Worauf muss bei einem SOC-Anbieter geachtet werden?

Wenn Sie sich mit Ihrem Unternehmen dafür entscheiden, auf einen SOC-Dienstleister zu setzen anstatt ein eigenes SOC aufzubauen, gibt es selbstverständlich ein paar Punkte, die dabei unbedingt beachtet werden sollten. Um keine falsche Wahl zu treffen, bedarf es daher strenger Kriterien, die es dringend zu berücksichtigen gilt.

Dienstleistungsspektrum

Zunächst einmal sollte der SOC-Anbieter eine breite Palette an Services anbieten, die Ihnen Flexibilität, Skalierbarkeit und einen Service auf hohem Niveau gewährleistet: Für eine schnelle, lückenlose, gut vorbereitete Reaktion im Ernstfall sollte er über ein eigenes, internes Incident Response und Management Team, Krisenmanager und interne Forensiker verfügen. Auch Pentesting und Red Teaming oder Awareness-Angebote sind möglicherweise angebotene Bausteine, die Ihnen vielleicht im Moment noch nicht wichtig erscheinen, in Zukunft aber integraler Bestandteil eines umfassenden Sicherheitskonzepts werden könnten.

Abdeckung, Verfügbarkeit, Kommunikation

Eine Abdeckung 24/7 an 365 Tagen bieten die meisten Dienstleister an. Wesentliche Unterschiede bestehen jedoch in der Art der Abdeckung (nur Bereitschaftsdienst?), der Organisation (Follow-the-Sun, mit ständig wechselnden Verantwortungen und kulturellen und sprachlichen Barrieren – oder ein echter Schichtbetrieb an einem Standort?) und der Betreuung: Gibt es mit einem Account Manager nur einen festen kaufmännischer Ansprechpartner, oder auch einen festen technischen Ansprechpartner? Wo sitzt dieser, welche Sprache spricht er? Im Krisenfall macht es einen entscheidenden Unterschied, ob das Gegenüber in der Muttersprache helfen kann, oder vielleicht nur ein gebrochenes Englisch spricht. Überprüfen Sie solche Aspekte im Voraus sehr genau, um den richtigen SOC-Anbieter für Ihr Unternehmen wählen zu können.

Sicherheit und Compliance der SOC-Standorte

Auch in Punkto Sicherheit des SOCs selbst gibt es große Unterschiede. IT Dienstleister wie SOC-Anbieter stellen selbst attraktive Ziele von Cyberkriminellen dar, da mit einem Multiplikatoreffekt eine Vielzahl an Kunden gleichzeitig infiziert werden kann (vgl. Hackerangriff auf den Dienstleister SIT in NRW).
Daher sollte auf die Standorte des SOCs (für die 24/7/365 Abdeckung) geachtet werden: Für alle beteiligten SOC-Einheiten muss eine RC4 Abschirmung und die Trennung von Office- und SOC-IT gelten. Außerdem ist ein grundsätzlicher Verzicht auf Homeoffice für Level 1 wichtig. Im besten Fall verfügt das SOC bzw. jeder Standort über das BSI 27001 Zertifikat mit dem Zusatz „auf Basis von IT Grundschutz“.

SOC-Besuch

Gute SOC-Anbieter ermutigen Sie zu einem Besuch. Durch Inaugenscheinnahme können Sie sich zuverlässig ein Bild von der tatsächlichen Personalstärke im SOC, der Sicherheit, der Professionalität und Modernität machen.

Moderne Technologien

Weiterhin sollte der SOC-Anbieter modern und somit zeitgemäß aufgestellt sein. Das meint vorwiegend die technologische Ausstattung des Security Operations Center. Tools zur Überwachung und Erkennung sollten daher unbedingt dem aktuellen Stand entsprechen, und das SOC sollte neueste Technologien für seine Arbeit einsetzen. Diese sind mitentscheidend für die Effizienz des Security Operations Centers und bestimmen mit der Kompetenz der Mitarbeiter darüber, wie schnell IT-Sicherheitsprobleme erkannt, analysiert und behoben werden können.

