Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Suche

  1. Germany
  2. Insights
  3. Blog
  4. Cyberdefense
  5. Modern SOC Series – Compliance: eine zentrale Säule moderner Security Operations (4/4)

Modern SOC Series – Compliance: eine zentrale Säule moderner Security Operations (4/4)

CybersecurityInnovationAssess & AdviceComplianceData Security

Share

Falls Sie es verpasst haben: Lesen Sie den ersten, zweiten und dritten Blogartikel der Modern SOC-Reihe.

Mit der Verschärfung von Cyber-Regulierungen wird Compliance zu einer tragenden Säule des modernen Security Operations Center (SOC). In diesem letzten Teil der Modern SOC Series erklärt Markus Thiel, Senior Business Manager bei Orange Cyberdefense, wie Frameworks wie DORA, NIS2 und ein an ISO 27001 angelehntes ISMS die Arbeitsweise von SOCs verändern. Von kontinuierlicher Compliance und Audit-Automatisierung bis hin zu risikobasierter Alert-Priorisierung und dem Einsatz von RACI-Matrizen: Moderne SOCs müssen sowohl regulatorischen Vorgaben als auch realen Resilienz-Zielen gerecht werden. Erfahren Sie, wie Sie ein SOC aufbauen, das nicht nur sicher, sondern von Grund auf konform ist.

Wir sind weit gekommen auf unserer Reise durch das Modern SOC. Wir haben untersucht, wie KI Analysten unterstützt, wie veraltete Modelle von Grund auf neu gedacht werden und wie EASM die Sichtbarkeit erweitert. Doch keine SOC-Evolution wäre vollständig ohne die Behandlung dessen, was vielleicht die unterschätzteste Säule ist: Compliance.

Um die Rolle von Compliance im SOC der Zukunft zu beleuchten, liefert unser Experte Markus Thiel, Senior Business Development Manager bei Orange Cyberdefense, seine Perspektive, die regulatorische Anforderungen in betriebliche Realität übersetzt.

Der Compliance-Druck steigt — SOCs stehen im Fokus

Laut Markus ist der regulatorische Druck im Gleichschritt mit der Bedrohungslandschaft gewachsen. „Gerade in der EU veranlassen hybride Bedrohungen und gezielte Angriffe die Aufsichtsbehörden, genauer hinzusehen — wie Organisationen arbeiten und sich verteidigen, insbesondere in kritischen Sektoren“, erklärt er.

Eine große Verschiebung? SOCs gelten nicht länger nur als technische Reaktionsinstanzen. Man erwartet mittlerweile, dass sie sich an Geschäftsrisiken und Governance-Strukturen ausrichten und eine zentrale Rolle im Three-Lines-Modell übernehmen.

Das legacy SOC ist dafür nicht ausgelegt

Traditionelle SOCs konzentrieren sich meist auf Detection und Incident Response — technisch, reaktiv und oft in Silos. Moderne Regulierungen (wie DORA oder NIS2) verlangen jedoch mehr als technische Reaktion: Sie fordern Geschäftsfokus, nachweisbare Wirksamkeit, Nachvollziehbarkeit und kontinuierliche Verbesserung.

Markus weist darauf hin, dass legacy SOCs diese Erwartungen oft nicht erfüllen, weil sie isoliert arbeiten: „Resilienz ist das Ziel. Das erreicht man nicht mit einem rein reaktiven Setup — und schon gar nicht ohne starke Zusammenarbeit und klar definierte Verantwortungszuweisung.“

Aktivitäts-Logging, Nachvollziehbarkeit & Audit-Readiness: der Beweisfaktor

Bei Compliance reicht Reaktion nicht aus — man muss beweisen können, wie und warum gehandelt wurde. „Richtiges Logging und Traceability bedeuten, dass jede Maßnahme in der Policy-Pyramide verankert und entsprechend dokumentiert ist“, erläutert Markus.

Das umfasst nicht nur Basis-Events oder Alert-Metadaten. Noch wichtiger sind Workflow-Inhalte — etwa Ergebnisse tiefergehender Analysen und der konkrete Impact auf Geschäftsprozesse und -ergebnisse. Unter DORA sind beispielsweise bestimmte Attribute von Incident Reports in Level-3-Dokumenten explizit definiert, und Organisationen müssen ihre Fähigkeit demonstrieren — und regelmäßig testen — diese fristgerecht zu liefern.

Markus weist auf einen möglichen Blindspot hin: „Kann das Top-Management wirksam in den Freigabeprozess für Berichte an Aufsichtsbehörden eingebunden werden? Das kann ein Schwachpunkt sein. Ich empfehle, die Perspektive eines Supervisors einzunehmen und diese Fragen mit einem gesunden Verstand zu beantworten.“

Das moderne SOC muss nicht nur Bedrohungen erkennen, sondern auch als Compliance-Engine fungieren, Nachvollziehbarkeit gewährleisten und Reaktionszeiträume an regulatorische Meldepflichten koppeln.

