Stellen Sie sich vor, Ihr Unternehmen wird von Cyberkriminellen angegriffen und Sie müssen überhaupt nichts tun, um den Angriff abzuwehren und den Schaden so gering wie möglich zu halten. Stellen Sie sich vor, es gäbe ein Team spezialisierter Fachkräfte, das rund um die Uhr erreichbar ist, wenn bei Ihnen der schlimmste Fall eintritt. Stellen Sie sich außerdem vor, dass Sie diese Expertinnen und Experten weder selbst schulen noch vorhalten müssten und das Wissen auch niemals abwandern könnte. Mit einem Security-Operations-Center-as-a-Service (SOCaaS) ist das alles möglich.

SOC vs. IT-Abteilung: Was ist der Unterschied?

Aufgrund der anhaltend hohen Bedrohungslage muss jedes Unternehmen seine IT-Infrastruktur kontinuierlich überwachen, um alle Sicherheitsbedrohungen erkennen und abwehren zu können. In den meisten Organisationen wird diese Aufgabe von der IT-Abteilung übernommen. Diese hat jedoch auch andere Aufgaben wie Systemadministration, Wartung, technischen Support oder die Planung neuer IT-Projekte und kann deswegen in ihrer Reaktionsfähigkeit auf sicherheitsrelevante Ereignisse eingeschränkt sein.

Ein SOC ist hingegen ein Team, das sich ausschließlich auf die Erkennung, Analyse und Reaktion auf Sicherheitsvorfälle konzentriert. Dies bringt zahlreiche Vorteile mit sich: Das SOC kann in der Regel schneller auf Ereignisse reagieren, kann potenzielle Bedrohungen proaktiv identifizieren und kontinuierlich auf Schwachstellen prüfen und diese beheben. Wir zeigen das anhand eines vereinfachten Beispiels:

▶ Wie kann ein typischer Cyberangriff ablaufen?

08:00 Uhr – Arbeitsbeginn. Alles scheint normal.

09:00 Uhr – Die ersten Mitarbeitenden bemerken, dass das System „heute irgendwie langsam“ ist, sie erhalten ungewöhnliche Fehlermeldungen und können auf bestimmte Daten nicht mehr zugreifen.

10:00 Uhr – Bei der IT-Abteilung häufen sich die Beschwerden und sie beginnt, die Vorfälle zu untersuchen.

13:00 Uhr – Es steht fest: Sie wurden angegriffen. Nichts geht mehr. E-Mail, Telefonie etc. werden abgeschaltet. Der Kundenservice ist nicht mehr erreichbar, Home-Office-Mitarbeitende sind abgeschnitten und auch die Kommunikation mit Partner- und Zulieferfirmen steht still.

14:00 Uhr – Die IT-Abteilung versucht, den Angriff einzudämmen, isoliert betroffene Systeme, fragt nach der Verfügbarkeit von externen Fachkräften.

18:00 Uhr – Mit externer, teurer Unterstützung kann der Angriff langsam eingedämmt und die betroffenen Systeme bereinigt werden.

Nächster Tag: Erst jetzt wird klar, welche geheimen und vertraulichen Daten die Cyberkriminellen erbeuten konnten. Kundendaten wurden kompromittiert und entwendet. Waren konnten nicht ausgeliefert werden. Spätestens jetzt häufen sich auch die Beschwerden von Kundinnen und Kunden.

Langfristig: Die Wiederherstellung aller Systeme und Daten wird mehrere Wochen in Anspruch nehmen. Der finanzielle Schaden ist enorm. Die rechtlichen Konsequenzen und langfristigen Reputationsschäden lassen sich noch gar nicht abschätzen.

▶ Wie wäre der Angriff mit einem SOC verlaufen?

07:00 Uhr – Das SOC bemerkt verdächtige Aktivitäten im Netzwerk. Ungewöhnliche Login-Versuche und ein erhöhter Datenverkehr werden registriert.

07:30 Uhr – Das SOC analysiert die verdächtigen Aktivitäten und gibt eine Frühwarnung an die Verantwortlichen im Unternehmen heraus.

09:00 Uhr – Das interne IT-Team dämmt in Absprache mit dem SOC den Angriff ein, zum Beispiel durch Blockierung von IP-Adressen, Isolierung einzelner Systeme oder Aktivierung von Notfallprotokollen. Die betroffenen Abteilungen und Mitarbeitenden werden auf dem Laufenden gehalten.

10:00 Uhr – Während der Eindämmung und Untersuchung des Angriffs kann es zu Verzögerungen im Geschäftsprozess oder bei der Kundenbetreuung kommen. Einige Beschwerden von Kundinnen, Kunden und Partnern können eintreffen.

12:00 Uhr – Die betroffenen Systeme werden gereinigt und wiederhergestellt. Mitarbeitende und ggfs. Kunden sowie Partner- und Lieferantenunternehmen werden informiert, um Transparenz zu gewährleisten und Vertrauen herzustellen.

In den folgenden Tagen: Das SOC liefert einen ausführlichen Bericht über den Vorfall, die Ursachen, die getroffenen Maßnahmen und gibt Empfehlungen, wie künftige Angriffe verhindert werden können.

