Modern SOC Series - Von fragmentiert zu fokussiert: Weiterentwicklung des SOCs für bessere Ergebnisse (2/4)

Falls Sie es verpasst haben: Lesen Sie den ersten Blogartikel der Modern SOC-Reihe.

Die Herausforderung von heute: Ein fragmentiertes System bremst SOCs aus

Die heutigen Security Operations Center leiden oft unter den Folgen jahrelanger Stückwerk-Entscheidungen. Im Laufe der Zeit haben viele Unternehmen die besten Punktlösungen übereinandergeschichtet, in der Hoffnung, eine erstklassige Erkennungs- und Reaktionsfunktion aufzubauen. Das Ergebnis war jedoch oft das Gegenteil: Ineffizienz, hohe Kosten und unzureichende Reaktionszeiten, um die Geschäftsziele zu erreichen.

„Wir sehen immer noch Kunden, die mit einer Vielzahl von Tools zu kämpfen haben“, erklärt Niklas Klotz. „Begrenzte Interoperabilität, redundante Funktionen und fehlende einheitliche Prozesse erschweren es, wichtige KPIs wie die durchschnittliche Reaktionszeit (MTTR) zu erreichen. Und das ist nicht nur ein technisches Problem, sondern auch ein Geschäftsrisiko.“ MTTR ist mehr als nur eine Kennzahl – sie ist zunehmend mit übergeordneten Unternehmenszielen verbunden: „Wir beobachten, dass CISOs und Sicherheitsverantwortliche für KPIs verantwortlich gemacht werden, die sich direkt auf die Geschäftsleistung auswirken. Werden diese nicht erreicht, bedeutet dies, dass strategische Geschäftsziele nicht erreicht werden.“ 

In einer zunehmend KPI-gesteuerten Umgebung stehen SOCs unter dem Druck, die Sicherheitsleistung direkt mit den Geschäftsergebnissen zu verknüpfen. Komplexe, unverbundene Organisationen machen dies zu einer nicht ganz einfachen Aufgabe.

Wie sieht ein modernes SOC also wirklich aus?

Niklas zögert nicht: „Es handelt sich um eine vollständige Transformation. Menschen, Prozesse und Technologie. Man kann nicht das eine modernisieren, ohne das andere mit einzubeziehen.“

Das moderne SOC beginnt mit der Plattformkonsolidierung. Die meisten Unternehmen verwalten Dutzende von Tools, von denen jedes nur einen kleinen Teilbereich des Risikos abdeckt. Modernisierung bedeutet den Übergang zu vereinheitlichten, hochmodernen Erkennungsfunktionen mit einer zentralen Übersicht. Aber es bleibt nicht nur bei Tools.

„Orchestrierung und Automatisierung sind entscheidend“, fährt er fort. „Wir arbeiten mit unseren Kunden zusammen, um Prozesse im Hinblick auf Effizienz und Konsistenz neu zu gestalten. Anschließend automatisieren wir, was wir können, um die Belastung Ihrer Teams zu reduzieren, damit diese ihre Zeit effizienter nutzen und sich darauf konzentrieren können, Ihr Unternehmen beim Erreichen seiner Ziele zu unterstützen.“

Diese Transformation stärkt die Mitarbeiter und rationalisiert gleichzeitig die Prozesse. Durch die Filterung von Störsignalen und sich wiederholenden Aufgaben mittels Automatisierung können SOC-Analysten tiefer und schneller vorgehen – sie untersuchen echte Bedrohungen und optimieren kontinuierlich die Automatisierungs- und Erkennungsfunktionen, während sie diese dynamisch an die sich ständig verändernde Bedrohungslandschaft anpassen. Die Analysten wechseln von der Triage zur Erkenntnisgewinnung – „sodass sie endlich von einer reaktiven Arbeitshaltung zu einer strategischeren (und sicherlich auch spannenderen) Expertenrolle übergehen können.“

Niklas sieht diese Entwicklung als grundlegenden Wandel in der Arbeitsweise von Sicherheitsteams. „Früher haben wir mehr Tools oder mehr Personal auf das Problem angesetzt. Jetzt geht es darum, intelligentere Systeme zu entwickeln, die weniger, aber fundiertere Entscheidungen unterstützen.“

Die Auswirkungen eines modernen SOC-Modells sind nicht nur intern spürbar. Durch eine bessere Abstimmung zwischen Expositionsmanagement und Erkennung erhalten Unternehmen ein klareres Bild der Risiken und können so schneller und präziser handeln.

Bessere Ergebnisse zu niedrigeren Ausgaben

Die Vorteile eines modernen SOC-Modells sind sowohl strategischer als auch operativer Natur. Die Sicherheitsleistung verbessert sich, aber auch das Geschäftsergebnis.

