SOC und KI versprechen moderne Cybersicherheit. Doch welche Stolpersteine lauern gerade für KMU – und wie wichtig bleibt der Mensch? Timo Kirchem, Sales Engineer Central Europe bei WatchGuard, lieferte dazu beim ITWelt.at Roundtable zum Thema SOC einige Denkanstöße. [...]
Die Bedeutung von Security Operations Centern (SOC) als Herzstück der Unternehmenssicherheit nimmt angesichts zunehmender Cyberangriffe stetig zu. Doch gerade für kleine und mittlere Unternehmen (KMU) stellt der Weg zum eigenen SOC eine große Herausforderung dar: Personalmangel, technische Hürden und hohe Lizenzanforderungen machen die Einführung komplex. Timo Kirchem, Sales Engineer Central Europe bei WatchGuard, erläuterte im Rahmen des Roundtables „Bock auf SOC“ welche Stolpersteine es zu überwinden gilt, wie Automatisierung und Künstliche Intelligenz (KI) den Aufbau unterstützen können – und warum menschliches Know-how trotz aller Technologie unverzichtbar bleibt.
Das Security Operations Center, kurz SOC, wird oft als das Nervenzentrum der modernen Unternehmenssicherheit beschrieben. Angesichts der steigenden Cyberbedrohungen: Welche konkreten Schritte und Überlegungen müssen Unternehmen durchlaufen, um ein effektives SOC zu implementieren, und wo sehen Sie gerade für kleinere und mittlere Betriebe die größten Stolpersteine auf diesem Weg?
Das Security Operations Center (SOC) spielt eine zunehmend wichtige Rolle in modernen Unternehmen. Die konkrete Ausgestaltung und Einführung eines SOC hängt jedoch maßgeblich von der Unternehmensgröße und den individuellen Herausforderungen ab, die mit diesem Prozess einhergehen. In der Regel sind verschiedene Zwischenschritte erforderlich, bevor ein voll funktionsfähiges SOC implementiert werden kann.
Gerade für kleine und mittlere Unternehmen (KMU) sind die Herausforderungen in der Anfangsphase besonders groß. Ein zentrales Thema ist dabei die Mindestlizenzierung: Viele KMU erreichen nicht die erforderliche Anzahl an Nutzern, was eine sorgfältige Auswahl der passenden Sicherheitslösung für das Unternehmen unabdingbar macht. Dabei müssen auch die bereits eingesetzten Produkte berücksichtigt werden, insbesondere im Hinblick auf deren Kompatibilität mit der neuen SOC-Lösung.
Darüber hinaus spielen personelle Ressourcen und das vorhandene Know-how eine entscheidende Rolle. Der allgegenwärtige Personal- und Fachkräftemangel stellt für viele Unternehmen eine weitere Hürde dar. Schließlich stellt sich die grundsätzliche Frage, wie das SOC organisatorisch und zeitlich aufgestellt werden soll. Kann sich das Unternehmen einen rund um die Uhr verfügbaren Betrieb (24/7) leisten oder sind alternative Betriebsmodelle sinnvoller? Alle diese Zwischenschritte und Überlegungen müssen sorgfältig beachtet und geplant werden, um ein erfolgreiches SOC aufzubauen.
Wie können Unternehmen die Funktionalität eines Security Operations Centers (SOC) effizient nutzen, ohne dass der personelle Aufwand zu groß wird? Und welche Vorteile bietet ein SOC generell?
Die Vorteile eines SOC liegen vor allem darin, dass Unternehmen ihre Sicherheitsprozesse und -überwachung im eigenen Haus zentralisieren können. Um jedoch hohe Kosten und einen großen personellen Aufwand zu vermeiden, sind bestimmte technologische und organisatorische Maßnahmen entscheidend.
Ein wichtiger Ansatz ist der Einsatz von XDR-Lösungen (Extended Detection and Response), die eine weitgehende Automatisierung ermöglichen. Viele Aufgaben, die früher manuell durch die IT-Abteilung erledigt werden mussten, können dadurch lokal automatisiert werden. XDR trägt somit maßgeblich zur Effizienzsteigerung bei.
In Kombination mit einem MDR-Service (Managed Detection and Response) profitieren Unternehmen zusätzlich von externen Spezialisten, die unterstützend im Hintergrund tätig sind. Diese Experten übernehmen komplexe Analysen und Reaktionsmaßnahmen, was die interne IT-Abteilung entlastet und den personellen Aufwand weiter reduziert.
