Cybersecurity für Unternehmen ist in Zeiten zunehmender Hypervernetzung eine höchst komplexe, aufwendige und nicht zuletzt auch teure Angelegenheit geworden. Viele mittlere und kleine Unternehmen haben nicht die Ressourcen oder auch nicht das Know-how, um im täglichen Kampf mit Hackern & Co auf der sicheren Seite zu bleiben. Gerade für sie könnten die Leistungen eines sogenannten Managed SOC (Security Operations Center) eine langfristig sinnvolle Lösung sein. Hinter dem Begriff verbirgt sich ein ausgelagertes oder extern betriebenes Sicherheitszentrum, das für Unternehmen rund um die Uhr IT-Sicherheitsüberwachung, Bedrohungserkennung, Reaktion auf Vorfälle und andere Sicherheitsdienstleistungen übernimmt. Es übernimmt im Wesentlichen folgende Aufgaben:

Sicherheitsüberwachung

Beim Monitoring geht es darum, laufend – meist 24/7 – die IT-Infra­struktur eines Unternehmens, u. a. Netzwerke, Server, Endgeräte, Cloud-Umgebungen, auf verdächtige Aktivitäten oder Sicherheitsvorfälle, Anomalien, Bedrohungen oder Angriffe zu überwachen und Angriffe möglichst früh zu erkennen und darauf zu reagieren.

Bedrohungserkennung

Bedrohungen werden mithilfe mehrstufiger Prozesse, die Technologie, Automatisierung und menschliche Expertise involvieren, erkannt. Dabei werden Tools wie SIEM (Security Information and Event Management) oder EDR-/XDR-Systeme (überwachen u. a. Endgeräte, Clouds und Netzwerke) genutzt. Diese erkennen Muster, die auf Angriffe oder Sicherheitsprobleme (z. B. Malware, Phishing, Insider-Bedrohungen) hindeuten.

Reaktion auf Vorfälle

Auf Sicherheitsvorfälle wird mit einem strukturierten Prozess, der darauf abzielt, Schäden schnell zu begrenzen, Angriffe zu stoppen und die Ursache zu klären, reagiert. Diese Reaktion kann automatisiert, manuell oder hy­brid erfolgen – abhängig vom vereinbarten Leistungsumfang. Zum Prozess einer Reaktion zählen:

  • Alarmierung, z. B. über Ticket, SMS, E-Mail
  • Isolierung betroffener Systeme.
  • Analyse der gesamten Kill Chain (Strukturanalyse einer Cyber­attacke)
  • Empfehlung oder Durchführung von Gegenmaßnahmen
  • Berichterstattung und Lessons Learned

Threat Intelligence und Analyse ...

... beinhaltet den Prozess der Sammlung, Analyse und Interpretation von Informationen über aktuelle oder potenzielle Cyberbedrohungen. Diese Infos dienen u. a. Unternehmen und Behörden zur Risikobewertung, Prävention und Detektion.

Schwachstellen­management und Reporting

  • Führt regelmäßige Schwachstellenanalysen durch
  • Gibt Empfehlungen zur Härtung der Systeme
  • Erstellt Berichte über Sicherheitsvorfälle, Schwachstellen und empfohlene Maßnahmen