„Sie vereinfachen Ihre Architektur und reduzieren die Anzahl der beteiligten Anbieter, was natürlich Ihre Gesamtbetriebskosten (TCO) senkt“, erklärt Niklas. „Gleichzeitig erhält Ihr Team mit weniger Tools tieferes Fachwissen, was sowohl die Geschwindigkeit als auch die Ergebnisse verbessert.“

Noch wichtiger ist, dass sich diese Effizienzsteigerungen in konkreten Ergebnissen niederschlagen. Verkürzte Reaktionszeiten. Intelligentere Nutzung interner Ressourcen. Und vor allem eine Sicherheitsfunktion, die den Erwartungen des Unternehmens entspricht.

„CISOs werden heute nicht mehr an ihrem technischen Erfolg gemessen, sondern an den Geschäftsrisiken. Das moderne SOC ist darauf ausgelegt, genau das zu leisten.“

Sehen, was die Angreifer sehen

Auf die Frage nach External Attack Surface Management (EASM) macht Niklas deutlich: Transparenz ist unverzichtbar.

„Man kann nicht schützen, was man nicht sieht – und leider wissen viele Unternehmen immer noch nicht, wie ihre externe Angriffsfläche tatsächlich aussieht.“

Von nicht nachverfolgten Cloud-Ressourcen bis hin zu Schatten-IT, die von nicht-technischen Teams betrieben wird – blinde Flecken gibt es überall. EASM-Tools ermöglichen SOCs eine Außenperspektive: Was könnte ein Angreifer finden, ausnutzen oder ins Visier nehmen? Mit diesen Erkenntnissen können Verteidiger schneller und mit mehr Kontext handeln.

„Es geht nicht mehr nur um bekannte Ressourcen“, sagt Niklas. „Es geht darum, Unbekanntes aufzudecken, bevor es zum Einfallstor wird.“

Ein Umdenken

Um das moderne SOC vollständig zu akzeptieren, ist jedoch ein Umdenken erforderlich.  

„Vertrauen ist ein wichtiger Faktor“, bemerkt Niklas. „Man muss seiner Technologie, seinen Partnern und seinen Prozessen vertrauen.“ In der Praxis bedeutet dies, die Vorstellung aufzugeben, dass interne Teams jedes einzelne Teil des Puzzles besitzen müssen. Es bedeutet, sich auf Ergebnisse zu konzentrieren, nicht auf Kontrolle. Es bedeutet auch, Automatisierung und KI als unverzichtbar für die Skalierung von Sicherheitsoperationen zu akzeptieren.

„Man braucht keine 80 Tools und 10 Dienstleister. Man braucht die richtigen Partner und die richtige Architektur. Und die Bereitschaft, sich weiterzuentwickeln.“

Für einige Unternehmen kann das auch bedeuten, dass sie ihre veralteten Ängste in Bezug auf die Konsolidierung von Anbietern ablegen müssen. „Wir hören Bedenken wie ‚Ich möchte nicht alles auf eine Karte setzen‘, aber in Wahrheit überwiegen die Vorteile in Bezug auf Transparenz, Geschwindigkeit und Kosten bei weitem die Risiken.“

Gängige Fehler vermeiden

Einer der größten Fehler, den Unternehmen machen? Die Modernisierung des SOC als reinen Lift-and-Shift-Vorgang zu betrachten.

„Es funktioniert nicht, einfach nur die Tools auszutauschen, ohne Prozesse oder Rollen zu ändern“, warnt Niklas. „Dies ist eine umfassende Transformation. Sie benötigen eine Strategie, die alle Ebenen umfasst.“

Eine weitere häufige Falle: Die SOC-Ziele werden nicht mit den Geschäftszielen abgestimmt.

„Erfolgreich sind diejenigen Unternehmen, die ihre KPIs kennen und sie mit den übergeordneten Geschäftszielen verknüpfen können. Andernfalls modernisieren Sie ohne Richtung.“

Abschließender Gedanke: Beginnen Sie mit einer Vision und untermauern Sie diese mit einem Plan.

Was rät Niklas also Sicherheitsverantwortlichen, die auf ein modernes SOC umsteigen möchten?

„Entwickeln Sie eine Drei- bis Fünfjahresvision. Definieren Sie Ihre Ziele, legen Sie Ihre KPIs fest und teilen Sie diese Ihren Partnern und anderen relevanten Stakeholdern mit.“

Diese Vision wird zum Kompass für die Transformation. Ohne sie werden die Bemühungen unzusammenhängend. Mit ihr können Unternehmen jedoch ein SOC aufbauen, das flexibel, zukunftsfähig und ergebnisorientiert ist.

Eine Vision allein reicht jedoch nicht aus: Planung ist alles. „Die Transformation ist kein einmaliger Wechsel“, betont Niklas. „Es ist eine schrittweise Entwicklung. Sie erfordert eine enge Zusammenarbeit zwischen dem Kunden und dem Anbieter sowie das Verständnis, dass die Reife eines SOCs ein langer Weg ist.“

Letztendlich ist das moderne SOC kein Produkt, das man kaufen kann, und kein Tool, das man installieren kann. Es ist eine langfristige Transformation, die kontinuierlich verfeinert und an das Unternehmen angepasst werden muss.

„Das moderne SOC ist kein Ziel – es ist eine kontinuierliche Reise. Und diese Reise sind wir bereit, gemeinsam mit unseren Kunden zu unternehmen.“