(PM) Saarbrücken/Ludwigshafen, 02.03.2017 - Im Zuge der Digitalisierung setzen immer mehr Unternehmen wie etwa Energieversorger, Krankenhäuser und öffentliche Einrichtungen auf IP-basierte Technologien. Das bringt zahlreiche Vorteile mit sich – setzt sie aber auch der steigenden Gefahr von Cyber-Angriffen aus. Für ein effektives IT-Sicherheitsmanagement sorgt ein so genanntes Security Operations Center. Das ist eine zentrale Leitstelle, in der Security-Experten rund um die Uhr die Netzwerke überwachen, Warnungen von Institutionen wie CERT Bund, UP KRITIS oder der Allianz für Cybersicherheit verarbeiten, Reports für das Information Security Management System (ISMS) erstellen, sicherheitsrelevante Vorfälle an das BSI melden und im Fall eines tatsächlichen Angriffs Notfallpläne umsetzen.

Der IT-Dienstleister prego services erläutert, worauf Unternehmen beim Aufbau eines Security Operations Center achten sollten.

1. Transparentes Netzwerk schaffen.

Die Voraussetzung dafür, dass ein SOC erfolgreich betrieben werden kann, ist ein möglichst transparentes Netzwerk. Die Verantwortlichen sollten ihre Netzwerke deshalb mit Aktivkomponenten ausstatten, die nicht nur ganzheitlich abgesichert sind, sondern möglichst viele Informationen strukturiert liefern können. Schaltet sich beispielsweise jemand auf die Management-Oberfläche eines Gateways auf, sollte er erkennen können, wer sich dort angemeldet hat. Werden falsche Passwörter eingegeben, muss das Gateway ebenfalls darüber informieren. Auch bei einer Verletzung von Firewall-Regeln sollte das Gateway mitteilen können, von welcher IP-Adresse die Regelverletzung ausging. Zudem helfen Intrusion-Detection-Systeme (IDS), den Datenverkehr zu überwachen und Anomalien im Netzwerk zu erkennen. Auch Honeypots können nützliche Alarmierer für eine Angriffserkennung sein.

2. SIEM-System einrichten.

Zur Überwachung des Netzwerks werden im SOC spezielle Tools benötigt. Ein zentrales Werkzeug ist dabei ein Security-Information-and-Event-Management-System (SIEM). Damit lassen sich die Meldungen der Netzwerkaktivkomponenten aufzeichnen und in Bezug zueinander setzen, um sicherheitsrelevante Vorgänge sichtbar zu machen – zum Beispiel dann, wenn mehrere Regelverletzungen im Netzwerk auftreten, die einen räumlichen oder zeitlichen Zusammenhang aufweisen. Deuten die Vorgänge auf einen Sicherheitsvorfall hin, kann ein SIEM automatisch ein Sicherheitsformular für die Übermittlung an das BSI erzeugen. Schwachstellenanalyse-Tools können außerdem das Patchmanagement der Geräte unterstützen.

3. Expertenkreis etablieren.

Daten und Meldungen müssen korreliert und bewertet werden. Ein gut vernetztes Team erhöht die Reaktionsgeschwindigkeit, um im Notfall mit anderen Institutionen wie etwa dem BSI und der Allianz für Cybersicherheit zusammenzuarbeiten und sich gegenseitig auszutauschen. Aber auch die Ausbildung der eigenen Mitarbeiter im Bereich Security und im Bewerten von Sicherheitsvorfällen ist gut investiertes Geld.

4. Outsourcing des SOC erwägen.

Vor allem mittelständische Unternehmen verfügen in der Regel nicht über genügend explizite Security-Experten, die sich rund um die Uhr in einem SOC engagieren können; und auch die Mittel, um ein solches Team aufzubauen, sind oft nicht vorhanden. Aber auch outgesourcte SOCs haben nicht zu Unrecht den Ruf, sehr kostspielig zu sein. Bei kritischen Netzwerken ist das allerdings meist nicht der Fall. Diese sind im Gegensatz zu Büronetzwerken, die ein dynamisches und unüberschaubares Logging-Aufkommen aufweisen, relativ starr und haben eine weitgehend konstante Anzahl an Meldungen von Routern, Firewalls oder SPS-Steuerungen. Aus diesem Grund sind sie wesentlich überschaubarer und können deshalb von einem externen Dienstleister zu vertretbaren Kosten überwacht, analysiert und betreut werden.

5. Security-Portal schaffen.

Entscheidet sich ein Verantwortlicher eines kritischen Netzwerks dazu, das SOC auszulagern, muss stetig Kontakt untereinander bestehen. Durch zielgerichtete Reports bietet das SOC Transparenz über Security-Vorfälle. So kann schnell über entsprechende Maßnahmen entschieden und diese können umgehend eingeleitet werden – ganz im Sinne eines PDCA-Zyklus (Plan, Do, Check, Act). Ideal ist ein Security-Portal, in dem der Dienstleister die Aktionen für den Kunden, beispielsweise Patchmanagement Incidents, dokumentiert.

"Die Gefahr von Cyber-Angriffen auf kritische Netzwerke wird in Zukunft nicht abnehmen, ganz im Gegenteil. Ein Security Operations Center kann den Verantwortlichen dabei helfen, dieser Herausforderung effizient zu begegnen", sagt Peter Schreieck, Leiter Communication & Network bei prego services. "Vor allem mittelständische Unternehmen haben aber meist nicht die nötigen Experten und Mittel, um selbst ein SOC zu betreiben. Bei kritischen Netzwerken ist das aber nicht weiter schlimm – denn bei ihnen kann ein Outsourcing-Partner das zu vertretbaren Kosten übernehmen."