NET 05/2025

30 www.net-im-web.de 05/25 Technisch gesehen werden alle sicherheits- relevanten Logs und Events von Firewalls, IDS/IPS, Windows/Linux-Servern, Netz- werkkomponenten, Authentifizierungs- systemen, Cloud-Diensten und Endpoints über Syslog, Agenten oder APIs an das SIEM übergeben. Dort werden die Daten normalisiert, mit Zeitstempeln versehen, in strukturierte Form gebracht und in einem zentralen Data Lake oder Log- Archiv gespeichert. Parallel dazu greifen Korrelationsregeln, die Muster erkennen, Schwellenwerte prüfen oder Signaturen abgleichen. „Solche Ereignisse können beispielsweise das gleichzeitige Auftreten fehlgeschlagener Logins aus verschiedenen Regionen oder der Zugriff auf sensible Da- teien außerhalb der Geschäftszeiten sein“, führt Lukas aus. Mit Hilfe von Network Detection and Response (NDR) werden zudem ungewöhnliche Kommunikations- muster, neue oder veränderte Endgeräte sowie abweichendes Verhalten analysiert und für eine eventuell notwendige foren- sische Auswertung gesichert. Die dadurch erlangte Transparenz ermöglicht es, etwa den Einsatz unsicherer Cipher-Suiten oder veralteter Protokolle zu identifizieren und so die Resilienz der IT-Infrastruktur signi- fikant zu erhöhen. Sicherheit rund um die Uhr Neben der technischen Infrastruktur ist qua- lifiziertes Fachpersonal der entscheidende Erfolgsfaktor im SOC-Betrieb. Analysten, Threat Hunter, Incident Responder und Forensiker müssen rund um die Uhr ein- satzbereit sein. Diese Rollen erfordern nicht nur tiefgehendes Spezialwissen, sondern auch kontinuierliche Weiterbildung und die Fähigkeit, Bedrohungen fundiert zu erkennen, zu bewerten und einzuordnen. Gleichzeitig müssen Prozesse und Play- books klar definiert sein. Dabei spielt die Integration von SOAR-Systemen (Security Orchestration, Automation and Response) eine zentrale Rolle. Sie steigern die Effizienz und Reaktionsgeschwindigkeit signifikant, indem sie Sicherheitsmaßnahmen auto- matisieren und koordinieren. Ein SOAR orchestriert Playbooks: Wird etwa eine verdächtige Datei oder ein verdächtiges Verhalten erkannt, kann automatisch ein Endpoint isoliert, der Account deaktiviert, ein Ticket erstellt, ein Analyst informiert und ein Mail-Gateway blockiert werden. Moderne Plattformen wie Splunk oder Microsoft Sentinel bieten dafür Low- Code-Automatisierungen, die klassische Redaktionszeiten von Stunden auf wenige Minuten reduzieren können. Hohe Complianceanforderungen Ein weiteres zentrales Element ist die Ein- haltung rechtlicher und regulatorischer Vorgaben. Insbesondere in der EU ist die DSGVO zu berücksichtigen, während branchenspezifische Standards wie ISO 27001, BSI IT-Grundschutz oder NIS2 zusätzliche Anforderungen definieren. Der Anbieter eines Managed SOC muss nicht nur sicherstellen, dass Daten sicher und datenschutzkonform verarbeitet werden, sondern auch vertraglich und technisch garantieren, dass Kundendaten nur autori- sierten Personen zugänglich sind. Verträge, Service Level Agreements (SLAs), lückenlose Dokumentation sowie die Nachvollzieh- barkeit aller Maßnahmen sind aus Com- pliance-Sicht zwingend erforderlich. „Die regulatorischen Anforderungen erhöhen den Druck auf Unternehmen, ihre Detek- tions- und Reaktionsfähigkeit nachweislich zu verbessern. Ein Managed SOC kann diese Lücke effizient schließen“, betont Dirk Lukas. „SysersoNetworks betreibt ein ef- fektives Vorfallmanagement zur Erkennung, Meldung und Bewältigung von Sicher- heitsvorfällen“, ergänzt Lukas. „Sicher- heitskritische Vorfälle können in diesem Zusammenhang an zuständige Behörden wie das Bundesamt für Sicherheit in der In- formationstechnik (BSI) gemeldet werden. Darüber hinaus erfolgt die Zusammenarbeit mit anderen Betreibern kritischer Infra- strukturen und den zuständigen nationalen Behörden, um Informationen über Bedro- hungen und Vorfälle auszutauschen.“ ImSOC selbst arbeiten Analysten in verschiedenen Eskalationsstufen – den sogenannten SOC Levels (L1, L2 und In- cident Response). Level-1-Analysten er- halten sicherheitsrelevante Alerts über ein mandantenspezifisches SecurityDashboard, das Events anhand von Risikobewertungen priorisiert. Sie führen eine erste Sichtung durch, analysieren Kontextdaten, Benut- zerverhalten (UEBA – User and Entity Behavior Analytics), Häufigkeiten sowie historische Zusammenhänge. Bei Verdacht auf einen Incident wird der Fall an Level 2 eskaliert. Dort erfolgen tiefergehende Analysen sowie Empfehlungen für Eindäm- mungs- und Abwehrmaßnahmen – oder deren unmittelbare Umsetzung. Wird ein kritischer Sicherheitsvor- fall bestätigt, kommt das Incident Response Team (IRT) zum Einsatz. Es übernimmt auf Basis organisatorischer und technischer Expertise die Koordination undUmsetzung aller notwendigenMaßnahmen zur Notfall- und Krisenbewältigung. Die Leistungen bestehen aus der Einsatzkoordination, Sach- standanalyse und Forensik, Risikoabwehr, Empfehlung von Gegenmaßnahmen, Vor- falldokumentation sowie der Unterstützung des Kunden bei der Reaktion auf den Vor- fall. EinManaged SOCerfordert dafür eine hochverfügbare und verteilte Archi- tektur. Entweder wird eine Multi-Region- Cloudinfrastruktur bereitgestellt – oder alternativ auf kundeneigene Rechenzentren zurückgegriffen, die mit Load Balancing, Redundanz und Disaster-Recovery-Strate- gien ausgestattet sind. In diesem Fall muss der Kunde sowohl die benötigte Hardware als auch die vollständige Betriebssoftware zur Verfügung stellen. Edge-Komponen- ten wie Log Forwarder oder Sensoren auf Security Operations Center als Managed Service