Automatisierung & Reporting: Beweislast vereinfachen

Kein Regelwerk schreibt bestimmte Tools vor — wohl aber Leistungsanforderungen. Hier spielt Automatisierung ihre Stärken aus. Markus zufolge unterstützen Automatisierungs- und Reporting-Plattformen bei der fortlaufenden KPI-Dokumentation, schnelleren Incident-Triage und -Response sowie der hochwertigeren Evidenzerfassung. Wenn etwa ein internes Ziel darin besteht, den MTTR für kritische Services unter vier Stunden zu bringen, können SOAR-Technologien helfen, dieses Ziel zu erreichen und den Fortschritt zu verfolgen.

„Tools ersetzen keine Verantwortung“, so Markus, „aber sie helfen dabei, nachzuweisen, dass Ziele erreicht werden.“

Compliance vs. Security: eine starke Allianz

Besteht die Gefahr, dass Compliance die Security verdrängt — und wie findet das SOC das richtige Gleichgewicht?

Markus ist eindeutig: „Ich sehe nicht, dass Compliance die Security überholt. Im Gegenteil: Compliance optimiert Security auf eine risikobasierte, messbare Weise.“

Statt Compliance und Security als konkurrierende Prioritäten zu betrachten, müssen moderne SOCs sich als strategische Partner im weiteren Geschäftskontext positionieren.

Aufkommende Technologien wie KI bringen neue Risiken mit sich. Markus warnt, dass Organisationen, die KI einsetzen, Verantwortung tragen müssen, Nachvollziehbarkeit sicherzustellen und zu demonstrieren, wie diese Systeme entwickelt, getestet und überwacht werden.

Fazit: Gute Compliance verwässert die Security nicht — sie verankert sie in Geschäftsrisiken und Verantwortlichkeit.

Das SOC als Brücke über alle Verteidigungslinien

Für Markus kann das moderne SOC nicht mehr im Vakuum agieren. „Das SOC muss mit aktuellen Informationen und Insights in Echtzeit versorgt sein und als Feedback-Channel in die Organisation wirken.“ Das bedeutet enge Kollaborationsschleifen mit Risk Management, First-Line-Funktionen und dem Governing Body. Das SOC liefert:

• Intelligence zu Taktiken und Techniken von Threat-Akteuren
• Effizientes Alerting der Verantwortlichen bei qualifizierten Security-Incidents
• Faktenbasierte Meldung eines Vorfalls an die zuständigen Behörden

Diese Positionierung verwandelt das SOC vom Kostenfaktor zum strategischen Enabler — es hält alle Bereiche der Organisation besser informiert und resilienter.

Abschließender Rat: zuerst das Fundament bauen

Wer sein SOC modernisieren will, bekommt von Markus eine klare Reihenfolge mit auf den Weg: Zuerst qualifiziertes Personal, dann reife Prozesse und zuletzt State-of-the-Art-Technologie.

„Technologie ist ersetzbar“, sagt er. „Wichtig ist das zwischenmenschliche und organisatorische Gerüst, das dem SOC ermöglicht, echte Geschäftsziele zu unterstützen.“ Seine Vorgehensweise:

  1. Laufende, volle Unterstützung durch das Top-Management sicherstellen
  2. Ein Governance-Framework etablieren (z. B. RACI-Matrix)
  3. Klare Richtlinien und effektive Workflows auf Basis regulatorischer Anforderungen definieren
  4. Mit einem Schritt-für-Schritt-Plan und Meilensteinen über die Zeit Reifegrade aufbauen

Das ist keine Theorie: Es ist die Grundlage für die kontinuierliche Verbesserung, die moderne Regulierungsrahmen einfordern.

 

Unsere Experten unterstützen Sie gern bei Assessments, Alignment und der Weiterentwicklung Ihrer Security Operations — von DORA- und NIS2-Readiness bis hin zum resilienten, audit-bereiten SOC.

Markus Thiel

Senior Business Development Manager
Orange Cyberdefense

Über den Autor

Markus Thiel ist Senior Business Development Manager bei Orange Cyberdefense Germany. Mit über 20 Jahren Erfahrung in den Bereichen IT-Sicherheit, Compliance und Risikomanagement hat er ISMS-, SIEM- und SOAR-Programme in verschiedenen Branchen geleitet. Markus verfügt über fundierte Kenntnisse in Frameworks wie ISO 27001, BAIT/VAIT und Standards wie DORA, NIS2 und DSGVO. Als erfahrener Spezialist für sichere Betriebsabläufe unterstützt er große Unternehmen beim Aufbau von Compliance-fähigen SOCs durch Governance, Automatisierung und strategische Resilienz.

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.