SOC as a Service Outsourcen und Kosten sparen
Statt das Monitoring der IT-Infrastruktur selbst zu leisten, raten Sicherheitsexperten zum Outsourcing. Damit sinken Kosten und Stress. Auch die Distribution kommt dem Bedarf nach Analyseleistungen nach. Doch der Markt wird sich auf Dauer verändern.
Anbieter zum Thema

Das Security Operation Center, kurz SOC, ist die zentrale Security-Schaltstelle in Unternehmen. Doch in einem SOC geht es nicht allein um Technologien. Wie Lisa Unkelhäußer, Security Channel Leader DACH bei IBM, klarstellt, besteht ein SOC aus einem Dreigespann aus Menschen, Prozessen und Technologien. Zu den Menschen gehören nicht nur die unternehmenseigenen Mitarbeiter, sondern auch Partner und Kunden. Denn jeder Mensch, der mit dem Unternehmen interagiert stellt gleichzeitig auch ein potenzielles Sicherheitsrisiko dar. Die Prozesse, die einen Überblick verschaffen, Richtlinien sicherstellen sowie Gefahren erkennen und analysieren seien enorm wichtig. Denn: „Die tollste Technologie bewirkt nichts, wenn man nicht weiß, was damit getan werden muss“, sagt Unkelhäußer.
Königsdisziplin SOC
Der Betrieb eines SOC wird in der Security-Branche oft als Königsdisziplin bezeichnet. Denn die Experten identifizieren Schwachstellen sowie Sicherheitslücken und bewerten diese – tagtäglich. „Ein SOC, egal, von wem es betrieben wird, wird nicht einmal aufgesetzt und steht dann. Sondern der Betrieb ist ein kontinuierlicher Prozess“, erläutert Unkelhäußer. In diesem Prozess müssen immer wieder aufs Neue Bedrohungen erkannt, verhindert und untersucht werden. Entgehen den Analysten Angriffe, kann dies fatal für die Daten des Kunden sein.
Das französische Systemhaus Axians bietet das SOC als as-a-Service-Modell (SOCaaS) an. Dort wird die SIEM-Lösung (Security Information and Event Management) QRadar von IBM eingesetzt. Beim IT-Dienstleister Controlware setzen die Experten auf Splunk. Beide Lösungen stellen sogenannte Basis Use Cases bereit, die angepasst werden können und geben die Möglichkeit weitere selbst zu entwickeln. Use Cases sind Anwendungsbeispiele von Verstößen gegen Sicherheitsrichtlinien, die mit der entsprechenden Lösung erkannt wurden. Die Richtlinien beziehen sich auf die IT-Infrastruktur und die Mitarbeiter einer Organisation. Ein Beispiel wäre, dass Administratoren nur zu den Geschäftszeiten des Unternehmens tätig sein dürfen. Mit einer vorab definierten Regel wie dieser, kann im eingesetzten System überprüft werden, wann mit privilegierten Accounts auf Daten zugegriffen wird. Erfolgt ein solcher Zugriff außerhalb der Geschäftszeiten, also entgegen der festgelegten Regel, wird ein Alarm im SOC generiert, auf den die Analysten dann reagieren.

Wie Unkelhäußer erläutert, skaliert die IBM-Lösung. Denn je mehr Use Cases in QRadar entwickelt werden, desto mehr Standard-Regeln bringt das System für die Kundenbasis mit. Doch nicht jedes Unternehmen hat die personellen und zeitlichen Ressourcen, um eigene Use Cases zu erstellen und diese in einem SOC zu verarbeiten.
Selbst machen oder machen lassen?
Der Trend zum Outsourcing hält an und das Sicherheitsbewusstsein in Unternehmen steigt. Das bestätigt auch Christian Bohr, Head of Managed Services bei Controlware. Laut ihm befindet sich der Security-Reifegrad in Unternehmen im Wandel: von einmaligen, zyklisch wiederkehrenden Pen-Tests über kontinuierliches Schwachstellen-Management bis hin zu proaktiven Lösungen wie Network und Endpoint Detection and Response (NDR/EDR) und Advanced Threat Detection (ATD). Die meisten der vor allem mittelständischen Kunden des Dienstleisters beschäftigen sich aus Compliance-Gründen mit diesem Thema oder weil sie bereits von Sicherheitsvorfällen betroffen waren. Auch wenn das Ziel ein kontinuierliches Security Monitoring mit umfassendem Cyber-Defense-Fokus sein sollte, wie Bohr betont, ist es natürlich ein großer Fortschritt, wenn Unternehmen zumindest einzelne Security-Services nutzen. „Nur weil ich mir die 100 Prozent nicht leisten kann, sollte ich zumindest die 80 Prozent nutzen, die ich realistisch umsetzen kann und die meinem vorrangigem Bedarf entsprechen. Das ist in jedem Fall besser als gar nichts zu tun“, stellt Bohr klar. Deswegen ist es bei Controlware möglich, statt auf einmal alle SOC-Leistungen lediglich bestimmte Services zu buchen. Dazu gehören das Vulnerability Management, Advanced Log Analytics (ALA), ATD und EDR.
Der Kunde kann das SOC auch selbst betreiben. Das ist allerings nur in den wenigsten Fällen sinnvoll und wirtschaftlich.
