Lohnt sich ein Security Operations Center (SOC) für KMU?

Möglichkeiten und Herausforderungen des SOC-Konzepts

Die Einführung eines Security Operations Centers (SOC) gilt als wichtiges Zeichen dafür, dass ein Unternehmen in Bezug auf die Cybersicherheit einen gewissen Reifegrad erreicht hat. Es ist daher nicht verwunderlich, dass dieses Konzept bei großen Unternehmen immer beliebter wird.

Inzwischen sehen sich aber auch immer mehr KMU (kleine und mittelständische Unternehmen) gezwungen, SOC für ihre Sicherheitsstrategie in Betracht zu ziehen, um den ständig steigenden regulatorischen und rechtlichen Anforderungen gerecht zu werden. Doch im Gegensatz zu Großunternehmen haben nur wenige der KMU die Kapazität, ein Security Operations Center in ihren Organisationen zu implementieren.

Wir möchten die Herausforderungen beleuchten, mit denen Sie als Unternehmen konfrontiert werden, und einige praktische Ideen vorschlagen, wie diese überwunden werden können.

1. Das Konzept

Die erste Herausforderung ist das Konzept selbst. Oder besser gesagt – die Vorstellung davon, wie es in der Praxis umgesetzt werden kann. Die Planungs- und Designphasen eines Security Operations Centers erfordern viele Anpassungen an die Spezifika jedes Kunden, weshalb es für kleinere Implementierungen nicht anwendbar ist.

Auch wenn sich das SOC-Konzept im Laufe der Jahre weiterentwickelt hat, ist es immer noch auf große Unternehmen und Konzerne ausgerichtet. Damit auch KMU von der Implementierung eines Security Operations Centers profitieren können, ist ein anderer Ansatz erforderlich – einer, der darauf abzielt, dieses Konzept zu vereinfachen, zu standardisieren und für kleinere Unternehmen zugänglich zu machen.

2. Die Technologie

Der Aufbau eines effektiven SOC erfordert die Implementierung einer Reihe von Technologien. Während große Unternehmen oft bereits über diverse Technologien verfügen, fehlen diese häufig bei KMU. Es gibt zwar kein Erfolgsrezept oder eine Liste mit obligatorischen Technologien, aber ein gutes SOC sollte zumindest auf der folgenden technologischen Basis aufgebaut sein:

  • Endpoint-Sichtbarkeit – was passiert in verwalteten Endpoints?
  • Netzwerksichtbarkeit – was passiert im Unternehmensnetzwerk?
  • Datensichtbarkeit – was passiert mit den verschiedenen Datenklassen?
  • Web-Sichtbarkeit – was passiert in der öffentlichen Web-Infrastruktur?

Je nach Geschäftsmodell, spezifischer Struktur und Prozessen des Unternehmens kann die Liste auch aus anderen Bereichen bestehen.

Eine der größten Herausforderungen für KMU ist zweifellos die Verwaltung dieser Technologien, von der Implementierung zur Nutzung über Betrieb und Support.

3. Die Komplexität

Wenn wir von Komplexität sprechen, kommt uns typischerweise zuerst die technologische Komplexität in den Sinn. Das ist verständlich, da das Thema SOC hauptsächlich von Technologieunternehmen diskutiert wird. In Wahrheit ist aber nicht der technologische Aspekt der komplizierteste, sondern der organisatorische. Was die Einrichtung eines effektiven Security Operations Centers zu einer echten Herausforderung macht, ist die Definition der richtigen Regeln, Prozesse, Verfahren, Richtlinien, Playbooks, Szenarien, Datenkategorien, Warnkategorien, Reaktionsmechanismen und vieles mehr. Das ist für große Unternehmen schon schwierig genug, aber für KMU noch viel mehr, da ihnen in der Regel das starke Engagement und der Fokus bei der Definition und Aufrechterhaltung der oben genannten Punkte fehlt.

4. Der Aufwand

An dieser Stelle bekommen Sie bereits eine Vorstellung von dem Aufwand einer SOC-Implementierung. Doch der Aufwand endet nicht mit der Implementierung. Viele Unternehmen unterschätzen, dass sie nach der Einrichtung einen kontinuierlichen Prozess etablieren müssen, um alle oben genannten Funktionen zu betreiben und auf dem neuesten Stand zu halten.

Es ist wie bei der Gartenarbeit – es erfordert viel Aufwand, um einen schönen Garten zu gestalten und zu bepflanzen, aber wenn man die Folgeschritte vernachlässigt, wie z. B. Gießen, Beschneiden, Nacharbeiten, Auskleiden usw., ist der schöne Garten in ein paar Wochen verschwunden. So ist es auch beim Security Operations Center.

Wenn Sie nicht ständig überwachen, proaktiv sind, kontinuierlich verbessern, aktualisieren und weiterentwickeln, wird Ihr SOC in wenigen Wochen nicht mehr richtig funktionieren und all Ihre anfänglichen Bemühungen waren umsonst.

