HP SOC: Technik und Funktionsweise

Security Operations Center sind in der Branche derzeit in aller Munde. Wie sollten sie Ihrer Meinung nach aufgebaut sein?

Frank Stoermer: Wir favorisieren bei HP einen umfassenden Ansatz: Es darf nicht alleine darum gehen, Technologien inhouse zu implementieren oder einen Dienstleister in Anspruch zu nehmen, der die Infrastruktur rund um die Uhr überwacht. Security Operations Center ist kein reines IT-Thema für das Top-Management und die gesamte Organisation. Da braucht es Management-Entscheidungen genau so wie definierte Rollen und Prozesse. Ich gebe Ihnen ein Beispiel dafür: Ein international tätiges Unternehmen, das massiv aus Fernost angegriffen wurde, wusste sich in seiner Verzweiflung und Hilflosigkeit keinen anderen Rat, als die Internet-Verbindungen für einige Tage lahm zu legen. Dass eine solche Entscheidung fatal gewesen wäre für das Unternehmen, muss ich wohl nicht betonen. Aber ich will hier auf einen anderen Punkt hinaus: Für einen solchen Fall, der die Existenz des Unternehmens auf Spiel setzt, muss im Rahmen des SOC ein Notfallplan im Sinne von Desaster Recovery greifen.

Was heißt das in dem Fall?

Frank Stoermer: Im Notfallplan muss geklärt sein: Wer trifft welche Entscheidungen? Im konkreten Beispielfall muss also klar sein: Fällt der Netwerkmanager, der Sicherheitsverantwortliche oder aber - was am wahrscheinlichsten ist - die Geschäftsführung die Entscheidung, dass - wenn überhaupt - die Internet-Verbindung gekappt wird? Das SOC definiert eine individuelle Eskalationsmatrix für jedes Unternehmen, die den Schweregrad von Security-Vorfällen, aber auch Kriterien wie die möglichen Auswirkungen auf das Business, die Bedeutung einzelner Märkte und eventuelle Meldepflichten berücksichtigt.

Spielt die Technik beim SOC denn eine völlig untergeordnete Rolle?

Frank Stoermer: Nein, die Technik - hier vor allem Security Event Management und Integrated Threat Intelligence - ist absolut notwendig. Aber sie muss eben auf die Cybersecurity-Strategie eines Unternehmens abgestimmt sein. Viele Unternehmen fühlen sich an dem Punkt von Beratern im Stich gelassen, die nur die Risiken und Schwachstellen identifizieren, aber keine Hilfestellung bei der technischen Umsetzung von Lösungen leisten. Umgekehrt helfen auch rein technische Lösungen nicht weiter, weil jedes Unternehmen die notwendigen Maßnahmen vorher priorisiert haben muss. Insofern sollte ein SOC immer die Schnittmenge aller Punkte umfassen.

Das klingt aufwändig. Wann sollte ein Unternehmen ein SOC selbst aufbauen - oder wann sollte es dafür einen Dienstleister beauftragen?

Frank Stoermer: Tendenziell gilt: Je kleiner ein Unternehmen und dessen Personalstamm, desto schwerer tut es sich, ein SOC mit den notwendigen Prozessen aufzubauen und diese Prozesse auch zu leben. Außerdem muss ein SOC muss rund um die Uhr an 365 Tagen laufen. Angreifer kennen weder Wochenende noch Weihnachtspause. Die DAX-30-Unternehmen verfügen Stand heute alle über ein eigenes SOC - allerdings mit unterschiedlichen Reifegraden, etwa was die Abdeckung der elementaren Prozesse betrifft. Auch ist die Technik oft vorhanden, wird aber nicht richtig eingesetzt. In dem Fall hilft ihnen eine Beratung dahingehend, wie sie die vorhandenen Komponenten richtig orchestrieren können, um ihre Ziele zu erreichen. Andere Unternehmen wiederum betreiben ein SOC nur in Deutschland, obgleich sie weltweit tätig sind. Da macht es Sinn, diese Tätigkeiten an einen externen Dienstleister auszulagern. Dies ist auch für einen bestimmten Zeitrahmen möglich, etwa wenn eine Tochtergesellschaft im Ausland in absehbarer Zeit geschlossen werden soll. In dieser Zeit des Übergangs ist das Gefährdungspotenzial von innen sehr hoch. Das Thema Outsourcing kann an dem Punkt sehr granular und individuell angegangen werden.

HP betreibt derzeit für Kunden weltweit acht SOC. Welchen Vorteil haben sie für die Kunden?

Frank Stoermer: Wir verfügen hier über einen großen Pool von IT-Security-Experten, die nicht zuletzt durch die Forschungsaktivitäten seitens HP in diesem Bereich über ein riesiges Know-how mit großem Blickwinkel verfügen. Selbst ein weltweit tätiges Unternehmen hat immer nur einen eingeschränkten Blickwinkel. Beispielsweise wenn es darum geht, einen externen Angriff einzuordnen: Lief ein Angriff, den es gerade entdeckt, auch schon bei anderen Firmen? Handelt es sich um eine ungerichtete Kampagne oder einen Schadcode, der noch nirgendwo anders aufgetreten ist? Hat es der Angreifer somit ganz gezielt auf unsere Daten abgesehen? Wenn man über diese Informationen verfügt, dann kommt man gegebenenfalls zu einer ganz anderen Risikoeinstufung.