Auch bei Axians ist der Service flexibel aufgebaut, wie Volker Scholz, Leiter des dortigen SOC, erläutert. Statt mit allen dreien können Kunden auch nur mit einem der Bereiche Vulnerability Management, Security Event Management oder Compliance Management beginnen.
Der Aufbau eines eigenen Centers ist für die meisten Unternehmen nicht umsetzbar. Denn mindestens 12 Mitarbeiter seien für einen Betrieb rund um die Uhr nötig, sagt Unkelhäußer. In einem Blogbeitrag schätzt Scholz die ungefähren Kosten für ein eigenes SOC in einem Unternehmen mit 500 Mitarbeitern gegenüber der Inanspruchnahme von SOCaaS. Während der Eigenbetrieb bis zu 700.000 Euro pro Jahr kosten kann, belaufen sich die Kosten für den Service auf circa 60.000 Euro pro Jahr.
Aufbau des SOC: 200.000 – 500.000 Euro | Bereitstellung des SOC |
24/7 Betrieb mit einem Security Operator und drei Security Analysten im Wechselbetrieb: 175.000 – 272.000 Euro | 24/7 Betrieb mit Security Operatoren und Security Analysten |
Wiederkehrende Kosten wie Networking, Telefon, Wartung und Verschleiß: 12.000 Euro | Wiederkehrende Kosten wie Networking, Telefon, Wartung und Verschleiß |
Gesamtkosten: 387.000 – 783.560 Euro pro Jahr | Gesamtkosten: 60.000 Euro pro Jahr |
Auch Bohr argumentiert für die Inanspruchnahme der Dienstleistungen: „SOC as a Service ermöglicht die qualifizierte Bewertung von Cyber-Gefahren und gibt konkrete Unterstützung und umsetzbare Handlungsempfehlungen. Gerade letzteres können automatisierte Lösungen niemals so qualifiziert leisten wie ein erfahrener Security-Analyst in einem SOC, der sowohl die individuelle Kundensituation als auch die weltweite Bedrohungslage berücksichtigen kann.“
Die Sicht der Distribution
„Natürlich sehen wir auch in der Distribution den Trend zu ‚Everything as a Service‘“, sagt André Dieball, Director Technical Customer Success DACH bei Exclusive Networks. Bei dem Distributor hat man schon vor zweieinhalb Jahren angefangen, sich mit dem Thema Managed Security Services (MSS) auseinanderzusetzen. Die immer weiter steigende Bedrohungslage bringt auch immer mehr Technologien hervor, die Kunden unterstützen, sich auf eben diese Bedrohungslage einzustellen. Doch nur das Equipment zu haben, reiche nicht aus. Wichtig sei es vor allem, den Technologien zuzuhören und verstehen zu können, was sie über die Sicherheitslage sagen, Informationen miteinander zu korrelieren und mit zusätzlichen zu erweitern. „Unsere Reseller sehen sich dem Bedarf der Kunden nach MSS gegenübergestellt. Aber nicht jeder Reseller ist in der Lage, diesen Bedarf mit einem eigenen SOC zu decken. Dafür sorgen der weltweite IT-Fachkräftemangel und hohe Kosten.“
Durch diese Überlegung ist der Begriff des Managed Security Service Distributors (MSSD) entstanden. In diesem Portfolio bietet das Unternehmen Leistungen wie Monitoring, Compliance Reporting, Threat Hunting, Backup und Capacity Management – und auch ein Managed SOC. Voraussetzung für diesen Dienst war es jedoch, den eigenen Partner damit so wenig Konkurrenz wie möglich zu machen. Umgesetzt wird diese Prämisse, indem der Distributor zum einen nur an den Channel verkauft und nicht an Endkunden. Zum anderen werden die Managed Services nicht einzeln, sondern lediglich in Kombination mit dem Managed SOC angeboten. Dies ermöglicht es den Partnern die bereits vorhandenen Services ohne Investition zu erweitern.
Der Blick nach vorne
Wie Dieball ergänzt, ist dem Distributor bewusst, dass jetzige Partner diese Leistung in ein paar Jahren nicht mehr nutzen könnten. „In zwei oder drei Jahren werden einige Partner den Service nicht mehr in Anspruch nehmen, weil sie die Zeit genutzt haben, um für ihre Kunden ein eigenes SOC aufzubauen. Das ist uns völlig klar.“
Als Distributor sehen wir uns in der Rolle, das Business Improvement voranzutreiben und mit dem Managed SOC-Service ermöglichen wir das für den Channel – ohne Risiko.
Natürlich werden jedoch nicht alle Partner abspringen. Aber es wird Unternehmen geben, da ist sich Dieball sicher, die groß genug für ein eigenes SOC sind und das entsprechende Klientel dafür haben. „Indem sie nun den Service von Exclusive nutzen, verschaffen sie sich einen Zeitvorsprung, den sie nutzen können, um selbst aufzurüsten.“ Auf den erwarteten Wegfall einiger SOC-Kunden reagiert der Distributor jetzt schon. „Unser Managed Service ist ja nicht statisch. Wir sind dabei, weitere Services in dem Bereich zu entwickeln. Schließlich haben wir das bewusst Managed Security Service Distributor genannt, um klar zu machen, dass alles, was wir tun ein Channel Business ist. Was wir heute haben ist nur der Anfang.“
(ID:47040719)