SecOps ist ein ganzheitlicher Ansatz zur Verbesserung der IT-Sicherheit. Er intensiviert die Zusammenarbeit der IT-Sicherheits- und -Betriebsteams im Unternehmen. SecOps beseitigt Silos, indem die Teams gemeinsame Prozesse, Tools und Technologien verwenden und die IT-Sicherheit gemeinsam verantworten.
SecOps ist ein ganzheitlicher Ansatz zur Verbesserung der IT-Sicherheit, der auf die enge Zusammenarbeit zwischen IT-Sicherheits- und IT-Betriebsteams setzt.
SecOps ist das Kürzel für Security Operations. Security Operations steht für einen ganzheitlichen Ansatz zur Verbesserung der IT- und Cybersicherheit. Die Teams eines Unternehmens aus dem Bereich IT-Sicherheit und IT-Betrieb arbeiten enger zusammen und verfolgen gemeinsame Ziele. SecOps ist in Analogie zum Begriff DevOps (Development and Operations) entstanden. Das DevOps-Konzept sorgt für eine enge Abstimmung der Entwicklungs- und IT-Betriebsteams, wodurch sich Software schneller und zuverlässiger bereitstellen lässt.
SecOps überträgt das Konzept beziehungsweise den Gedanken der Zusammenarbeit auf den IT-Sicherheits- und IT-Betriebsbereich. Die Teams nutzen gleiche Prozesse, Tools und Technologien und teilen sich die Verantwortlichkeiten und Zuständigkeiten für einen zuverlässigen Betrieb und die Bereitstellung sicherer IT-Systeme und -Anwendungen. Häufig vorherrschende Konflikte zwischen IT-Betrieb und IT-Sicherheit und dysfunktionale übergreifende Prozesse lassen sich durch SecOps beseitigen. Durch die Verschmelzung von Aufgaben und Zuständigkeiten traditionell getrennter Teams und durch die Arbeit an gemeinsamen Zielen wird das Silo-Denken in der IT-Organisation aufgehoben. Es wird ein höheres Sicherheitsniveau erreicht, ohne dass die IT-Performance und der IT-Betrieb dadurch beeinträchtigt werden. Insgesamt verbessert sich die Widerstandsfähigkeit des Unternehmens und seiner IT-Infrastruktur gegenüber Cyberbedrohungen.
Die wichtigsten Ziele von Security Operations
Oberstes Ziel von SecOps ist es, durch eine engere Zusammenarbeit zwischen IT-Betrieb und IT-Sicherheit vorherrschende Silos aufzubrechen und dysfunktionale Prozesse zu beseitigen, um die Widerstandsfähigkeit eines Unternehmens gegenüber Cyberbedrohungen zu stärken. Auf Angriffe soll schneller und effizienter reagiert werden können, ohne dass die IT-Leistung und der IT-Betrieb darunter zu leiden haben. Weitere Ziele von Security Operations sind:
Einleitung eines kulturellen Wandels und Etablierung einer ganzheitlichen Sicht auf die IT-Sicherheit und den IT-Betrieb
Etablierung gemeinsamer Verantwortlichkeiten und Zuständigkeiten
Angleichung der Prioritäten und Verfolgung gemeinsamer Ziele
Bereitstellung sicherer IT-Systeme und IT-Anwendungen
zuverlässiger Schutz der Daten
schnellere Reaktion bei Sicherheitsvorfällen
Reduzierung ineffizienter Abläufe
höhere Transparenz im Bereich der Sicherheitsinfrastruktur
stärkere Sensibilisierung gegenüber Bedrohungen der IT-Sicherheit
effizienterer Einsatz der Ressourcen durch gemeinsame Nutzung von Prozessen, Tools und Technologien und Automatisierung von Sicherheitsverfahren
weniger Ausfälle oder Unterbrechungen und stabilerer System- und Anwendungsbetrieb
Unterstützung bei der Erfüllung von Compliance-Anforderungen und gesetzlichen Vorgaben hinsichtlich der IT-Sicherheit
Verbesserung der gesamtbetrieblichen Effizienz
Eine kurze Abgrenzung zwischen den Konzepten SecOps und DevSecOps
Sowohl SecOps als auch DevSecOps sollen dazu beitragen, die IT-Sicherheit eines Unternehmens und die Widerstandsfähigkeit gegenüber Cyberbedrohungen zu verbessern. Beide Konzepte haben aber unterschiedliche Schwerpunkte und lassen sich dadurch voneinander abgrenzen. SecOps sorgt für eine engere Zusammenarbeit zwischen IT-Betriebs- und IT-Sicherheitsteams und konzentriert sich auf den Schutz der IT-Produktionssysteme, ihrer Anwendungen und Daten. Die Teams sollen im täglichen IT-Betrieb bei Angriffen möglichst schnell und effektiv reagieren.
DevSecOps (Development, Security and Operations) hat eher einen präventiven Charakter. Der Schwerpunkt liegt in der Softwareentwicklung. Durch die frühzeitige Einbeziehung von Sicherheitsmaßnahmen schon im Entwicklungsprozess von Software und Anwendungen sollen Schwachstellen, die ein Risiko für die Cybersicherheit eines Unternehmens darstellen, erst gar nicht entstehen können beziehungsweise so früh wie möglich erkannt und beseitigt werden. Während DevSecOps bereits in den Entwicklungsprozess von Software eingreift, kommt SecOps erst beim Betrieb von IT-Systemen und Anwendungen ins Spiel.