So können Unternehmen ein hohes Maß an Sicherheit gewährleisten, ohne dafür übermäßig viele interne Ressourcen binden zu müssen.
Künstliche Intelligenz ermöglicht eine zunehmend autonome und automatisierte Arbeitsweise. Doch welchen Einfluss hat KI konkret auf die Arbeit eines SOC-Teams?
Der Einfluss von Künstlicher Intelligenz (KI) auf Security Operations Center (SOC) ist enorm. Durch den Einsatz von KI können viele Aufgaben deutlich effektiver erledigt werden. KI ist in der Lage, riesige Datenmengen schnell und effizient zu analysieren und ermöglicht es dem SOC-Team, wesentlich schneller auf sicherheitsrelevante Ereignisse zu reagieren.
(c) timeline/Rudi Handl
Ein wesentlicher Vorteil besteht darin, dass die KI die wichtigsten Vorfälle automatisch herausfiltert und den Mitarbeitern gezielt zur weiteren Bearbeitung bereitstellt. Dadurch kann sich das SOC-Team auf die wirklich kritischen Ereignisse konzentrieren und muss nicht mehr – wie früher – große Mengen an Logdaten manuell auswerten.
Früher war es notwendig, tief in die Daten einzutauchen, um relevante Informationen zu finden. Heute liefert KI gezielt die entscheidenden Hinweise. Dadurch entlastet die Technologie das Team erheblich und übernimmt viele Routineaufgaben.
Gerade im Hinblick darauf, dass auch potenzielle Angreifer zunehmend auf automatisierte und intelligente Technologien setzen, wird der Einsatz von KI im SOC immer wichtiger. So bleibt das SOC-Team reaktionsfähig und kann den immer komplexer werdenden Bedrohungen adäquat begegnen.
Künstliche Intelligenz gilt vielerorts als Schlüsseltechnologie zur Abwehr von Cyber-Bedrohungen. Dennoch warnen Experten vor einer Überbewertung der KI als Allzwecklösung. Welche Grenzen sehen Sie im praktischen Einsatz von KI im Bereich IT-Security – und warum bleibt die Einbindung menschlicher Expertise, beispielsweise durch Threat-Hunting-Teams, trotz aller technologischen Fortschritte weiterhin unverzichtbar?
Künstliche Intelligenz wird häufig als eine Art „Allheilmittel“ dargestellt. Doch wie bereits vielfach betont, hat auch KI ihre Grenzen. Obwohl sich die Technologie ständig weiterentwickelt, bleibt es entscheidend, Experten im Hintergrund einzubinden, um die Arbeit der KI sinnvoll zu ergänzen.
Auch bei uns, beispielsweise bei WatchGuard, setzen wir auf ein erfahrenes Expertenteam. Dieses Team beschäftigt sich täglich mit Threat Hunting und trägt dazu bei, die Ergebnisse der KI zu analysieren und zu vertiefen. Besonders die Daten und Vorfälle, die außerhalb des Fokus der KI liegen – sogenannte „Randbereiche“ –, werden gezielt geprüft und bewertet. Das Zusammenspiel aus KI und menschlicher Expertise ermöglicht eine präzisere und fundiertere Sicherheitsstrategie.
KI kann zweifellos viele Aufgaben erleichtern und unsere Arbeit deutlich effizienter machen. Dennoch wird sie nicht die Lösung für alle Herausforderungen sein. Auch in Zukunft wird es wichtig bleiben, die Technologie durch menschliches Know-how zu ergänzen und weiterzuentwickeln, um neue und komplexe Bedrohungen bewältigen zu können.
Die Anforderungen an die IT-Sicherheit werden immer komplexer und steigen stetig. Wie sehen die zukünftigen Herausforderungen aus, und wie kann sich ein SOC auf diese Entwicklungen einstellen, um weiterhin „State of the Art“ zu bleiben?
SOCs müssen sich kontinuierlich weiterentwickeln und an die sich verändernden Bedrohungslagen anpassen. Ein zentrales Thema in diesem Zusammenhang ist XDR (Extended Detection and Response), das bereits heute eine wichtige Rolle spielt. Besonders relevant ist dabei der Einsatz von Open XDR, also offenen Schnittstellen und Integrationen innerhalb und zwischen verschiedenen Herstellerlösungen.
Im Markt zeigt sich immer wieder, dass Unternehmen selten ausschließlich Produkte eines einzelnen Herstellers im Einsatz haben. Stattdessen müssen verschiedene Lösungen unterschiedlicher Anbieter kombiniert und ganzheitlich betrachtet werden. Genau hier ist es essenziell, offen für Integration zu sein und alle relevanten Produkte einzubinden.