Langfristig: Da nur bestimmte Geschäftsprozesse kurzfristig unterbrochen wurden, sind keine größeren finanziellen Schäden entstanden. Außerdem sind keine vertraulichen oder geheimen Daten gestohlen oder vernichtet worden. Durch die transparente Kommunikation mit Mitarbeitenden, Kundinnen, Kunden und Partnern konnten Reputationsverluste, Imageschäden und Missverständnisse vermieden werden.

Wie sollte ein SOC aufgebaut sein?

Wie das Beispiel zeigt, ist die wichtigste Voraussetzung, die ein Security Operations Center erfüllen muss, die Erreichbarkeit an 24 Stunden am Tag, 7 Tagen die Woche, 365 Tagen im Jahr. Cyberkriminelle nehmen sich in der Regel keinen Urlaub und starten Angriffe auch nachts und am Wochenende oder noch vor dem eigentlichen Arbeitsbeginn. Für die proaktive Überwachung aller Cybersicherheitstechnologien eines Unternehmens empfiehlt sich daher ein Team von mindestens 8 Mitarbeitenden. Neben diesen ausgebildeten IT-Sicherheitsexperten bedarf es noch einer SOC-Software, die in der Lage ist, alle eingehenden Informationen zu bündeln. Die Kosten allein hierfür belaufen sich auf schätzungsweise 250.000 € pro Jahr. Der eigene Aufbau und Betrieb eines SOC ist also sehr zeit- und kostenintensiv und in Zeiten des Fachkräftemangels für viele Unternehmen kaum realisierbar. Was sollten Firmen also tun?

SOC-as-a-Service als Lösung

Statt ein Security Operations Center in Eigenregie aufzubauen, können Unternehmen diese wie auch viele andere IT-Sicherheitsdienstleistungen von einem erfahrenen Partnerunternehmen beziehen. Zwei Varianten sind dabei bei EWE möglich: Erstens, wir bauen für Sie ein individuelles SOC auf. Dabei profitieren Sie nicht nur von der langjährigen Erfahrung von EWE beim Schutz der eigenen Systeme als Anbieter von kritischer Infrastruktur, sondern auch von einem regionalen Managed Service Provider mit eigenem Rechenzentrum in Oldenburg.

Wir bieten Ihnen umfassende, DSGVO-konforme IT-Schutzkonzepte und Lösungen aus einer Hand direkt aus Oldenburg. Oder zweitens, Sie nutzen unsere Partnerschaft mit Arctic Wolf: Das ist einer der weltweit führenden Anbieter von Security Operations und bietet Ihnen ein SOC als komplette, standardisierte Servicelösung an. Ihr Vorteil ist dabei die Schwarmintelligenz von über 5.300 Kunden – wird bei einem eine neue IT-Schwachstelle diagnostiziert, kann dieses Wissen direkt auf alle weiteren angewendet werden.

In jedem Fall bedeutet das für Sie, dass Ihre IT-Systeme rund um die Uhr von einem externen Expertenteam überwacht werden, das Sie weder vorhalten noch ausbilden müssen. Im Gegenteil: EWE und Arctic Wolf stellen sicher, dass die IT-Security-Spezialistinnen und -Spezialisten immer auf dem neuesten Stand der Technik, über neue Gesetze und Richtlinien informiert und 24/7/365 erreichbar sind. Insgesamt erhöht ein externes SOC also das IT-Sicherheitsniveau des Unternehmens – und das zu planbaren Kosten, denn die meisten SOC-as-a-Service-Anbieter arbeiten mit einem Flatrate-Modell.

Die Zukunft der IT-Sicherheit ist zentral

Jedes Unternehmen kann jederzeit Opfer eines Cyberangriffes werden. Ohne ein dediziertes Team, das sich um die Abwehr und Prävention von Attacken kümmert, ist man nahezu schutzlos ausgeliefert. Denn auch die Cyberkriminellen rüsten immer weiter auf und führen Angriffe durch, die von herkömmlichen Schutzsystemen nur schwer oder nur sehr spät erkannt werden können. Dabei halten sie sich nicht an Arbeitszeiten.

Ein Security Operations Center ist die Lösung, um das Netzwerk wirklich rund um die Uhr zu überwachen, damit schnell und effektiv auf Attacken reagiert werden kann. Wird ein Cyberangriff erst spät oder gar nicht abgewehrt, drohen lange Ausfallzeiten, Störungen im Geschäftsablauf, rechtliche Konsequenzen und vor allem hohe Kosten, die bis zur Insolvenz führen können. Auch der eigenständige Betrieb eines SOC ist kostenintensiv, da viel Know-how und Ressourcen vorgehalten werden müssen, daher ist für die meisten Unternehmen ein SOC-as-a-Service die ideale Lösung. Hier überwacht ein externes Expertenteam garantiert rund um die Uhr die IT-Infrastruktur. Es ist dabei nicht nur besser erreichbar als eine interne Abteilung, sondern in Zeiten des Fachkräftemangels auch besser ausgebildet und wird laufend in Bezug auf neue Trends, Technologien, Regularien etc. fortgebildet.

Sie sind mit Ihrem derzeitigen Schutzstatus unzufrieden? Sie sind sich nicht sicher, welche SOC-Lösung für Sie die beste ist? Wir beraten Sie gern in allen Fragen der IT-Sicherheit und erstellen ein Konzept, das zu Ihnen und Ihrem Unternehmen passt!