SOC-aaS: Effektive IT-Abwehr für den Finanzsektor

Daniel Graßer, Senior Director of Security Services bei Plusserver, erläutert die Vorteile eines SOCaaS. — Daniel Graßer, Senior Director of Security Services bei PlusserverPlusserver

Deutsche Unternehmen rücken zunehmend in den Fokus der Cyberkriminalität. Laut einer aktuellen Umfrage des Digitalverbands Bitkom sehen sich zwei von drei Unternehmen durch Cyber-Angriffe sogar in ihrer Existenz bedroht. Besonders Banken, Versicherungen und andere Finanzdienstleister stehen im Fadenkreuz von Cyberangriffen wie Ransomware- und Phishing-Attacken.

von Daniel Graßer, Senior Director of Security Services bei Plusserver

Unterdessen wächst nicht nur die Bedrohungslage, sondern auch der regulatorische Druck. Ab Oktober gelten die Anforderungen der Network and Information Security Directive 2 (NIS2) für Unternehmen und Organisationen in 18 festgelegten Sektoren, darunter Banken und Finanzinstitute, die entweder mindestens 50 Mitarbeiter beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

Die Cyber-Abwehr und Pflege der hauseigenen IT-Sicherheit sollte folglich ganz oben auf der Agenda einer Organisation stehen.”

Das Problem: Oft werden neue IT-Lösungen in bestehende, veraltete Systeme integriert. Das Resultat: zunehmende komplexe Systeme und überforderte IT-Abteilungen, die weder die Zeit noch die Ressourcen haben, um die verschiedenen Komponenten sicher zu verwalten und mit der rasanten Entwicklung der Bedrohungslage mitzuhalten.

Dies stellt viele Organisationen vor enorme Herausforderungen. Nicht jedes Finanzunternehmen verfügt über die erforderlichen Ressourcen, um eine eigene Einheit zur 24/7-Überwachung der IT-Infrastruktur – ein sogenanntes Security Operations Center (SOC) – einzurichten bzw. zu betreiben. Die gute Nachricht: Es ist nicht unbedingt nötig, ein eigenes SOC auf die Beine zu stellen, um seine IT-Architektur zu sichern.

Das (zugegeben: etwas sperrige) Zauberwort lautet: SOCaaS – Security Operations Center as a Service.”

SOCaaS: Sicherheit als Dienstleistung

Plusserver SOCaaS

DDoS-Abwehrfähigkeit: Effektive Erkennung und Abwehr von DDoS-Angriffen mit Bandbreiten von bis zu 900 GBit/s durch Integration in ein fortschrittliches SIEM-System.
Schnelle Reaktionszeit: Erstreaktionszeit von etwa zwei Stunden, um Bedrohungen schnell zu erkennen und Gegenmaßnahmen einzuleiten.
Automatisierte Sicherheitsmaßnahmen: Einsatz von Automatisierungsskripten zur Isolation kompromittierter IT-Systeme und Sperrung von Angriffen auf der Firewall.
APT-Erkennung: Nutzung des Mitre Att&ck Frameworks und zusätzlicher Bedrohungsdatenbanken zur frühzeitigen Erkennung von Advanced Persistent Threats (APT).
Kontinuierliche Anpassung: Regelmäßige Schulungen der SOC-Mitarbeiter und Nutzung aktueller Bedrohungsinformationen, um stets auf dem neuesten Stand zu bleiben.
Betrieb in Deutschland: ISO27001-zertifizierte Rechenzentren in Deutschland, kein Outsourcing, volle Datensouveränität und Compliance.
Deutschsprachige Analysten: Alle SOC-Analysten sind in Deutschland ansässig und sprechen Deutsch, was in Krisensituationen die Kommunikation erleichtert.

Ein Security Operations Center as a Service (SOCaaS) bietet eine effektive Lösung für Finanzinstitute, die ihre IT-Sicherheit erhöhen und NIS2-konform gestalten möchten. Durch die Übertragung der Sicherheitsüberwachung an ein externes SOC können interne IT-Teams ihre Ressourcen gezielt auf strategische Aufgaben konzentrieren, anstatt sich mit der ständigen Überwachung und Reaktion auf Bedrohungen zu befassen.

Mit Technologien wie Security Information and Event Management (SIEM) und spezialisierten DDoS-Schutzlösungen wird das Risiko von Datenverlust und -diebstahl erheblich reduziert. Die Systeme sind darauf ausgelegt, Anomalien in Echtzeit zu erkennen und sofortige Maßnahmen zu ergreifen, wodurch potenzielle Schäden minimiert werden. Auch hinsichtlich des Business Continuity Managements liegen die Vorteile eines SOC auf der Hand:

Sicherheitsvorfälle werden vom SOC antizipiert und Gegenmaßnahmen umgehend eingeleitet. So sorgt ein SOC dafür, dass der Geschäftsbetrieb auch im Falle eines Angriffs ungestört weiterlaufen kann.”

