Security Operation Center

Security

Security Operation Center

Eine Zentralisierung der IT-Security führt zur besseren Abwehr von Cyber-Angriffen

Wir befragten Arndt Kohler, Associate Partner, Europe und Member of Technical Expert Council bei IBM, zum Vorteil von Managed Security Services.

PROFI.news Redaktion: Täglich berichtet die Presse von neuen Angriffen auf Unternehmen. Die Auswirkungen werden immer gravierender. Den komplexen, zielgerichteten Angriffen stehen zumeist traditionelle Schutzmaßnahmen in den Unternehmen gegenüber.

A. Kohler: Dies ist korrekt. Die Anzahl und Qualität der Angriffe ist dramatisch angestiegen. Mit dem Erfolg der Angreifer steigt auch die Motivation, die Angriffe weiterzuentwickeln und zu perfektionieren. Um sich zu schützen, reichen klassische Sicherungsmaßnahmen wie Firewall und Virenscanner allein längst nicht mehr aus. Die Sicherheit in Unternehmen ist analog den Unternehmenszielen auszurichten und mit adäquaten technischen Hilfsmitteln zu unterstützen. Aktuell Auskunft über die Sicherheitslage im eigenen Unternehmen geben Systeme für Security Information & Event Management (SIEM) – sie ermöglichen die zeitnahe Reaktion auf Bedrohungen.

PROFI.news Redaktion: Muss ein Unternehmen heute ein Team von Security-Spezialisten beschäftigen, um immer auf dem neuesten Stand zu sein?

A. Kohler: IT-Security ist heute noch in vielen Unternehmen ein Nebenjob verschiedener IT- und Fach-Bereiche. Doch ein Zwischenfall erfordert eine zeitnahe Reaktion und professionelle Zusammenarbeit nach definierten Regeln. Die Zukunft des Sicherheitsmanagements im Unternehmen sieht IBM in einer zentralen Organisation zur IT-Sicherheit, dem Security Operations Center. Ob die einzelnen Funktionen durch eigene Mitarbeiter oder teilweise Dritte erbracht werden, hängt von der Strategie und den Fähigkeiten des einzelnen Unternehmens ab. Generell sind Fremdressourcen häufig beim Monitoring bzw. der Analyse von Bedrohungen im Einsatz – hier kann IBM ein unglaubliches Erfahrungspotenzial im Verbund mit mehr als 4.000 Kunden weltweit einbringen.

PROFI.news Redaktion: Unterscheiden sich die Anforderungen an Anbieter wie die IBM?

A. Kohler: Sicherlich, die Anforderungen der Kunden hängen stark vom Unternehmensziel, der Risikostrategie, den Governance-Vorgaben oder den verfügbaren Ressourcen ab. Einige Kunden beziehen einzelne Managed Security Services zur Komplettierung ihrer eigenen Fähigkeiten. Andere Kunden überlassen IBM die vollständige IT-Sicherheits-Überwachung ihres Unternehmens oder im Falle eines IT-Outsourcings sogar die Reaktion auf Bedrohungen.

PROFI.news Redaktion: Was bedeutet ein Managed Security Service für den Kunden?

A. Kohler: Mit der Auslagerung von Teilen der IT-Security an einen externen Provider gewinnt der Kunde drei Vorteile: reduzierte Kosten und Komplexität, verbesserte Sicherheit und Compliance sowie mehr Effizienz und Flexibilität, um sich ändernden Geschäftsanforderungen anzupassen.

PROFI.news Redaktion: Was macht den Managed Service rund um Security Intelligence so komplex?

A. Kohler: Der erste Schritt ist, zu verstehen, in welcher Form Security die Geschäftsziele unterstützt und welche hierfür die kritischen Ressourcen sind. Häufig ist nicht definiert, welches das zu schützende Gut im Unternehmen ist, wo sich kritische Daten befinden und von wem und zu welchem Zweck sie verwendet werden. Dies alles gilt es zu analysieren und definieren, bevor ein zielgerichteter Schutz aufgebaut und über die Zeit sichergestellt werden kann.

PROFI.news Redaktion: Ab wann greift der Managed Service?

A. Kohler: Das ist abhängig von den Arbeitsabläufen des Kunden sowie dem angebotenen Service. Verantwortet IBM das komplette Monitoring der IT-Security eines Kunden, können wir annähernd in Echtzeit seinen Sicherheitsstatus darlegen. Erkennen, Analysieren und Bearbeiten eines Vorfalls sind dabei personell getrennt, reduzieren aber nicht die Aufmerksamkeit beim Monitoring – essenziell bei kombinierten Angriffen.

PROFI.news Redaktion: Wo erfolgt das Management der Services bzw. das Outtasking?

