SOC-Dienstleister sind mehr als reine Alarmzentralen. Peter Aicher, Senior System Engineer bei Rapid7, erläuterte im Rahmen eines ITWelt.at Roundtables, worauf Unternehmen bei Auswahl und Integration achten sollten und welche Trends die IT-Sicherheit prägen. [...]
Unternehmen stehen heute vor der Herausforderung, ihre IT-Sicherheit nicht nur technisch, sondern auch organisatorisch auf ein neues Level zu heben. Security Operations Center (SOC) gelten dabei als zentrale Säule, um moderne Bedrohungen frühzeitig zu erkennen und wirksam zu bekämpfen. Doch was zeichnet einen leistungsfähigen SOC-Dienstleister wirklich aus? Welche Fehler gilt es zu vermeiden, und worauf sollten Entscheider bei der Implementierung achten? Die fortschreitende Komplexität von IT-Infrastrukturen, der Fachkräftemangel und der kontinuierliche Wandel durch neue Technologien wie Künstliche Intelligenz verlangen nach maßgeschneiderten, flexiblen und proaktiven Lösungen. Im Rahmen des Roundtables „Bock auf SOC“ von ITWELT.at erläuterte Peter Aicher, Senior System Engineer bei Rapid7, die aktuellen Entwicklungen im SOC-Umfeld und gab Einblicke, wie Unternehmen die Weichen für eine proaktive und effektive Sicherheitsarchitektur stellen können.
Worauf sollten Unternehmen bei der Evaluierung eines SOC achten?
Ein zentraler Punkt bei der Evaluierung eines SOC ist die Überlegung: Was würde ich tun, wenn ein Sicherheitsvorfall eintritt? Hätte ich einen konkreten Ansprechpartner, der mir weiterhelfen kann, oder wäre ich in einer solchen Situation auf mich allein gestellt und müsste im schlimmsten Fall auf eine Suchmaschine zurückgreifen?
Rapid7
(c) timeline/Rudi Handl
In vielen Unternehmen fehlt oft die notwendige Expertise, und es ist schwierig, diese dauerhaft vorzuhalten – insbesondere für den Ernstfall, der hoffentlich nie eintritt. Daher ist es wichtig, nicht nur einen Service zu wählen, der die reine Triage übernimmt und lediglich feststellt, dass im Hintergrund möglicherweise etwas Gefährliches passiert ist. Unternehmen sollten vielmehr darauf achten, dass der Service über die klassische Alarmierung hinausgeht und eng mit dem Kunden zusammenarbeitet.
Idealerweise gibt es beim Kunden eine fest eingebettete Ansprechperson – eine Art Bindeglied zwischen dem Endkunden und den SOC-Analysten. Diese Person kann nicht nur Fachsprache übersetzen, sondern auch kleinere Anliegen regeln, Dashboards aufbauen und bei Präsentationen gegenüber der Geschäftsleitung unterstützen. So wird nicht nur sichergestellt, dass im Notfall schnell und kompetent gehandelt wird, sondern auch, dass die laufenden Dienste und entstehenden Kosten für das Unternehmen transparent und nachvollziehbar bleiben.
Letztlich sollte ein SOC-Dienstleister also mehr bieten als nur Alerts und Weboberflächen: Er sollte den Kunden kennen, individuell betreuen und als echter Partner agieren.
Wie lange dauert es vom ersten Proof of Concept bis zum endgültigen Rollout?
Bei Rapid7 haben wir den entscheidenden Vorteil, dass unsere Lösungen als SaaS (Software-as-a-Service) angeboten werden. Das bedeutet, die Plattform kann für einzelne Kunden innerhalb von Minuten aufgebaut werden. Wenn wir von einem gut vorbereiteten PoC sprechen, sind wir in etwa zweieinhalb Stunden fertig. Dabei geht es jedoch nicht um einen Massenrollout, sondern um die grundlegende Vorbereitung.
In dieser Phase werden die benötigten Services implementiert, wie DHCP, DNS und die ersten Firewalls. Sobald dies abgeschlossen ist, kann die Startphase beginnen – entweder direkt für den PoC oder für ein umfassenderes Rollout. Beim vollständigen Rollout hängt die Dauer davon ab, welche weiteren Geräte und Systeme integriert werden. Hierbei können Prioritäten gesetzt werden: Zunächst werden kritische Systeme eingebunden, während Geräte der zweiten oder dritten Priorität zu einem späteren Zeitpunkt folgen.
