Kein Kosten oder Mühen für ein Tool oder Service gescheut, das sich im Nachhinein als nicht wirtschaftlich tragbar und vielleicht noch dazu nicht effektiv herausstellt – das ist wohl der Alptraum eines jeden IT-Security-Verantwortlichen.

Vor einigen Jahren war das Security Operation Center (SOC) revolutionär. Nun aber ziehen SOC-Pioniere nach ein paar Jahren im wahrsten Sinne des Wortes Bilanz und stellen fest, dass keine so schwerwiegende, komplexe, aufwändige Störung vorgefallen wäre, die die damals getätigte Investition für ein vollumfängliches SOC aufwiegen würde. Oder aber es kam tatsächlich zu einem Zwischenfall, der aber nicht (rechtzeitig) erkannt und verhindert wurde. Die Reaktion? Sie drehen das SOC wieder ab. Aber ist das sinnvoll, oder die einzige Lösung?

Der erste Schritt auf der „Road to CDC (Cyber Defense Center)“

Anstatt sich durch diesen Schritt selbst der Möglichkeit zu berauben, schnell auf einen Zwischenfall reagieren zu können – wenn er denn überhaupt noch entdeckt wird, denn Kernstück eines SOC ist ja üblicherweise ein SIEM, und ist das SOC weg, ist das SIEM vielleicht mit weg, oder es kümmert sich zumindest niemand mehr darum – wäre nicht von Anfang an ein maßgeschneidertes Konzept in vielerlei Hinsicht wertvoller gewesen?

Alle Unternehmen haben Bedarf an Einblicken, was sich so im Hintergrund unbemerkt alles abspielt – nicht nur Konzerne, sondern auch kleinere Betriebe, die nicht gerade ein sechsstelliges Budget für IT-Security-Services aufbringen können. Das Bewusstsein für die Bedrohungslage ist bei großen Unternehmen üblicherweise vorhanden, jedoch wird das Thema in wirtschaftlich schwierigen Zeiten gerne stiefmütterlich behandelt. In KMUs hingegen wird die Situation oft nicht als so dramatisch eingeschätzt, wie sie tatsächlich ist. Erschwerend kommt dann noch hinzu, dass es kein ausreichend spezialisiertes Personal im Haus gibt und/oder nicht genug Budget für ausgefeilte externe Services vorhanden ist. Die Einrichtung eines Security Monitoring Services ist hier also der ideale erste Schritt: Einerseits werden hier die Kosten im Auge behalten, andererseits wird so ein solides Fundament für allfällige weitere Schritte, also zusätzliche Unterstützungsleistungen mit höherem Reifegrad, gelegt.

Flexibel skalierbares Service

Ausgehend von der Grundsatzfrage „Was wird gebraucht?“ können weitere Rahmenbedingungen definiert werden:

    • Kann die Triage der Events im Haus durch eigene Mitarbeiter erfolgen, und ist lediglich zur forensischen Analyse und Behebung im Ernstfall externe Unterstützung notwendig?
    • Oder umgekehrt: Sollen Events möglichst automatisiert vorqualifiziert werden, um das Grundrauschen zu minimieren, und im Ernstfall steht die qualifizierte interne IT-(Security-)Abteilung des Unternehmens zur Verfügung, um rasch zu reagieren?
    • Ist aufgrund internationaler Geschäftstätigkeit ein 24×7-Service notwendig oder reicht 10×5-Unterstützung? Ist überhaupt jemand erreichbar, wenn an einem Samstag um 2 Uhr Früh das Rote Telefon läutet?
    • Gibt es Richtungsweiser, wie etwa die Affinität zu einem bestimmten Hersteller?

Gemeinsam mit einem professionellen, flexiblen Partner an der Seite können mit Hilfe dieser Fragestellungen die Rahmenbedingungen für ein maßgeschneidertes Konzept erarbeitet werden. Dies hat zum einen den Vorteil, dass auf individuelle Parameter eingegangen werden kann, und zum anderen der Service zusätzlich bei Bedarf angepasst und auch erweitert werden kann. Bietet der Partner etwa einen 24×7-Bereitschaftsdienst, kann beispielsweise ein Security Monitoring-Service im 10×5-Umfang begonnen werden, aber ein Ramp-Up der Dienstleistung auf Rund-um-die-Uhr-Verfügbarkeit ist ohne weiteres möglich. Ebenso kann der Grad der Unterstützung flexibel vereinbart werden – von reinem Monitoring und Alerting auf detektierte Events, bis hin zum vollen Support bei Forensik und Incident Response.

Sie möchten mehr erfahren?