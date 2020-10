Inhaltsverzeichnis IT-Sicherheit: Security Operations Center intern oder als Managed Service Frühe Erkennung eines Angriffs Hybrider Ansatz – Vorteile beider Welten Dienstleister Fazit Artikel in iX 10/2020 lesen

Bekanntlich stellt sich heutzutage nicht mehr die Frage, ob, sondern nur noch, wann ein Unternehmen Opfer eines Angriffs wird. Daher sind umfassende Vorkehrungen für die Cybersicherheit, auch in Form eines SOC (Security Operations Center), ein Muss, um Angriffe überhaupt erkennen und dann schnell und angemessen reagieren zu können. Die Frage ist, ob das SOC intern betrieben, an einen Dienstleister ausgelagert oder hybrid gemanagt wird.

Das SOC stellt eine eigene Organisationseinheit im Unternehmen dar, die meistens außerhalb der IT- oder OT-Abteilungen (Operational Technology) angesiedelt ist. Wichtig ist bei der organisatorischen Zuordnung, die Nähe zur Technik zu wahren und gleichzeitig dem Prinzip der Aufgabentrennung zu folgen. Daher sollte das SOC dem CISO (Chief Information Security Officer) untergeordnet sein. Als Sicherheitsleitstelle werden im SOC alle digitalen Netzwerke, Server, digitalen Geräte und Informationen und auch der Datenfluss überwacht.

Monitoring, Erkennung und Reaktion (durch ein Computer Emergency Response Team, CERT, oder ein Computer Security Incident Response Team, CSIRT) liegen so vereint unter einem Dach. Weil IT und OT immer stärker zusammenwachsen, sollte dies für beide Welten stattfinden. Bei Auffälligkeiten leitet das SOC Gegenmaßnahmen ein, die die Betriebsteams umsetzen. Das SOC berichtet über seine Aktivitäten an den CISO beziehungsweise das Topmanagement.