Ein weiterer Aspekt, der nach der initialen Implementierung betrachtet werden kann, ist die Einbindung zusätzlicher Datenquellen. Diese liefern möglicherweise im ersten Moment keine sicherheitsrelevanten Informationen, können jedoch bei einem Vorfall unterstützend wirken. Solche Quellen helfen dabei, letzte Zweifel auszuräumen und sicherzustellen, dass ein potenzieller Angreifer nicht bis zu den kritischen Servern und Systemen vordringen konnte. Es ist immer ein gutes Gefühl, eine Untersuchung mit der Gewissheit abschließen zu können, dass keine weiteren Risiken bestehen.
Zusammenfassend: Ein technisch gut vorbereiteter PoC kann in etwa zweieinhalb Stunden umgesetzt werden. Die vollständige Implementierung und Abdeckung hängt dann von der jeweiligen Umgebung und der Anzahl der einzubindenden Systeme ab. In der Praxis kann man oft bereits eine Abdeckung von über 80 % erreichen, bevor die letzten Details optimiert werden.
Wie könnte Künstliche Intelligenz in einem SOC zum Einsatz kommen?
Es gibt verschiedene Einsatzgebiete für Künstliche Intelligenz (KI), und viele davon sind für Kunden auf den ersten Blick gar nicht sichtbar – insbesondere im Bereich Machine Learning. Grundsätzlich unterscheiden wir dabei zwei wesentliche Ansätze: Erstens die Erstellung von KI-Modellen anhand bereits qualifizierter und bewerteter Daten. Zweitens das Bilden von Clustern, also Gruppen von Datenpunkten, bei denen die Gemeinsamkeiten und wichtigen Muster erst im Nachhinein identifiziert werden.
Gerade im SOC-Bereich sehen wir zwei zentrale Anwendungsfelder für KI:
- Automatisierung von Standardaufgaben: Besonders bei der Erstellung von standardisierten Reports bietet KI einen enormen Mehrwert. Analysten müssen so keine Zeit mehr in Routineaufgaben investieren. Komplexere Reports und Analysen bleiben nach wie vor Aufgaben für den Menschen.
- Reduktion des Grundrauschens: Zunächst werden im SOC große Mengen an Daten gesammelt, doch nicht alle Informationen sind sofort relevant. Die KI hilft, die Datenflut zu bewältigen und filtert Unwichtiges heraus. Dadurch werden die Analysten entlastet und können sich auf wirklich entscheidende Vorfälle konzentrieren.
Wichtig ist jedoch: Jede KI ist immer nur so leistungsfähig wie die Qualität der ihr zur Verfügung stehenden Daten. Sie muss kontinuierlich optimiert, angepasst und überprüft werden – erst dann kann man sich wirklich auf sie verlassen.
Bei Rapid7 legen wir großen Wert auf Transparenz im Umgang mit KI-Technologien. Wird beispielsweise ein Alert automatisch durch die KI geschlossen, wird dies eindeutig getaggt und für die Kunden nachvollziehbar dokumentiert. So weiß jede/r Kunde/Kundin ganz genau, welche Entscheidungen auf KI-Basis getroffen wurden.
Abschließend denke ich, dass trotz aller technologischer Fortschritte immer eine gewisse Vorsicht und Transparenz im Umgang mit neuen Technologien geboten ist – das schafft Vertrauen und Rechtssicherheit.
Wie groß könnte die Rolle von KI sein, welche Aufgaben könnte sie übernehmen?
Rapid7
(c) timeline/Rudi Handl
Ich denke, KI ist keinesfalls ein Selbstläufer. Es wäre sogar fatal, wenn eine KI völlig eigenständig lernt, ohne Aufsicht oder Kontrolle – sie könnte sich dann irgendwann verselbstständigen und ihre eigenen Maßstäbe entwickeln. Aus meiner Sicht sollte KI vielmehr als eine Art Assistenz für die Geschäftsführung (oder das Security-Team) verstanden werden.
Man kann sich das so vorstellen: Morgens kommt man ins Büro, der Unterschriftenordner liegt bereit, das Hotel für die nächste Geschäftsreise ist schon gebucht und in 30 Minuten steht das Taxi vor der Tür. Auch wenn wir in der Praxis vielleicht noch nicht ganz so weit sind, wäre das ein ideales Assistenz-Szenario für den Einsatz von KI.
Die KI soll das Leben erleichtern, viele Dinge vorbereiten und automatisieren. Der SOC-Analyst bleibt am Ende des Tages aber die Instanz, die die finale Entscheidung trifft. Routineaufgaben oder bewährte Prozesse, bei denen die KI bereits zuverlässig arbeitet, kann man ihr guten Gewissens überlassen. Gleichzeitig kommen durch die kontinuierliche Entwicklung von oben immer neue Aufgaben hinzu, die sukzessive in die KI-gestützten Prozesse integriert werden können.