Die einzelnen Komponenten – von Endpoint-Lösungen über Network Detection and Response bis hin zu Firewalls – müssen in ihrer Gesamtheit betrachtet werden. Es gilt, die Zusammenhänge zu verstehen: Welche Datenströme verlassen das Unternehmen ins Internet, was passiert intern und welche Kommunikation erfolgt außerhalb der klassischen Firewall-Umgebung?
All diese Aspekte sind entscheidend, um umfassend auf aktuelle und künftige Bedrohungen zu reagieren. Ein moderner SOC muss daher flexibel und technologieoffen aufgestellt sein, um auch künftig den steigenden Anforderungen und der zunehmenden Komplexität gerecht zu werden.
Künstliche Intelligenz wird oft im Zusammenhang mit dem Ersatz menschlicher Arbeitskraft diskutiert. Angesichts des aktuellen Fachkräftemangels stellt sich die Frage: Kann KI diese Herausforderung für Unternehmen abmildern? Und hilft KI dabei, oder gibt es auch bei euch Schwierigkeiten, qualifizierte Mitarbeitende zu finden?
Künstliche Intelligenz kann zweifellos dazu beitragen, dem Fachkräftemangel entgegenzuwirken – zumindest bis zu einem gewissen Grad. Sie hilft, Prozesse zu automatisieren und Routineaufgaben effizienter zu gestalten. Allerdings stehen Unternehmen hierbei vor weiteren Herausforderungen: Viele Unternehmen verfügen über unklare oder nicht optimal definierte Prozesse, was die Implementierung von Automatisierung erschwert.
Es ist daher entscheidend, dass Plattformen – wie zum Beispiel unsere – die Möglichkeit bieten, Automatisierung sowohl zwischen verschiedenen Produkten als auch innerhalb einzelner Produktbereiche zu realisieren. Besonders hilfreich ist hierbei die Integration von Managed Services. Wenn ein Unternehmen nicht genügend eigene SOC-Mitarbeiter bereitstellen kann, kann es auf einen externen Managed Service zurückgreifen.
Die Kombination aus einem Managed Security Service Provider (MSSP) und einem MDR-Service (Managed Detection and Response) mit Expertenwissen und Threat-Hunting-Kompetenz des Herstellers schafft zusätzliche Ressourcen und ermöglicht einen ganzheitlichen Ansatz bei der Sicherheitsüberwachung.
Trotz aller technischen Unterstützung sollte jedoch nicht vergessen werden, auch weiterhin in die eigenen Mitarbeiter vor Ort zu investieren. Fort- und Weiterbildung ist gerade im IT- und Security-Bereich essenziell, damit das Know-how immer auf dem neuesten Stand bleibt.
Insbesondere im KMU-Umfeld übernehmen IT-Mitarbeiter oft viele verschiedene Aufgaben und befassen sich beispielsweise noch mit On-Premises-Servern oder Windows-Systemen – dabei steht Sicherheit häufig nicht im Fokus. Es ist jedoch wichtig, auch dort die Kompetenzen gezielt aufzubauen und kontinuierlich weiterzuentwickeln, um das volle Potenzial der eingesetzten Technologien und Automatisierungslösungen zu nutzen.
Wie wird sich die Rolle eines SOC in den nächsten fünf Jahren verändern? Welche Herausforderungen kommen auf uns zu und was wird sich tun?
In den kommenden fünf Jahren wird sich die Rolle des SOC deutlich weiterentwickeln. Während heute noch viele Daten manuell analysiert werden müssen, werden Automatisierungen – etwa durch Playbooks und Open XDR – diese Aufgaben zunehmend übernehmen. Die Künstliche Intelligenz wird dabei eine zentrale Rolle spielen und alle gewonnenen Erkenntnisse zusätzlich unterstützen.
Die SOC-Mitarbeiter werden sich künftig stärker darauf konzentrieren, proaktiv gegen Angreifer vorzugehen: Sie werden frühzeitig potenzielle Angriffsmuster erkennen und entsprechende Gegenmaßnahmen einleiten. Die Aufgabe verschiebt sich also weg von der reinen Analyse hin zu einem aktiven, vorausschauenden Handeln – vergleichbar mit sogenannten „White Hackern“, die versuchen, Angreifern immer einen Schritt voraus zu sein und Bedrohungen abzuwehren, bevor sie überhaupt Schaden anrichten können.
Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.
Be the first to comment