Die Implementierung von Notfallplänen, die auf bewährten Standards wie ISO 22301 basieren, stärkt die Resilienz des Unternehmens und legt die Grundlage dafür, dass kritische Prozesse auch in Krisensituationen aufrechterhalten werden können.

Technische Leistungsfähigkeit und Automatisierung

Ein modernes SOCaaS muss in der Lage sein, selbst massive DDoS-Angriffe mit Bandbreiten von bis zu 900 GBit/s effektiv abzuwehren.”

Finanzinstitute sollten daher bei der Dienstleisterauswahl auch auf die DDoS-Schutzlösungen achten: Sie filtern den Datenverkehr und können legitimen von bösartigem Traffic unterscheiden. Ebenso wichtig ist der Automatisierungsgrad. Mit ihm steht und fällt die Effizienz des SOC.

Beispiele für Automatisierungsskripte sind die automatische Isolation kompromittierter IT-Systeme und die sofortige Blockierung verdächtiger IP-Adressen auf der Firewall. Die Automatisierung ermöglicht es einem SOC, innerhalb kürzester Zeit Bedrohungen zu entdeckten (Time to Detect, TTD) und Gegenmaßnahmen einzuleiten (Time to Respond, TTR).

In der Regel erfolgt die Erstreaktion eines SOC nach etwa zwei Stunden.”

Um mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten, setzen moderne SOCs auf kontinuierliche Weiterbildung ihrer Mitarbeiter. Durch regelmäßige Schulungen und den Einsatz aktueller Threat Intelligence, einschließlich Informationen aus dem Darknet, bleiben die SOC-Analysten stets auf dem neuesten Stand der Bedrohungslage.

Bei der Erkennung von Advanced Persistent Threats (APTs) ist zu beachten, dass Angreifer irgendwann Spuren hinterlassen.

Moderne SOCs setzen auf eine Kombination aus Technologie, Use Cases basierend auf MITRE ATT&CK und menschlicher Interaktion durch SOC-Analysten – unterstützt von KI – um Angriffe zu erkennen und passende Gegenmaßnahmen einzuleiten.”

Im Hinblick auf regulatorische Anforderungen wie NIS2 oder den Digital Operational Resilience Act (DORA) bietet ein SOCaaS-Konzept erhebliche Vorteile. Unternehmen müssen keine eigenen Fachkräfte einstellen oder teure Technologien wie SIEM anschaffen. Stattdessen können sie schnell auf die Anforderungen reagieren, indem sie auf die Expertise und Ressourcen des SOC-Betreibers zurückgreifen. Dies ermöglicht eine effiziente Compliance-Erfüllung ohne die Notwendigkeit, intern umfangreiche Use Cases zu definieren oder spezifische Technologien zu implementieren.

Fazit: Sorglos dank SOCaaS

Autor Daniel Graßer, Plusserver

Daniel Graßer ist seit 2022 Senior Director of Security Services bei Plusserver (Website). Zuvor war der gelernte Fachinformatiker in diversen Manager-Rollen bei Cancom tätig, zuletzt als Director Competence Center Security. Davor war er System Engineer & IT-Trainer bei Computerlinks.

Die Absicherung von IT-Infrastrukturen wird gerade im Finanzsektor stetig komplexer, weil regulatorische Anforderungen und Cyberangriffe zunehmen. Das macht den Einsatz eines professionellen Security Operations Centers in vielen Fällen unerlässlich. Zugleich erschweren der hohe finanzielle Aufwand und der Fachkräftemangel Unternehmen den Aufbau und Betrieb eines hauseigenen SOC. Hier kann das „as a Service“-Modell eine effektive und kosteneffiziente Alternative bieten, um die IT-Sicherheit und Compliance in Banken, Versicherungen und anderen Finanzinstituten langfristig zu gewährleisten.

Zukünftig wird die Integration von künstlicher Intelligenz und maschinellem Lernen in SOC-Dienste weiter voranschreiten und Erkennungs- bzw. Abwehrmechanismen noch leistungsfähiger machen.”

Finanzinstitute, die in SOCaaS investieren, sind nicht nur für die aktuellen regulatorischen Anforderungen gut gerüstet, sondern auch für zukünftige Entwicklungen in der Cybersicherheitslandschaft.Daniel Graßer, Plusserver

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/216399