9. Dezember 2020 Marko Vogel*

Was ist ein Security Center of Excellence?

Der Schutz von Daten(-flüssen) und Dienstleistungen in Zeiten von digitalen Infrastrukturen wie Industrie 4.0 sowie immer globalerer Zuliefernetzwerke und Wertschöpfungsketten wird nicht einfacher. Erfahren Sie, wie Unternehmen von einem Security Center of Excellence profitieren können. [...]

Besonders international agierende Unternehmen können von einem Security CoE profitieren - wenn es richtig aufgebaut und eingesetzt wird (c) pixabay.com

Ein Security Center of Excellence bietet Unternehmen die Möglichkeit, Tools und Kompetenzen für alle Bedürfnisse rund um die Cybersecurity zentral zu bündeln. Das ist besonders für internationale Unternehmen attraktiv.

Was ist ein Security Center of Excellence (CoE)?

Basis für ein Center of Excellence ist meist ein zentrales Security Operations Center (SOC) oder ein Computer Emergency Response Team (CERT), das Angriffe aufdeckt und bei IT-Sicherheitsvorfällen unterstützt. Bei internationalen Unternehmen ist hier im Regelfall ein 24/7-Betrieb erforderlich. Aufgrund des Aufwands wird diese Dienstleistung teilweise auch extern über entsprechende Service Provider eingekauft.

Ein Center of Excellence geht aber noch weiter und stellt als koordinierende Funktion sicher, dass Security-Services und -Lösungen konsistent durch standardisierte Prozesse und dedizierte Spezialisten für alle Unternehmenseinheiten weltweit erbracht werden. Hierzu zählen beispielsweise:

  • Infrastruktur- und Security Operations-Services wie beispielsweise Identity- und Access-Management-Lösungen (IAM), zentrale Authentisierungs-Services, Privileged Account Management (PAM), Data Leakage Prevention, Endpoint Security, Vulnerability Management oder SIEM;
  • Strategisch-organisatorische Services wie beispielsweise Assurance (etwa die Zertifizierungen gemäß ISO 27001, TISAX, SOC1/2, PCI oder HIPAA), Third Party Management (beispielsweise Cyber Due Diligence für neue Dienstleister, Überwachung bestehender Dienstleister), Sicherheitsarchitektur-Support in strategischen Projekten und Architekturvorgaben / Blueprints (etwa sichere Netzwerk-Blueprints für Produktionsstandorte), aber auch Themen wie Cyber Risk Management, Training und Awareness;
  • Zusätzliche Security Services wie beispielsweise die Cybersecurity von digitalen Produkten, Service Continuity / Disaster Recovery (darunter Business Impact Analysen, Recovery Pläne und Verfahren), Secure Information Lifecycle Management (etwa Data Handling, Anonymisierung / Pseudonymisierung und Verschlüsselung), Forensik oder Code Security.

In den dezentralen Einheiten und Standorten finden sich häufig lediglich IT-Fachleute, die als Zusatzaufgabe für die Cybersecurity verantwortlich sind. Die lokal Verantwortlichen können somit durch das CoE auf den zentralen Pool an Spezialisten, Services und Lösungen zugreifen, um ihre lokalen Sicherheitsanforderungen zu erfüllen.

Social Media Security: 4 Tipps zur Kooperation mit dem Marketing

Welche Probleme löst ein Security Center of Excellence?

Ein Security Center of Excellence ist die Lösung für Probleme auf ganz verschiedenen Ebenen. Zum einen begegnet es der Herausforderung von personellen Ressourcenengpässen im Bereich Cybersecurity und bietet das nötige Know-how. Security-Spezialisten sind auf dem Markt äußert gefragt und dementsprechend schwer für Unternehmen zu bekommen. Weil das Center of Excellence die Erfahrung der Spezialisten bündelt, müssen dezentrale Einheiten und Standorte nicht eigene, dedizierte Spezialisten ausbilden und vorhalten.

Weiterhin lassen sich Security-Tools und -Services professioneller und kosteneffizienter aufbauen, betreiben und weiterentwickeln. Statt unterschiedliche Tools wie beispielsweise zur Verwaltung administrativer Benutzer mehrfach zu betreiben, wird ein einheitlicher Service angeboten. Dieser entspricht den Konzernsicherheitsvorgaben und bringt neben dem reinen Tool auch Implementierungs- und Prozess-Best-Practices sowie Skaleneffekte, die beispielsweise beim Lizenzeinkauf genutzt werden, mit sich.

Für wen ist ein Security Center of Excellence geeignet?

Besonders international agierende und größere Unternehmen sollten ein solches Center auf dem Schirm haben. Sie sehen sich häufig mit einem Spannungsfeld bestehend aus vielen verschiedenen nationalen Datensicherheitsvorgaben und lokalen branchenspezifischen Sicherheitsstandards konfrontiert. Dabei sind die grundlegenden Sicherheitsziele – Vertraulichkeit, Integrität und Verfügbarkeit von Daten – jedoch immer identisch. Ebenso verhält es sich bei vielen Sicherheitsmaßnahmen, beispielsweise im Berechtigungsmanagement, in der Härtung von Systemen oder Durchführung und Tests von Backups zur Wiederherstellung von Systemen.