A. Kohler: Monitoring und Analyse erfolgen in weltweit operierenden IBM Security Operations Centern (SOCs), in Zusammenarbeit mit den Teams vor Ort beim Kunden. Die IBM SOCs stellen eine nahtlose Überwachung rund um die Uhr sicher. Für die Analyse wird auf den IBM-eigenen Security-Research-Bereich X-Force zugegriffen. Ein abgewehrter Angriff bei einem Kunden fließt automatisch in die Sicherung aller Kunden ein. Bei über 4.000 Managed-Security-Services-Kunden weltweit und mehr als 20 Millionen Angriffsversuchen pro Tag ein entscheidender Vorteil.

PROFI.news Redaktion: Fordern deutsche Kunden lokale Lösungen „made in Germany“?

A. Kohler: Ja, wobei in meinen Gesprächen die Kunden eher „europäisches SOC“ denn „made in Germany“ nachfragen. IBM betreibt aktuell auch zwei Security Operations Center in Europa. Es mag durchaus Gründe für die Forderung nach länderspezifischen Managed Services geben, z. B. von Seiten staatlicher Institutionen. Bei Privatunternehmen ist jedoch zu hinterfragen: Ist mein Unternehmen wirklich nur in einem einzigen Land aktiv? Welche Vorteile werden mit einem lokalen SOC assoziiert? Welche Risiken werden bei einem multinationalen SOC-Verbund gesehen? In den meisten Fällen ist der Wunsch nach einem lokalen SOC der Sorge bezüglich Datensicherheit geschuldet.

Aber: Für Security-Monitoring-Dienste sind in der Regel Verbindungsinformationen erforderlich, nicht die Daten selbst. Ein lokales SOC wird die weltweite Bedrohungslage nicht im gleichen Maße antizipieren können wie ein internationaler Verbund – aktuell erfolgt die Mehrzahl der hochkomplexen Angriffe erstmalig zumeist in den USA oder Asien, verbreiten sich anschliessend um den Globus. Ein rein lokales SOC verfügt nicht über diese Erfahrung. Auch ist es sehr schwer, bei dieser Limitierung geeignete Mitarbeiter in ausreichender Zahl zu finden. IBM kann internationale wie lokale Bedürfnisse kundenindividuell befriedigen, weist aber auf die Nachteile rein lokaler Lösungen hin.

PROFI.news Redaktion: Wie wird sichergestellt, dass die Daten des Kunden geschützt bleiben?

A. Kohler: Von primärer Bedeutung für unsere Services sind die Verbindungsinformationen, die z. B. in Log Files der Infrastrukturkomponenten gespeichert werden, wie Server, Netzwerk, Firewall etc. Diese beantworten Fragen nach dem Wer, Wann, Wo, Wohin etc. Das Was – die eigentlichen Daten – ist für IBM häufig nicht einsehbar, bestehende Data-Encryption-Lösungen werden nicht umgangen. Speziell in Deutschland stellen Verbindungsdaten zum Teil aber ebenfalls ein schützenswertes Gut dar, da sie unter Umständen Rückschlüsse auf den Nutzer zulassen. Je nach Anwendung werden die Nutzerinformationen zusätzlich von IBM verschlüsselt; somit verlassen diese Informationen das Unternehmen ebenfalls nicht.

Nicht vergessen: Wir sprechen nach wie vor über Security Monitoring – Schritte zur Behebung von Bedrohungen oder zur konkreten Abwehr liegen in der Verantwortung des Kunden. Die IBM SOCs selbst sowie die Netzwerkverbindung zum Kunden sind nach gültigen Standards gesichert. Einzelne IBM-Mitarbeiter kennen je nach Service gar nicht den Kunden, für den sie einen Security-Vorfall analysieren und prozessieren.

PROFI.news Redaktion: Was halten Sie von einem deutschen Security Operations Center?

A. Kohler: Ein rein lokales SOC hat wie gesagt entscheidende Nachteile. Probleme sehe ich primär im Finden der erforderlichen hoch qualifizierten Mitarbeiter, der deutlich verminderten Erfahrung eines lokalen SOC mit dem weltweiten Bedrohungspotenzial sowie der kleineren Kundenbasis und damit verringerten Lernkurve des SOC. Aus Kundensicht ist die Schwachstelle: Wer gewährleistet die Sicherheit meiner Niederlassung außerhalb Deutschlands?

PROFI.news Redaktion: IBM lernt auch dazu?

A. Kohler: Ja, IBM entwickelt in enger Abstimmung mit den Kunden das Thema Security weiter, auch zur internen Nutzung. Die nächste Stufe der Automatisierung von Managed Security Services wird in der Nutzung von Analytics und Watson gesehen.

PROFI.news Redaktion: Vielen Dank, Herr Kohler, für das Interview.

Arndt Kohler,
Associate Partner, Europe und
Member of Technical Expert Council bei IBM