IT/OT SOC Security Operations Center – Zentrum einer Cyber-Security-Strategie
Cyberattacken, Fachkräftemangel und neue Richtlinien wie NIS2 zählen laut Allianz Risk Barometer 2024 zu den Top-Risiken für Unternehmen. Ein IT/OT SOC Security Operations Center kann ein wertvoller Stützpfeiler sein, um die Sicherheit zu erhöhen.
Wenn Angreifer in Unternehmensnetzwerke eindringen, spionieren sie meist zunächst in Ruhe die Infrastruktur aus, identifizieren kritische Assets, bauen Hintertüren ein und bereiten weitere Cyberattacken vor. Mit einem IT/OT SOC Security Operations Center lässt sich Schaden minimieren. Es überwacht ständig die Systeme, um Angriffe frühzeitig zu erkennen, spürt Bedrohungsakteure in Netzwerken auf und berät bei der effektiven Umsetzung von Gegenmaßnahmen. Neben Cyberattacken und Fachkräftemangel identifizierte der aktuelle Allianz Risk Barometer Report in einer Umfrage mit 3.069 Experten zum Thema Risikomanagement auch neue Regularien wie NIS2 als große Risikofaktoren für Unternehmen. Ein IT/OT SOC hilft, diese Risiken etwas entgegenzusetzen.
4 Trends in Kürze, die ein IT/OT SOC nahelegen
- NIS2: Die neue Cyber-Security-Regularie wird am 17. Oktober in nationales Recht umgesetzt und treibt derzeit die Nachfrage nach IT/OT-SOC-Experten. Denn Systeme zur Angriffserkennung sowie kontinuierliches Monitoring – der Kernaufgabe von IT/OT-SOC-Teams – sind hier festgeschrieben. Auch bei bisher nicht betroffenen Unternehmen rückt das Thema deshalb stärker in den Fokus.
- Fachkräftemangel: IT-Teams in Unternehmen sind oft bereits durch das Tagesgeschäft ausgelastet. Um sie nicht zusätzlich mit Cyber-Security-Maßnahmen zu belasten, lässt sich das stetige Monitoring aller Systeme an externe Dienstleister auslagern, die über Fachpersonal sowie die nötige Expertise verfügen.
- Rasante Zunahme an Cyberattacken: Durch die Häufung von Angriffen steigt auch das Risiko selbst betroffen zu sein. Sind „Hacktivisten“ oder professionelle Hackergruppen aus dem Bereich der organisierten Kriminalität erst einmal im Netz, ist guter Rat teuer und der potenzielle Schaden immens.
- Verschmelzung von IT und OT: Die Industrie 4.0 und die damit voranschreitende Verschmelzung von Informationstechnologie (IT) und Betriebstechnologie (OT) sorgt dafür, dass sich der Angriffsvektor für Unternehmen immer stärker vergrößert. Roboterarme oder gar komplette Produktionsstraßen werden an das IT-Netz angebunden.
Die Zusammenarbeit mit einem spezialisierten ICT-Dienstleister entlastet Unternehmen daher erheblich und die Nachfrage stetig zu.
Der Betrieb eines IT/OT SOC
Ist ein IT/OT SOC eingerichtet, überwachen Mitarbeitende und automatisierte Überwachungssysteme ständig die Netzwerkinfrastruktur. Wird ein Angreifer durch ein SIEM in den internen Systemen entdeckt, schlagen diese Alarm und IT/OT-SOC-Analysten analysieren und validieren die Meldungen und beraten Kunden beim weiteren Vorgehen. Unternehmen sollten jedoch nicht damit rechnen, dass sich Angriffe mittels automatisierter Algorithmen oder KI (Künstlicher Intelligenz) ohne menschliches Eingreifen stoppen lassen. In Kombination mit XDR (Extended Detection and Response) ist es zwar etwa möglich, automatisiert potenziell schadhafte Programme in Quarantäne zu setzen, Prozesse zu blockieren oder vereinzelte Endgeräte oder Server zu isolieren, aber sobald Infrastruktur ins Spiel kommt, gestaltet sich ein solch umfassender Eingriff herausfordernd. Ganze Systeme automatisiert herunterzufahren ist zwar technisch machbar, aber sehr riskant: Bei einem ungeplanten Serverabschalten können Daten verloren gehen und Maschinen beschädigt werden. Das SOC kann oft nicht erkennen, welche Geschäftsprozesse im Hintergrund aktiv sind und durch das Herunterfahren ganzer Infrastrukturen in Mitleidenschaft gezogen werden könnten. Die Entscheidung, welche Gegenmaßnahmen ergriffen werden, obliegt deshalb dem Management des Kunden auf Basis einer initialen Risikoanalyse.
Die menschliche Komponente ist für die Sicherheit entscheidend
Kommunikation und Zusammenarbeit innerhalb der Teams sind daher im Notfall entscheidend. Den IT/OT-SOC-Analyst:innen muss dazu vorab klar sein, wer die richtigen Ansprechpartner im Unternehmen sind. Nur so lassen sich schnell die nächsten Schritte planen. Vorausgehende Schulungen der Mitarbeitenden und Workshops im Rahmen der IT/OT-SOC-Einführung helfen dabei, für den Ernstfall klare Kommunikationsstrukturen und eine Eskalationsmatrix zu schaffen. So stehen für Attacken verschiedener Schweregrade (Kritikalitäten) – vom Keyloger über Passwort-Phishing bis hin zu Ransomware – passende Ansprechpartner zur Verfügung. Dies erhöht die Reaktionsgeschwindigkeit. Dabei müssen die IT/OT-SOC-Analysten die Sachverhalte ihren Ansprechpartner technisch exakt, aber verständlich erklären können, um eine gute Entscheidungsfindung zu ermöglichen.
Zu diesem Zweck bietet jedes moderne IT/OT SOC eine regelmäßige Feedbackschleife zu Themen wie Service-Zufriedenheit, Verbesserungspotenzial und Aufschlüsselungen über das derzeitige Bedrohungspotenzial.
Nicht zuletzt ist der menschliche Kontakt wichtig, um das notwendige Vertrauen zwischen Kunden und Partnern zu schaffen. Immerhin befassen sich die IT/OT-SOC-Analysten mit den sensibelsten Systemen eines Unternehmens. Wenn es zu einem Angriff kommt, möchte der Kunde in der Regel nicht mit einer Stimme vom Band sprechen.
Ausblick: Verschmelzung von IT und OT erfordert SOC-Analysten
Unternehmen sollten sich jetzt bereits damit befassen, wie sie Hacker in ihren eigenen Netzwerken erkennen und darauf reagieren wollen. Nicht erst ab Oktober, wenn die NIS2-Richtlinie in nationales Recht überführt wird. Ein modernes IT/OT SOC hilft dabei, Cyberbedrohungen zu erkennen, darauf zu reagieren und die Risiken zu minimieren. Zu diesem Zweck ist es jedoch erforderlich, dass beide Umgebungen – IT wie OT – berücksichtigt werden.
Wenn es um die Auswahl eines IT/OT-SOC-Betreibers geht, spielen gerade die Analysten vor ihren Bildschirmen eine zentrale Rolle. Sie bieten Sicherheit, Kompetenz und schaffen Vertrauen, was automatisierte Systeme und KI nicht leisten können. Deshalb sollten sie über Expertise in beiden Bereichen verfügen.