Trotzdem gilt: KI sollte stets als Unterstützung, nicht als vollständiger Ersatz menschlicher Entscheidungen verstanden werden. Nur ein Mensch kann das große Ganze überblicken und die finale Einschätzung vornehmen. Denn KI ist nicht wirklich intelligent – sie basiert auf bestehendem Regelwerk und früheren Entscheidungen. Daher muss sie gezielt und verantwortungsvoll eingesetzt werden.
Ohne KI geht es heute nicht mehr, aber deren Grenzen und Möglichkeiten müssen realistisch eingeschätzt und laufend überprüft werden. Am Ende liegt die Verantwortung weiterhin beim Menschen.
Der Fachkräftemangel ist ein Dauerthema in der IT-Sicherheitsbranche – nicht nur auf Kundenseite, sondern zunehmend auch bei Security-Anbietern selbst. Wie erleben Sie diese Entwicklung in Ihrem täglichen Geschäft, und welche Strategien verfolgen Sie bei Rapid7, um sowohl den eigenen Personalbedarf als auch die Erwartungen Ihrer Kunden langfristig zu erfüllen?
Ich möchte das Thema Fachkräftemangel gerne aus zwei Blickwinkeln beleuchten. Auf Kundenseite ist der Bedarf an Fachkräften ganz klar spürbar. Noch vor fünf Jahren begannen die meisten Meetings mit der Überlegung, ein eigenes SOC aufzubauen. Heute hingegen drehen sich die ersten Gespräche meist nur noch um die Frage: „Wie werde ich dieses Problem los und wer kümmert sich nachts um drei Uhr um meine Alerts?“ Die Bereitschaft der Kunden, das Thema selbst zu übernehmen, ist deutlich gesunken – sie möchten die Verantwortung lieber abgeben.
Das ist jedoch nur die eine Seite. Wir müssen auch aufpassen, dass nicht irgendwann die Hersteller selbst in einen Fachkräftemangel geraten. Wenn wir das Problem für unsere Kunden lösen und viele SOC-Dienstleistungen übernehmen, holen wir uns die Herausforderungen letztlich auf unsere eigene Seite. Zwar benötigen wir als Anbieter in der Regel nicht dasselbe Personalverhältnis wie ein einzelner Kunde, weil wir durch Skalierungseffekte effizienter arbeiten können, dennoch steigt auch unser Personalbedarf, wenn unsere SOC-Services wachsen.
Bei Rapid7 begegnen wir diesem Thema unter anderem mit sogenannten SOC-Pods. Das bedeutet: Für jeden Kunden kümmert sich dauerhaft ein kleines, spezialisiertes Team, das verschiedene Expertise-Level abdeckt – von Einsteigern und fortgeschrittenen Mitarbeitern bis hin zu sehr erfahrenen Kollegen mit über sieben Jahren Berufserfahrung. Wenn ein schwerwiegender Sicherheitsvorfall auftritt, ist nicht nur ein SOC-Analyst, sondern ein erfahrener Incident Responder gefragt. Diese Spezialisten sind bei uns integraler Bestandteil des Teams. So kann sich innerhalb des SOCs jeder weiterentwickeln: Die Berufseinsteiger sammeln Erfahrung und rücken mit den Jahren auf, während neue, jüngere Kollegen nachrücken – beinahe wie in einem Ausbildungsmodell.
Da unser SOC mit den Anforderungen unserer Kunden stetig wächst, ist es wichtig, diesen Ausbildungs- und Wissenstransfer kontinuierlich sicherzustellen. Letztlich profitieren beide Seiten: Der Kunde gibt das Problem vertrauensvoll ab, und wir stellen sicher, dass wir unsere versprochenen Leistungen jederzeit kompetent und zuverlässig erbringen können.
Angesichts der Komplexität moderner IT-Infrastrukturen und der rasanten Entwicklung von Bedrohungen: Wie begegnen Sie bei Rapid7 der Notwendigkeit, maßgeschneiderte SOC-Lösungen anzubieten, die sowohl den individuellen Compliance-Anforderungen gerecht werden als auch die Integration bestehender, heterogener Technologiestacks ermöglichen – und welche Rolle spielt dabei die Flexibilität, die einen reibungslosen Übergang zu XDR-Systemen erleichtert?
Jedes SOC-Projekt ist einzigartig. Es gibt durchaus Fälle, in denen Unternehmen ein SOC nur deshalb implementieren, weil es die Compliance-Vorgaben verlangen und sie dazu gezwungen sind. Die Unterschiede zwischen den Projekten liegen dabei oft in den Startbedingungen, was ich als Sales Engineer aus technischer Sicht immer wieder erlebe.