Der Arbeitsaufwand für den Betrieb und die Aktualisierung eines SOC ist einer der am meisten unterschätzten Faktoren, wenn Unternehmen Security Operations Center für ihre Cybersicherheitsstrategie in Betracht ziehen. Und das gilt nicht nur für KMU, sondern auch für große Unternehmen.

5. Die Kosten

Wenn ein Problem mit Geld gelöst werden kann, spricht man nicht von einem Problem, sondern von einer Ausgabe. Letztendlich können alle oben genannten Probleme mit der richtigen Investition gelöst werden. Aber ist es das wert? Wenn sich die Investitionen dort konzentrieren, würde dies nicht andere Geschäftsaspekte wie Stabilität, Wachstum, Verbesserung, Cashflow usw. gefährden? Schließlich ist es das Ziel der Cybersicherheit, Geschäftsrisiken zu minimieren und begrenzen, aber ist es nicht ein Risiko, Ressourcen aus anderen kritischen Geschäftsbereichen umzuleiten?

Auch wenn die Entscheidungsträger in KMU es vielleicht nicht genau so ausspreichen würden, zeigt die Entscheidung gegen ein SOC deutlich, dass die Kosten höher eingeschätzt werden als die möglichen Vorteile.

6. Was kann getan werden?

Lassen Sie uns kurz die Hauptgründe zusammenfassen, warum KMU die Implementierung von SOC scheuen:

  • Es ist nicht auf ihre Bedürfnisse zugeschnitten
  • Die Impementierung ist zu kompliziert
  • Es erfordert viele Technologien, die die meisten KMU in der Regel nicht haben
  • Es erfordert einen erheblichen Aufwand für Betrieb und Wartung
  • Für KMU überwiegen die Kosten den Nutzen

Es gibt keine Zauberformel, um mit allen Hindernissen und Herausforderungen umzugehen, aber es gibt dennoch eine Lösung, die all diese Punkte anspricht. Doch wie alles im Leben, erfordert sie Kompromisse. Diese Lösung ist eigentlich nicht neu – wir sind damit in unserem Leben und Geschäft bereits sehr vertraut.

Was tun Sie, wenn Sie etwas brauchen, das Sie sich nicht leisten können? Wenn Sie wohin fahren wollen, aber kein Auto haben? Wenn Sie juristische Hilfe benötigen, aber kein ganzes Team von Rechtsberatern zur Verfügung haben? Sie nutzen einen Dienstleister – ein Taxi, einen Anwalt, etc.

Ein Service ist der einfachste Weg für KMU, ein SOC zu integrieren. Auf diese Weise können Sie die Vorteile nutzen und gleichzeitig viele der Komplikationen vermeiden, mit denen Sie bei einem internen SOC konfrontiert wären. Der Service sollte alle erforderlichen Technologien enthalten und ist standardisiert, viel schneller zu implementieren, vereinfacht, vom Anbieter betrieben, kostengünstig und zugänglich.

Es ist so einfach wie ein Taxidienst:

  1. Schnell zu implementieren – jetzt anrufen und in 15 Minuten nutzen
  2. Standardisiert – Sie wissen, was Sie von der Fahrt erwarten können
  3. Vereinfacht – Sie müssen nicht lernen, wie man fährt, einen Reifen wechselt, Reparaturen durchführt, usw.
  4. All-inclusive – die Fahrtkosten beinhalten Reifen, Benzin, Öl, Versicherung, Steuer, etc.
  5. Vom Anbieter betrieben – alles wird vom Taxifahrer erledigt
  6. Kosteneffektiv – Sie zahlen viel weniger als beim Kauf eines Autos

Aber wenn Taxis alle Probleme lösen würden, würde niemand mehr Autos kaufen, oder? Natürlich ist eine Taxifahrt etwas anderes als eine Fahrt im eigenen Auto. Das gilt auch beim Security Operations Center als Service. Und hier kommt der oben erwähnte Kompromiss. Um zu verhindern, dass es bei der Nutzung von SOC-as-a-Service zu falschen Erwartungen, Projektmisserfolgen und darauf basierend zu internem Widerstand gegen das Konzept kommt, müssen KMU klar auf die Realitäten eingestellt sein, die sich durch ein SOC als Dienstleistung ergeben.

7. Einschränkungen von SOC-as-a-Service

1.       Standardisierung bedeutet, an Flexibilität zu verlieren

Um genauer zu sein – der Service, den Sie bekommen, ist festgelegt und es gibt typischerweise sehr wenig Raum für die Anpassung an Ihre eigenen spezifischen Wünsche. Bei einem Taxi können Sie nach einem bestimmten Radiosender oder einer bestimmten Route fragen, aber das ist mehr oder weniger alles.