Das Grundprinzip von SecOps
Das Grundprinzip von SecOps basiert auf einer gestärkten, engeren Zusammenarbeit zwischen den IT-Betriebsteams und den IT-Security-Teams. Die Zusammenarbeit lässt sich auf die drei Hauptkomponenten Menschen, Technologien und Prozesse zurückführen. Mit gemeinsamen Prozessen, Tools, Technologien und Plattformen wird eine teamübergreifende Arbeitsgrundlage geschaffen. Die Mitglieder der Teams stehen direkt in Verbindung, stimmen sich untereinander ab und kennen jeweils die Rollen, Verantwortlichkeiten, Prioritäten und Aufgaben der anderen Teammitglieder. Sie arbeiten in Abläufen wie der Betriebsüberwachung, Incident-Erkennung, Incident-Reaktion, Richtlinienverwaltung, Sicherheitsbewertung und anderen mit den gleichen Prozessen und Werkzeugen. Dies sorgt für optimierte Abläufe und lässt eine gemeinsame Verantwortung für die IT-Sicherheit entstehen.
Die wichtigsten SecOps-Funktionen und -Aufgaben
Die im Rahmen von SecOps zu erfüllenden Funktionen und auszuführenden Aufgaben sind vielfältig. Im Folgenden eine kurze Aufführung der wichtigsten Funktionen und Aufgaben von Security Operations.
SecOps erfordert ein umfassendes und detailliertes Monitoring der IT-Umgebung und all ihrer Komponenten, Systeme, Anwendungen, Endgeräte und Netzwerkverbindungen. Grundsätzlich geht es dabei sowohl um die Überwachung von betrieblichen Aspekten wie Betriebszustand und Leistung der Anwendungen und Systeme als auch um Sicherheitsaspekte. Die Überwachung ermöglicht die Suche nach Anomalien, das Erkennen von Sicherheitsvorfällen und eine automatisierte Alarmierung bei relevanten Sicherheitsereignissen. Eine in diesem Zusammenhang wichtige Funktion ist die sogenannte Threat Intelligence. Unter Threat Intelligence versteht man den Prozess, Daten über aktuelle und potenzielle Cyberbedrohungen strukturiert zu sammeln, sie zu analysieren und mögliche Bedrohungen inklusive ihrer Hintergründe zu identifizieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Aufgabe von Triage und Untersuchung ist es, sicherheitsrelevante Ereignisse zu erkennen, sie zu untersuchen, einzuordnen und entsprechend ihres Risikos oder ihrer möglichen Auswirkungen zu priorisieren. Auf Triage und Untersuchung folgt die Aufgabe der Reaktion auf einen erkannten Sicherheitsvorfall (Incident Response). Im Rahmen von Incident Response werden tatsächliche Angriffe bestätigt, zuvor ausgearbeitete und implementierte Incident-Response-Pläne umgesetzt und abgearbeitet, Angriffe abgewehrt, Cyberbedrohungen beseitigt, Datenlecks eingedämmt und IT-Systeme in sichere Betriebszustände versetzt.
Ebenfalls zu den SecOps-Aufgaben zählen forensische Analysen von Sicherheitsvorfällen, mit denen sich die Ursachen und Hintergründe der Incidents ermitteln lassen. Analysen in der Nachbereitung von Sicherheitsvorfällen helfen dem Unternehmen zu verstehen, was eigentlich passiert ist und wie sich im Nachhinein ähnliche Sicherheitsvorfälle für die Zukunft verhindern lassen.
Eine weitere wichtige Aufgabe von Security Operations ist es, Tätigkeiten und Maßnahmen im Sicherheitsbereich zu automatisieren. So kann der manuelle Aufwand reduziert werden und SecOps-Teams erhalten mehr Ressourcen für sicherheitsspezifische Tätigkeiten und Aufgaben.
Ebenfalls Aufgabe der SecOps-Teams ist die Einhaltung von Compliance-Richtlinien, Branchenstandards und gesetzlichen Vorgaben zur IT-Sicherheit und zum Datenschutz.
Tools und Schlüsseltechnologien für Security Operations
Um all die im vorigen Abschnitt beschriebenen SecOps-Aufgaben und -Funktionen zu erfüllen, kommen bestimmte Schlüsseltechnologien, Tools und Sicherheitslösungen zum Einsatz. Sie unterstützen die SecOps-Teams bei ihrer Arbeit. Zu diesen Schlüsseltechnologien, Tools und Sicherheitslösungen zählen zum Beispiel Security Information and Event Management (SIEM), Threat-Intelligence-Plattformen (TIP), Security Orchestration, Security Automation and Response (SOAR), Intrusion-Detection- und Intrusion-Prevention-Systeme (IDS und IPS), Endpoint Detection and Response (EDR), Network Detection and Response (NDR), eXtended Detection and Response (XDR), Künstliche Intelligenz (KI) und Maschinelles Lernen (ML), Endpoint-Protection-Plattformen (EPP), User and Entity Behavior Analytics (UEBA) und vieles mehr.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/60/4d/604d1b307cdb1228faea310fb800f9a5/0125204506v2.jpeg "Wer SAP-Security systematisch angeht, die internen Rollen definiert und auf bewährte Werkzeuge zurückgreift, kann seine Systeme nicht nur schützen, sondern auch Compliance sicherstellen und im Ernstfall schnell reagieren. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/c4/17c43058b98005d7ed80f91dd8e1c4c6/0124811701v2.jpeg "Wer externe Security-Spezialisten mit ins Boot holt, kann so die eigenen Mitarbeitenden entlasten. (Bild: Gorodenkoff - stock.adobe.com)")