Erfahrung des SOC-Anbieters

Die Erfahrung des SOC-Anbieters ist natürlich ebenfalls wichtig. Klar, jeder fängt mal klein an, doch Erfahrung und Expertise sind mitunter große Vorteile beim externen SOC. Ein SOC, das schon länger am Markt ist, verfügt in der Regel über stabile, ausgereifte Prozesse und eingespielte Teams.

Ebenso ist interessant, mit welchen Unternehmen der SOC-Anbieter bereits erfolgreich zusammenarbeitet. Kundennamen werden meistens aus Sicherheitsüberlegungen heraus nicht veröffentlicht, aber einzelne Namen und Kontakte zu Referenzen werden im Gespräch in der Regel gerne vermittelt.

Incident Response Prozesse

Erfragen Sie vorab auch Prozesse für mögliche Sicherheitsvorfälle. Kommt es zu einer akuten Bedrohungslage, ist es wichtig, dass der SOC-Anbieter mit klaren und strukturierten Abläufen glänzt, und durch ein inhouse Incident Response und Management Team auf den Ernstfall bestens vorbereitet ist. Das Incident Response Management sollte entsprechend geregelt sein, ebenso wie die Zeitspanne, in der für gewöhnlich auf Sicherheitsvorfälle reagiert werden muss. Ist all das vorab geklärt, sollte es auch vertraglich festgelegt werden, um hinterher keine bösen Überraschungen zu erleben.

Flexible Verträge

Für Sie als Unternehmen ist es zudem meist wichtig, dass die Verträge nicht sonderlich starr sind. Von einem SOC-Anbieter erwarten Sie volle Flexibilität und sollten dies auch als einen der großen Vorteile gegenüber einem eigenen Security Operations Center betrachten. Skalierbarkeit ist damit das A und O, um nie zu viel oder zu wenig zu buchen. Ein SOC-Anbieter sollte den Umfang seiner Leistung daher stets an Ihre aktuellen Sicherheitsanforderungen anpassen können. Achten Sie darauf, dass Sie nicht von Beginn an das Gesamtpaket buchen, welches Sie unter Umständen gar nicht benötigen.

Kurzfristige vs. langfristige Verträge

Ob Sie sich für einen eher kurzfristigen Vertrag entscheiden oder eine langfristige Partnerschaft ins Auge fassen, hängt immer auch von Ihrem Unternehmenstyp ab. Langfristige Partnerschaften basieren meist darauf, dass ein externes SOC entsprechend stark in das Unternehmen integriert wird. Der Anbieter weiß, dass der Vertrag längere Zeit bestehen bleibt und hat daher auch ein großes Interesse daran, dass die Sicherheitsstrukturen Ihres Unternehmens entsprechend tiefgehend in bestehende Prozesse integriert werden. Es ist eine Win-win-Situation für beide Parteien, die sich somit viel Mühe geben und eine erfolgreiche sowie langfristige Zusammenarbeit anstreben.

Eine langfristige Partnerschaft benötigt viel Vertrauen von beiden Seiten. Weil das bei langfristigen Verträgen der Fall ist, geben beide Parteien alles preis und versuchen, ihre Aufgaben bestmöglich zu erfüllen. Selbstverständlich hat die langanhaltende Zusammenarbeit auch positiven Einfluss auf die Preisverhandlungen mit dem SOC-Anbieter. Planungssicherheit ist eben auf beiden Seiten von Vorteil und drückt den Preis oft ein wenig nach unten.

Bei einem kurzfristigen Vertrag hingegen ist es so, dass beide Seiten flexibler agieren und sich ebenso kurzfristig voneinander trennen können. Damit sinkt die Planungssicherheit um ein Vielfaches. Auch wird der SOC-Anbieter weniger Energie einsetzen, um seine und die Systeme Ihres Unternehmens in Einklang zu bringen. Auch die Kosten werden bei kurzfristigen SOC-Verträgen unweigerlich steigen. Ein Anbieter muss hier ganz anders kalkulieren und kann sich nicht auf die langfristige Partnerschaft über mehrere Jahre verlassen. Dementsprechend hoch wird seine Rechnung über den kürzeren Zeitraum ausfallen. Preise verhandeln, wird bei kurzfristigen Verträgen ein Ding der Unmöglichkeit.