9 DSD 1 | 2025 Was zeichnet das Security Operations Center (SOC) aus? Georg Kramb: Das SOC in Verbindung mit dem CDaaS bildet das Herzstück für die Kunden-Cybersicherheit. Die multifunktionale Open-Source-Technik bietet die Möglichkeit, alle Systeme anzubinden, die in der Lage sind, Alarme zu generieren – z. B. IoT, Robotics, Überwachungssysteme. CDaaS selbst bildet sich auf G.I.P-eigenen technischen Infrastrukturen ab, die allein in der Kontrolle und Entwicklung der G.I.P liegen, und wird in einem hochgesicherten Datacenter betrieben. Im nächsten Entwicklungsschritt steht bei CDaaS der Ausbau der bestehenden GEO-Redundanz an (Nutzung von zwei oder mehreren vollständig funktionsfähigen Datacentern an entfernten Standorten), die für Unternehmen gelten wird, die eine sehr hohe Sicherheitsanforderung haben. Mit der Verbindung zur physischen Sicherheit und dem Betrieb auf eigener technischer Plattform in Verbindung mit GEO-Redundanz hat diese Sicherheitslösung ein echtes Alleinstellungsmerkmal in Europa. Dirk H. Bürhaus: Das SOC ergreift Maßnahmen und löst Alarme bei abgestimmten Unternehmenskommunikationsstellen aus. Das bietet dem Kunden einen umfangreichen individuellen Schutz vor Cyberangriffen. Cyberangriffe können jedoch nicht vermieden werden. Über den stetigen Abgleich und Information über die Risikosituation wird das Unternehmen in abgestimmten Regelintervallen neben dem standardisierten Reporting über z. B. Alarme, Schwachstellen oder „false positives“ informiert. Auf Basis der umfangreichen SOC-Leistung ist der Kunde immer unter Betracht der ermittelten Risiken auf den eventuellen„Worst Case“ vorbereitet. Die optimale Vorbereitung auf einen Angriff hat oberste Priorität. Doch wie wird vorgegangen, wenn Kundensysteme von einem Cyberangriff betroffen sind? Georg Kramb: Das SOC von G.I.P. nimmt sich in jedem Fall dem Incident Response an und kann das Unternehmen in diesem Fall auch vor Ort unterstützen, was sich hier zu anderen SOCs sehr stark unterscheidet, die lediglich bei Alarmeingang ein Ticket, E-Mail oder Anruf an den Kunden absetzen. Um den Verlauf eines Angriffs zu dokumentieren und die passenden Gegenmaßnahmen einzuleiten, führt das SOC der G.I.P. sowohl Echtzeit- als auch retrograde Analysen durch. Bei Letzterem arbeitet man vom Problem bzw. der aktuellen Bedrohung rückwärts, um festzustellen, wie es dazu kommen konnte, welche Schwachstellen ausgenutzt wurden und welche Schritte der Angreifer unternommen hat. Ziel dieser Analyse ist es, Erkenntnisse zu gewinnen, um ähnliche Vorfälle in Zukunft zu verhindern und die Sicherheitsmaßnahmen zu verbessern. In der Nachbearbeitung werden diese zusätzlichen Schutzmaßnahmen entwickelt und gemeinsam mit dem Unternehmen implementiert. Das SOC ermittelt Angriffe mit einer kritischen Einstufung innerhalb von wenigen Minuten – vom Alarmeingang bis zur Maßnahmenaktivierung. Alle sicherheitsrelevanten eingehenden Informationen werden in unterschiedlichen Speichern gehalten. 30 Tage für Daten, die direkt abgerufen werden können, und bis zu 360 Tage für Daten, die retrograd abrufbar sind. Bei Letzterem liegt die Empfehlung des BSI bei einer Gesamtspeicherdauer bei 90 Tagen. Die Daten sind somit auch für rechtsrelevante Auswertungen verfügbar. Aus Erfahrung verlaufen Angriffe über einen längeren Zeitraum und werden häufig über unterschiedliche Wege durchgeführt. Aus diesem Grund ist im SOC auch ein Threat Hunting etabliert, welches bereits entstehende Angriffsversuche aufspürt und Maßnahmen einleiten wird. Welche Vorteile haben Kunden, wenn sie ihre Sicherheitsanforderungen einem Dienstleister anvertrauen? Dirk H. Bürhaus: Der Auftraggeber kann sich sicher sein, dass all seine Präventionsmaßnahmen, wie die Leistungen in der personellen Sicherheit, die Sicherheitstechnik, die Cyber Security und das Sicherheitsmanagement, perfekt aufeinander abgestimmt sind und deshalb ein deutlich erhöhtes Sicherheitsniveau nach sich ziehen. Dadurch kommt es auch zu erheblichen Effizienzsteigerungen sowie Zeit- und Koordinationsersparnissen, da in solchen Gesamtlösungen aufseiten von KÖTTER Security ein zentraler Ansprechpartner alle Leistungen für den Kunden koordiniert. Neben einer signifikanten Kostenreduktion – im Vergleich z. B. zum Aufbau eines eigenen SOC oder der Koordination mehrerer Partner – ist dieser Ansprechpartner auch als Berater und Auditor für den Kunden vor Ort greifbar und nimmt ihm die typischen Probleme des Alltagsbetriebes eines Sicherheitsmanagements ab. Hat die Erweiterung des Dienstleistungsportfolios zu einer Veränderung der Zielgruppen geführt? Dirk H. Bürhaus: Nein, die Zielgruppe ist die gleiche wie bisher: Vom lokalen Handwerksbetrieb über den (über)regionalen Mittelständer bis hin zum international tätigen Konzern greifen derartige Konzeptansätze, auch in einer möglichen internationalen Ausprägung. Ein wesentlicher Ansatz ist hierbei die aktuell bevorstehende Umsetzung der CER- sowie der NIS2-Richtlinie der EU im Rahmen der Einführung des KRITISDachgesetzes sowie des NIS2UmsCG in Deutschland. Hierdurch wird eine erhebliche Anzahl an Kunden in Deutschland von Maßnahmen, Auflagen und vor allem auch Haftungsrisiken betroffen sein, die dies z. T. heute noch nicht so erkannt hat oder sich teilweise mit unzureichenden Maßnahmen dagegen abzusichern versucht. Dies wird in naher Zukunft bei einer Überprüfung durch das BSI als Aufsichtsbehörde zu hohen Strafzahlungen bis hin zur persönlichen Haftung der Geschäftsführung führen. Sicherheitskonferenz am 3. Juni 2025: Seien Sie dabei! Die Sicherheitskonferenz STATE OF SECURITY findet am 3. Juni 2025 bereits zum neunten Mal statt. Beim Zusammentreffen von führenden Experten aus Politik, Wirtschaft und Behörden steht das Thema„Digitale und physische Sicherheit im Zusammenspiel: Unternehmensschutz ganzheitlich betrachtet“ im Fokus. Die Veranstaltung von KÖTTER Security und German Business Protection (GBP) bietet eine einzigartige Plattform für den Austausch von Wissen und Best Practices rund um die Absicherung von Unternehmen. Melden Sie sich direkt an: www.koetter.de/state-of-security-2025 IT- UND CYBERSICHERHEIT
RkJQdWJsaXNoZXIy Mjc4MQ==