Die Experten eines Security Center of Excellence können hier übergreifende Maßnahmen für diese Sicherheitsziele entwickeln und harmonisieren. Das führt nicht zuletzt auch zu mehr Kosteneffizienz. Basierend auf diesen standardisierten Sicherheitsmaßnahmen und Services können sich die dezentralen Einheiten und Standorte auf individuelle Zusatzmaßnahmen fokussieren, die zusätzlich notwendig sind.

Die Open Source Security Foundation ist endlich da

Was ist beim Aufbau zu beachten und welche Stolperfallen gibt es hier?

Grundlegend gilt: Die Spielregeln müssen klar sein. Dazu zählt in Unternehmen beispielsweise die Frage danach, ob die CoE-Services verpflichtend zu nutzen sind oder nur ein Angebot darstellen. Möglicherweise gilt die zwingende Verpflichtung zur Nutzung auch nur ab gewissen Sicherheitslevels.

Qualität und Service-Orientierung sind entscheidend für ein CoE, denn Tools und Betrieb können Unternehmen auch bei Drittdienstleistern am jeweiligen Markt einkaufen. Die Spezialisten eines eigenen CoE sprechen aber die „Sprache des Konzerns“ und sollten die Unternehmensspezifika, Fallstricke, interne und externe Vorgaben sowie Abhängigkeiten besser kennen. Die dezentralen Einheiten müssen spüren, dass ihnen im CoE schnell und effizient geholfen wird. Erst dann wird es auch akzeptiert, dass der Preis für diese Services möglicherweise höher ist als das günstigste Angebot am eigenen, lokalen Markt.

Deshalb ist es wichtig, dass neben der zentralen Einheit die wesentlichen dezentralen Divisionen eines Unternehmens in den Aufbau eines Security Center of Excellence einbezogen werden. Für alle Beteiligten muss deutlich sein, welche Security-Aspekte zentralisiert und welche weiterhin dezentral gelöst werden – auch wenn hier manchmal Überzeugungsarbeit notwendig ist. Die Zuständigen in den dezentralen Einheiten müssen gegebenenfalls abgeholt und davon überzeugt werden, dass die CoE-Services bessere Mehrwerte bieten als lokale.

Hinzu kommt, dass ein Security Center of Excellence passgenau für das Unternehmen und seine Anforderungen eingerichtet werden muss. Es gilt, die genauen Bedürfnisse zu definieren und in den Ressourcen, Kompetenzen und Tools entsprechend abzubilden. Fokussierung ist hier unabdingbar. Denn die größte Stolperfalle lautet Komplexität.

Standardisierung und Vereinfachung sollten für Unternehmen beim Aufbau und beim Betrieb eines Security Center of Excellence stets die oberste Priorität haben. Komplexe Unternehmensstrukturen mit fehlender Standardisierung dürfen nicht auf das Center of Excellence übertragen werden. Hierfür ist es notwendig, die Prozesse und Tools in den dezentralen Einheiten anzupassen und nicht jeden Prozess, jedes Tool und jede Besonderheit im CoE abzubilden. Andernfalls explodieren die Kosten und die Anzahl der zu unterstützenden Security-Tools.

Ebenso wichtig ist es, dass das Zusammenspiel zwischen zentraler und dezentraler Stelle stimmt. Das Erfolgsrezept lautet Kommunikation – eine regelmäßige Abstimmung zwischen beiden Stellen ist unabdingbar.

8 Arten von Phishing-Angriffen und wie man sie erkennt

Blick in die Zukunft

Technologien wie Cloud und Mobile, digitale IoT-Produkte oder Industrie 4.0 und schnellere, agile Entwicklungszyklen fordern auch im Bereich Security eine immer schnellere Interaktion. Mit Blick in die Zukunft ist es also schon jetzt wichtig, dass sich das Security Center of Excellence künftig weiter in Richtung Security as a Service entwickelt. Hierbei sollte es vor allem darum gehen, wie Security in agilen Cloud-basierten Projekten immer noch handlungsfähig bleibt und nicht als Bremsklotz oder gar Verhinderer wahrgenommen wird.

Ein neuer Cloud-Service sollte also auf standardisierte Security-Services zurückgreifen können, die beispielsweise bei Quellcode oder Vulnerability Scanning, Authentisierung oder Mikrosegmentierung automatisiert und schnell konfigurierbar zur Verfügung stehen. Nur so kann „Product Ownern“ in Cloud-basierten Umgebungen, die in agilen Projekten denken und in Sprints arbeiten, immer noch geholfen werden. Beim Aufbau muss dieser Aspekt schon jetzt mitgedacht werden. 

*Marko Vogel ist Partner im Bereich Cyber Security der KPMG. Er erstellt maßgeschneiderte Securitylösungen für Unternehmen und berät diese ganzheitlich zu Informations- und Cyber-Sicherheit.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*