Ein wichtiger Aspekt – und damit auch die Brücke zur Frage, warum XDR sinnvoll ist – besteht darin, dass Unternehmen in der Regel keine „grüne Wiese“ vorfinden: Sie haben bereits verschiedene Technologien und Lösungen unterschiedlicher Hersteller im Einsatz. Das ist auch durchaus positiv, denn manche Anbieter sind in bestimmten Nischen sehr stark. Rapid7 versteht sich als herstellerneutraler Anbieter. Das heißt: Wenn beim Kunden bereits eine gute Endpoint-Security-Lösung besteht, gibt es keinen Grund, sie auszutauschen – vielleicht laufen Verträge noch oder es gibt andere gute Gründe für die Integration bestehender Systeme.
Oft möchten Unternehmen zudem flexibel bleiben, etwa indem sie eine neue Firewall einführen oder nach einer Firmenakquise mit einem völlig anderen Technologiestack arbeiten. Wir bei Rapid7 sind darauf ausgelegt, offen für diese Vielfalt zu sein. Beispielsweise übernehmen wir das Monitoring bestehender Alerts aus bereits vorhandenen Endpoint-Security-Systemen, anstatt weitere Insellösungen zu schaffen.
Unsere Strategie ist, einen SOC-Service zu bieten, der sowohl eigene Technologien als auch die bestehenden Komponenten beim Kunden integriert. Die Qualität unserer Services hängt maßgeblich von der Qualität der eingespeisten Daten ab, deshalb schaffen wir bei Bedarf die notwendige Basis – ohne jedoch die vorhandene Infrastruktur zu ersetzen. Je variantenreicher und flexibler ein Technologiestack gestaltet ist, desto einfacher wird auch der Weg zum Einsatz eines XDR-Systems. Ziel ist es, verschiedene Einzellösungen zentralisiert und effizient gemanagt in einen ausgelagerten SOC-Service einzubinden.
So profitieren Kunden davon, die besten Lösungen einzusetzen, behalten den Überblick und genießen gleichzeitig die Vorteile eines zentralisierten, ausgelagerten Service. Dieses Prinzip verfolgen wir bei Rapid7 von Anfang an – und ich bin überzeugt, dass dieses flexible und offene Konzept die Zukunft von SOC- und XDR-Lösungen prägen wird.
Welche Kernentwicklungen sehen Sie derzeit im SOC-Umfeld, und wie begegnet Rapid7 den daraus resultierenden Herausforderungen?
Ich bin der Überzeugung, dass sich im Bereich Security Operations Center (SOC) aktuell einige wichtige Entwicklungen abzeichnen. Besonders hervorzuheben sind die zunehmende Nutzung von Cloud-Services, die mittlerweile zum Standard gehören. Dies führt jedoch dazu, dass sich auch die Angriffsvektoren in diese Bereiche verlagern.
Zwei zentrale Herausforderungen, die wir bei Rapid7 beobachten, betreffen insbesondere die Transparenz über die gesamte Angriffsfläche sowie die Notwendigkeit, Datensilos aufzubrechen. Es geht dabei um grundlegende Fragestellungen, wie beispielsweise im Bereich Endpoint Security: Wird ein Schwachstellenscan durchgeführt, stellt man oft fest, dass im Netzwerk deutlich mehr Clients aktiv sind als ursprünglich in der Endpoint-Lösung verwaltet werden – Stichwort: Gap-Analyse.
Ein weiterer wichtiger Aspekt ist die Außensicht auf das eigene Unternehmen. Hier geht es vor allem darum, potenzielle externe Angriffsflächen zu identifizieren und proaktiv zu schützen. Anstelle einer rein reaktiven Herangehensweise – also erst nach Auftreten eines Vorfalls zu handeln – werden zunehmend proaktive Services eingesetzt. Ein Beispiel hierfür ist das „Continuous Red Teaming“, bei dem kontinuierlich mit aktuellen Erkenntnissen versucht wird, Systeme aus der Sicht eines Angreifers zu kompromittieren.
Ich denke, dass SOC-Dienstleistungen dadurch zunehmend ganzheitlicher werden. Es entsteht ein Wandel von einer reaktiven hin zu einer proaktiven Sicherheitsstrategie, bei der Vorfälle nicht nur erkannt und behandelt, sondern idealerweise bereits im Vorfeld durch aktive Tests und Maßnahmen verhindert werden.
Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.
Be the first to comment