ITSiG, ISMS, SIEM, SOC: Zusammenhänge kurz erklärt

ITSiG, ISMS, SIEM und SOC - klingt wie eine Textzeile aus einem Song einer Stuttgarter Hip-Hop Band. Das ist es aber natürlich nicht, sondern die vier Abkürzungen stehen für mittlerweile grundlegende Begriffe der IT-Sicherheit. Wie sie miteinander zusammenhängen und was ein SOC eigentlich ist, werde ich in diesem Beitrag erklären.

Wie ich bereits in meinen vorherigen Blog-Beiträgen erwähnt habe, werden Cyber-Ganoven immer professioneller und klassische Sicherheitslösungen wie Antiviren-Programme und klassische Firewalls werden der Masse an Angriffen nicht mehr eigenständig Herr. Aus diesem Grund ist es empfehlenswert, den vorhandenen Basisschutz um alternative und proaktive Sicherheitslösungen zu ergänzen. Eine dieser Lösungen kann ein SOC darstellen.

Was versteht man unter „SOC“?

Die Abkürzung „SOC“ steht für Security Operations Center. Laut Wikipedia-Definition handelt es sich bei einem SOC um:

„…ein Zentrum, das Dienstleistungen für die EDV-Sicherheit bietet: ein Verfahren zur Vorbeugung und Behandlung von unvorhergesehenen Schwierigkeiten. Die Aufgabe dieser Infrastruktur ist die Vorbeugung gegen das Risiko, das alle Aktivitäten der EDV-Sicherheit mit Hilfe von Zentralisierung und Analyse aller menschlichen Ressourcen sowie der Hardware und Software zur Verwaltung des Sicherheitssystems beinhaltet. Eine Struktur dieser Art wird 24 Stunden am Tag und für 365 Tage im Jahr von Personal, das die Performance der Plattformen sicherstellt und die Informationen analysiert und zusammenfasst, geschützt.“

Kurz gesagt dient ein SOC der zeitnahen Erkennung von Sicherheitsvorfällen und ist 24/7 im Einsatz. Die Besonderheit eines SOC, im Vergleich zu anderen Security-Lösungen, stellt das Einsatzteam dar. Ein SOC ist also keine reine Software, sondern eine Lösung hinter der menschliche Intelligenz steckt. Das Einsatzteam besteht in der Regel aus IT-Security Experten und analysiert rund um die Uhr Sicherheitsvorfälle, die von den verschiedenen Sicherheitslösungen gemeldet werden. Es weist diesen Kritikalitäten bzw. Prioritäten zu und gibt sie mit einer Handlungsempfehlung weiter. Die Mitarbeiter eines SOC sind nicht zuständig für Response, also Behandlung der Sicherheitsvorfälle, sondern ergänzen die Detection und koordinieren anschließend die notwendigen Prozesse, um die Response in Gang zu setzen. Vergleichbar ist dies mit der Einsatzleitstelle einer Feuerwehr. Vorfälle wie Brände werden zuerst der Leitstelle gemeldet, diese gibt sie an das zuständige Team weiter, welches im Anschluss ausrückt um den Brand zu löschen.

Ein SOC kann entweder an einen Dienstleister abgegeben oder im eigenen Unternehmen eingerichtet werden. Letzteres lohnt sich hauptsächlich für große Unternehmen, die ausreichend personelle und finanzielle Ressourcen für die IT-Sicherheit vorhalten. In großen Unternehmen besteht die Gefahr, dass die Informationen über Sicherheitsvorfälle nicht alle relevanten Personen erreichen, da unterschiedliche IT-Abteilungen für unterschiedliche Bereiche der IT verantwortlich sind. Somit bleiben Schwachstellen bestehen, obwohl sie innerhalb des Unternehmens bereits an anderer Stelle gefunden und beseitigt wurden. Mit Unterstützung durch ein SOC laufen diese Informationen automatisch zentral zusammen und können auf andere Bereiche angewendet werden.

Wie hängen nun ITSiG, ISMS, SIEM und SOC zusammen?

Seit Februar 2016 verpflichtet das IT-Sicherheitsgesetz (kurz ITSiG) Betreiber kritischer Infrastrukturen (KRITIS) zur Umsetzung bestimmter Regelungen. Unter anderem folgendes: Wer KRITIS ist, muss ein Informationssicherheitsmanagementsystem (ISMS) einführen und zertifizieren lassen.
Wie ISMS und SIEM zusammenhängen, hat mein Kollege bereits hier beschrieben. Hierzu eine Zusammenfassung:

Ein Information Security Management System, kurz ISMS, beschreibt alle Prozesse und Regeln innerhalb Ihres Unternehmens, welche die Aufgabe zur dauerhaften Definition, Steuerung, Kontrolle, Aufrechterhaltung und Verbesserung der Informationssicherheit haben. Dies umfasst nicht nur Online-, sondern auch Offline-Bereiche.
Ein SIEM hingegen ist ein System, welches die Logfiles Ihrer eingesetzten IT-Sicherheitslösungen auswertet, zusammenfasst und korreliert. Ohne ein SIEM müsste Ihre IT-Abteilung tausende Zeilen Logfiles manuell auswerten und interpretieren.
Zwar kann ein ISMS nach ISO 27001 auch ohne ein SIEM umgesetzt werden, allerdings gibt es einige Anforderungen, die durch ein SIEM perfekt erfüllt werden.

Mit einem SOC hat das nun folgendes zu tun: in einem SOC nutzen die IT-Sicherheitsexperten verschiedene IT-Sicherheitslösungen, die Sicherheitsvorfälle erkennen und eine Art Liste dieser „Incidents“ an das SOC-Team weiterleiten können. Die Mitarbeiter des SOC-Teams arbeiten diese Liste der Vorfälle ab, reichern sie mit Handlungsempfehlungen an und leiten sie an die zuständige Stelle weiter. Zu den genutzten Sicherheitslösungen eines SOC können zum Beispiel eine Sandboxing-Lösung von Check Point oder Sophos oder eben auch ein SIEM zählen. Außerdem gehören zu einem SOC eine Reihe weiterer Module, beispielsweise ein Schwachstellen-Scan und eine Datenstromkontrolle. Wie genau ein SOC aufgebaut werden kann, werde ich in einem weiteren Beitrag vorstellen.

Ein SOC ist nicht für jeden sinnvoll

Bei Unternehmen, die sich mit der Einrichtung bzw. Beauftragung eines SOC beschäftigen, sollte bereits ein grundlegendes IT-Sicherheitskonzept vorhanden sein. Aufbauend darauf sollten entsprechende Sicherheits-Sensoren wie SIEM, IDS, Anti-Malware und Logmanagement implementiert sein. Diese Reihenfolge bildet die Grundlage für ein optimal funktionierendes SOC.
Um noch einmal auf das Feuerwehrbeispiel zurück zu kommen: ein SOC ohne vorhandene „Detektoren“, wie Logmanagement oder SIEM, ist wie eine Leitstelle ohne Telefon. Trotzdem ist dies natürlich auch von Fall zu Fall unterschiedlich.

Für alle, die eine zuverlässige Lösung suchen, um mehrere Module ihres Sicherheitskonzepts mit Hilfe spezialisierter Sicherheitsexperten zu verbinden, ist ein SOC die richtige Wahl.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *