davon auszugehen, dass ihr Security Information and Event Management (SIEM) zuverlässige Erkenntnisse liefert, müssen Sicherheitsteams zu den Grundlagen der Sicherheitsstrategie zurückkehren.«

Laut Grolnick sind die folgenden vier Bereiche wichtig, werden aber oft vergessen.

Heimvorteil nutzen

SOCs befassen sich oft nur noch mit Warnungen und erfassten Daten, die sie erhalten. Was dabei vergessen wird, ist die Schaffung einer Umgebung, die für den Angreifer feindlich ist. Dabei geht es nicht nur um Täuschung, sondern auch um grundlegende Konfigurationsänderungen. Sie können es einem Angreifer erschweren, Zugriffe zu erhalten oder diesen auszuweiten und ihn zu einer Aktivität zu zwingen, die protokolliert wird. Diese Sicherheitsvorkehrungen erstrecken sich über das gesamte Unternehmensnetzwerk. Dabei geht es nicht um die Konfiguration von Endpoint Detection and Response (EDR) oder Sicherheitstools, sondern um die Zusammenarbeit mit dem IT-Team bei der Konfiguration und Sicherung des Betriebssystems und der Anwendung.

Datenhygiene priorisieren

Die goldene Regel ist, genau zu wissen, welche Ressourcen vorhanden sind, wo sie sich befinden und welche Art von Daten sie produzieren. Gibt es eine Lücke in der Sichtbarkeit, die geschlossen werden muss für bessere Untersuchungen und Analysen? Sobald klar ist, welche Protokolle eingehen sollen, sollten SOCs die Konfiguration dokumentieren. Dies ist hilfreich, wenn der Protokollfluss unterbrochen oder geändert wird. Es hilft auch bei der Einhaltung gesetzlicher Vorschriften oder bei Audits.

Sobald Unternehmen einen Überblick darüber haben, welche Daten von welchen Geräten eingehen, können sie nach diesen Daten suchen und erwarten, dass die Ergebnisse korrekt sind: werden beispielsweise keine prozessbezogenen Daten erfasst, ist es nicht sinnvoll nach Prozessnamen zu suchen.

SOCs sollten regelmäßig prüfen, ob sich das Datenvolumen der Geräte drastisch verändert hat. Dies könnte auf eine Änderung der Protokolleinstellungen, ein Upgrade, eine Fehlersuche oder einfach einen Fehler in der Konfiguration zurückzuführen sein. Der größte Nachteil ist, dass die meisten SIEM-Architekturen auf einer bestimmten Datenmenge basieren, die aufgenommen werden soll. Insbesondere die Speicheranforderungen zur Erfüllung von Compliance-Richtlinien oder Anwendungsfällen werden auf der Grundlage dieser Annahme erstellt. Wenn das Datenvolumen zunimmt, aber die Speichergröße nicht steigt, verkürzt sich der Zeitbereich der Daten.

In Cybersicherheitsschulungen investieren

Die IT-Branche unterliegt im Allgemeinen einem raschen Wandel. Neue Technologien, unterschiedliche Architekturmethoden und Software verändern die Art und Weise, wie Unternehmen Geschäftsprobleme lösen. Um auf dem Laufenden zu bleiben, wie Angreifer diese neuen Möglichkeiten missbrauchen und wie man sich richtig dagegen verteidigt, ist eine beständige Weiterbildung erforderlich. Wenn das SOC kein Budget hat, um technische Kurse und nicht nur Zertifizierungen zu absolvieren, und wenn es keine praktische Lernumgebung gibt, wird die Fähigkeit des SOC, effektiv zu arbeiten, beeinträchtigt. Die Analysten brauchen auch Zugang zu einer Laborumgebung, in der sie lernen können, wie man Dinge einrichtet und wie man sie ohne Angst zerstört. Sie sollten über eine Laborumgebung verfügen, in der dieselben Technologien eingesetzt werden wie im Unternehmen, damit sie besser verstehen, wie diese Technologien funktionieren und wie sie zu deren Schutz beitragen.

Interne Abteilungssilos aufbrechen

Große Unternehmen, Fernarbeit, Neueinstellungen, unterschiedliche Teams und externe Geschäftsbereiche oder Dienstleister erschweren die Sicherheit zusätzlich. Für SOCs ist es unübersichtlicher geworden, zu erkennen, wer wirklich zum Team gehört, und für das Unternehmen arbeitet, jeden zu kennen und Vertrauen aufzubauen. In den meisten Fällen betrifft ein Sicherheitsvorfall mehrere Unternehmensbereiche. Wenn SOCs bereits über positive Beziehungen zu diesen Gruppen verfügen, wird die Reaktion auf einen Vorfall schneller und reibungsloser verlaufen. Wenn das SOC jemanden außerhalb seines unmittelbaren Teams kontaktiert, sollten die Mitarbeitenden Kenntnis davon haben für einen reibungsloseren Ablauf.

»Auch wenn sich die Bedrohungen weiterentwickeln, müssen Angreifer in den meisten Fällen keine ausgeklügelten Angriffe durchführen. Es sind die einfachen Dinge, die sie eindringen lassen und es ihnen ermöglichen, sich zu bewegen. Indem man den Heimvorteil zurückerobert, der Datenhygiene Priorität einräumt, in die Ausbildung investiert und interne Abteilungssilos aufbricht, kann man die Angreifer verlangsamen und ihnen das Leben schwer machen. Auch wenn die Grundlagen vielleicht übersehen werden, ist ihre Beherrschung der Schlüssel zur Erkennung und Begrenzung des Aktionsradius von Cyberbedrohungen, bevor sie erheblichen Schaden anrichten,« so Grolnick abschließend.

3777 Artikel zu „SOC „

Ausgabe 5-6-2025 | Security Spezial 5-6-2025 | News | IT-Security | Services

Cybersicherheit für Unternehmen jeder Größe – SOC-as-a-Service

20. Juni 2025

Cyberangreifer machen vor keiner Unternehmensgröße halt – und auch kleine und mittelständische Unternehmen (KMU) werden zur Zielscheibe. Während die Angriffstaktiken von Cyberkriminellen immer raffinierter werden, können KMU die zum Schutz nötigen modernen Sicherheitsstrategien kaum umsetzen.