SOC-aaS: Effektive IT-Abwehr für den Finanzsektor
von Daniel Graßer, Senior Director of Security Services bei Plusserver
Unterdessen wächst nicht nur die Bedrohungslage, sondern auch der regulatorische Druck. Ab Oktober gelten die Anforderungen der Network and Information Security Directive 2 (NIS2) für Unternehmen und Organisationen in 18 festgelegten Sektoren, darunter Banken und Finanzinstitute, die entweder mindestens 50 Mitarbeitende beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.Die Cyber-Abwehr und Pflege der hauseigenen IT-Sicherheit sollte folglich ganz oben auf der Agenda einer Organisation stehen.”
Das Problem: Oft werden neue IT-Lösungen in bestehende, veraltete Systeme integriert. Das Resultat: zunehmende komplexe Systeme und überforderte IT-Abteilungen, die weder die Zeit noch die Ressourcen haben, um die verschiedenen Komponenten sicher zu verwalten und mit der rasanten Entwicklung der Bedrohungslage mitzuhalten.
Dies stellt viele Organisationen vor enorme Herausforderungen. Nicht jedes Finanzunternehmen verfügt über die erforderlichen Ressourcen, um eine eigene Einheit zur 24/7-Überwachung der IT-Infrastruktur – ein sogenanntes Security Operations Center (SOC) – einzurichten bzw. zu betreiben. Die gute Nachricht: Es ist nicht unbedingt nötig, ein eigenes SOC auf die Beine zu stellen, um seine IT-Architektur zu sichern.
Das (zugegeben: etwas sperrige) Zauberwort lautet: SOCaaS – Security Operations Center as a Service.”
SOCaaS: Sicherheit als Dienstleistung
Schnelle Reaktionszeit: Erstreaktionszeit von etwa zwei Stunden, um Bedrohungen schnell zu erkennen und Gegenmaßnahmen einzuleiten.
Automatisierte Sicherheitsmaßnahmen: Einsatz von Automatisierungsskripten zur Isolation kompromittierter IT-Systeme und Sperrung von Angriffen auf der Firewall.
APT-Erkennung: Nutzung des Mitre Att&ck Frameworks und zusätzlicher Bedrohungsdatenbanken zur frühzeitigen Erkennung von Advanced Persistent Threats (APT).
Kontinuierliche Anpassung: Regelmäßige Schulungen der SOC-Mitarbeitenden und Nutzung aktueller Bedrohungsinformationen, um stets auf dem neuesten Stand zu bleiben.
Betrieb in Deutschland: ISO27001-zertifizierte Rechenzentren in Deutschland, kein Outsourcing, volle Datensouveränität und Compliance.
Deutschsprachige Analysten: Alle SOC-Analysten sind in Deutschland ansässig und sprechen Deutsch, was in Krisensituationen die Kommunikation erleichtert.
Mit Technologien wie Security Information and Event Management (SIEM) und spezialisierten DDoS-Schutzlösungen wird das Risiko von Datenverlust und -diebstahl erheblich reduziert. Die Systeme sind darauf ausgelegt, Anomalien in Echtzeit zu erkennen und sofortige Maßnahmen zu ergreifen, wodurch potenzielle Schäden minimiert werden. Auch hinsichtlich des Business Continuity Managements liegen die Vorteile eines SOC auf der Hand:
Sicherheitsvorfälle werden vom SOC antizipiert und Gegenmaßnahmen umgehend eingeleitet. So sorgt ein SOC dafür, dass der Geschäftsbetrieb auch im Falle eines Angriffs ungestört weiterlaufen kann.”
Die Implementierung von Notfallplänen, die auf bewährten Standards wie ISO 22301 basieren, stärkt die Resilienz des Unternehmens und legt die Grundlage dafür, dass kritische Prozesse auch in Krisensituationen aufrechterhalten werden können.
Technische Leistungsfähigkeit und Automatisierung
Ein modernes SOCaaS muss in der Lage sein, selbst massive DDoS-Angriffe mit Bandbreiten von bis zu 900 GBit/s effektiv abzuwehren.”
Finanzinstitute sollten daher bei der Dienstleisterauswahl auch auf die DDoS-Schutzlösungen achten: Sie filtern den Datenverkehr und können legitimen von bösartigem Traffic unterscheiden. Ebenso wichtig ist der Automatisierungsgrad. Mit ihm steht und fällt die Effizienz des SOC.
Beispiele für Automatisierungsskripte sind die automatische Isolation kompromittierter IT-Systeme und die sofortige Blockierung verdächtiger IP-Adressen auf der Firewall. Die Automatisierung ermöglicht es einem SOC, innerhalb kürzester Zeit Bedrohungen zu entdeckten (Time to Detect, TTD) und Gegenmaßnahmen einzuleiten (Time to Respond, TTR).
In der Regel erfolgt die Erstreaktion eines SOC nach etwa zwei Stunden.”
Um mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten, setzen moderne SOCs auf kontinuierliche Weiterbildung ihrer Mitarbeiter. Durch regelmäßige Schulungen und den Einsatz aktueller Threat Intelligence, einschließlich Informationen aus dem Darknet, bleiben die SOC-Analysten stets auf dem neuesten Stand der Bedrohungslage.
Bei der Erkennung von Advanced Persistent Threats (APTs) ist zu beachten, dass Angreifer irgendwann Spuren hinterlassen.
Moderne SOCs setzen auf eine Kombination aus Technologie, Use Cases basierend auf MITRE ATT&CK und menschlicher Interaktion durch SOC-Analysten – unterstützt von KI – um Angriffe zu erkennen und passende Gegenmaßnahmen einzuleiten.”
Im Hinblick auf regulatorische Anforderungen wie NIS2 oder den Digital Operational Resilience Act (DORA) bietet ein SOCaaS-Konzept erhebliche Vorteile. Unternehmen müssen keine eigenen Fachkräfte einstellen oder teure Technologien wie SIEM anschaffen. Stattdessen können sie schnell auf die Anforderungen reagieren, indem sie auf die Expertise und Ressourcen des SOC-Betreibers zurückgreifen. Dies ermöglicht eine effiziente Compliance-Erfüllung ohne die Notwendigkeit, intern umfangreiche Use Cases zu definieren oder spezifische Technologien zu implementieren.
Fazit: Sorglos dank SOCaaS
Zukünftig wird die Integration von künstlicher Intelligenz und maschinellem Lernen in SOC-Dienste weiter voranschreiten und Erkennungs- bzw. Abwehrmechanismen noch leistungsfähiger machen.”
Finanzinstitute, die in SOCaaS investieren, sind nicht nur für die aktuellen regulatorischen Anforderungen gut gerüstet, sondern auch für zukünftige Entwicklungen in der Cybersicherheitslandschaft.Daniel Graßer, Plusserver
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/216399
Schreiben Sie einen Kommentar