Jedes Unternehmen ist einzigartig, daher würde ein Standardansatz höchstwahrscheinlich nicht gleich für jeden passen. Da Sie den Service nicht ändern können, bleibt nur die Möglichkeit, sich selbst zu ändern. Sind Sie bereit, das zu tun?

2.       Möglicherweise werden Sie einige Ihrer Investitionen nicht weiter nutzen können

Dem Taxifahrer ist es egal, ob Sie einen Benzinkanister im Keller haben – Sie können diese Investition nicht verwerten. Nehmen wir für das SOC-Beispiel den Endpoint-Schutz: Viele KMU verwenden Technologien, die keinen SOC-Modus unterstützen (was bedeutet, dass Sie Audit- und Ereignisinformationen nicht zentral sammeln können). Zusätzlich werden sie Technologien einsetzen müssen, die dies unterstützen.

Da ein SOC-as-a-Service-Anbieter keinen großen, diversifizierten Technologie-Stack verwalten kann, wird er das Unternehmen dazu verpflichten, nur die von ihm unterstützte Technologie zu verwenden.

3.       Sie erhalten keine individuelle Behandlung

Wenn Sie ein Auto kaufen, können Sie Ihre eigene Konfiguration wählen, Sie können an Ihrer Lieblingstankstelle tanken oder Ihr bevorzugtes Öl verwenden. Wenn Sie ein Taxi bestellen, können Sie sich nichts davon aussuchen. Das Gleiche gilt für SOC-as-a-Service – Sie bekommen denselben oder einen ähnlichen Technologie-Stack, dieselben Prozesse, dasselbe SLA, dasselbe alles wie jeder andere Kunde dieses Services.

4.       Müssen Vertrauen in den Anbieter haben (wahrscheinlich das Schwerste)

Im Allgemeinen dreht sich alles in der Cybersicherheitsbranche um Vertrauen. Wenn Sie jemandem einen derartigen Zugang zu den Vorgängen in Ihrem Unternehmen gewähren, vertrauen Sie ihm tatsächlich Ihr Geschäft an. Es ist sehr schwer für eine Organisation, so viel Vertrauen in externe Parteien zu setzen und es erfordert Zeit, dieses aufzubauen.

Bis vor kurzem (und auch jetzt noch) haben die Anbieter den Unternehmen geraten, Maßnahmen zur Erkennung von Insider-Bedrohungen zu ergreifen. Und jetzt sagen sie den Kunden, dass sie ihnen all ihre Daten anvertrauen sollen. Nun, es könnte eine Weile dauern, sie zu überzeugen.

5.       Nur wenige Unternehmen bieten ein echtes End-to-End-SOC-as-a-Service an

Wegen vieler der genannten “Hindernisse” ist die Nachfrage aktuell noch gering, weshalb auch das Angebot noch nicht so vielfältig zur Verfügung steht.

Dennoch erwarten Experten, dass dieser Markt in den nächsten 5 Jahren um 300 % wachsen wird. Schon jetzt ist diese Tendenz zu erkennen – die Kunden fragen, die Anbieter bereiten ihre Technologien auf dieses Modell vor und die Dienstleister entwickeln ihre Konzepte und Geschäftsszenarien.

Fazit

Nun, es ist klar, dass sich nicht alle KMU ein eigenes Security Operations Center leisten können, aufgrund von Faktoren wie der hohen Komplexität, erforderlichen Technologie, dem Implementierungs- und Wartungsaufwand sowie den Kosten.

Dennoch haben Sie die Möglichkeit, von SOC zu profitieren, indem Sie es als Service integrieren. Dies bringt natürlich einige Einschränkungen mit sich, weshalb die Analyse dieser Einschränkungen wichtig für Sie ist, um eine Entscheidung zu treffen. Sind Sie bereit, diese Kompromisse einzugehen und Ihre Organisation an die Anforderungen von SOC-as-a-Service anzupassen? Werden die Einschränkungen nicht berücksichtigt, kann dies zu falschen Erwartungen führen und das SOC kann nicht effizient eingesetzt werden.

Sind Sie interessiert an einem Security Operations Center für KMU und wollen eine gut informierte Entscheidung treffen, ob SOC-as-a-Service das Richtige für Sie ist? Wir beraten Sie gerne und zeigen Ihnen die besten Optionen für Ihr Unternehmen. Kontaktieren Sie unsere Experten unter [email protected]

About the author

Pavel Yosifov

Business Development Manager

Pavel is a Business Development Manager for the Cyber Security portfolio of BULPROS Group. For the previous 10 years, he has been acting as a CTO of a leading  Bulgarian implementor for information security solutions.

Pavel has vast experience in selling, implementing and supporting various Cyber Security solutions in organizations from various industries and of all sizes. With over 13 years of experience in IT, over eight of which working in the field of Cyber Security, he has solid technical expertise, rich history of good partner relationships, and successful years in management and business development roles.