Network & Security Cyber-Security SOC
SIEM

Power-Trio: Wie SIEM, SOC und Incident Response Ihre Resilienz gegen Cyberangriffe erhöhen

Stefan Lütkemeier
von Stefan Lütkemeier
5 Min. Lesezeit
4. Dezember 2023

Neuer Trend bei Cyberangriffen: Ob ein Unternehmen zum Opfer – etwa von Phishing-Mails oder Ransomware – wird, war lange Zeit vor allem eine Frage des Zufalls. Doch nun scheint die Ära des russisch Roulette vorbei zu sein. Fachleute registrieren immer öfter gezielte Angriffe auf einzelne Unternehmen. Diese werden dafür in puncto IT-Sicherheit meist schon im Vorfeld genau analysiert und die Angriffe strategisch vorbereitet. Um sich gegen derart durchdachte Attacken wehren zu können, benötigen Unternehmen aufwendige Sicherheitslösungen – bestehend aus SIEM, SOC und Incident Response. Hier erfahren Sie, worauf es bei diesem Power-Trio ankommt.

 

Inhalt

Wachsende Herausforderungen bei der IT-Sicherheit

Die drei Säulen einer effektiven IT-Sicherheitsstrategie

Entscheidend für Ihre IT-Sicherheit? Die individuelle Umsetzung!

Für Sie zusammengefasst: Vorteile kompakt


 

Wachsende Herausforderungen bei der IT-Sicherheit

Um eine Vorstellung davon zu bekommen, wie sehr sich die Cyber-Bedrohungslage für die deutsche Wirtschaft verschärft hat, reicht schon ein Blick auf die Wortwahl im Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur aktuellen Lage der nationalen IT-Sicherheit. Das BSI erklärt in seinem Bericht für 2022, dass auch bei der „Cybersicherheit made in Germany eine Zeitenwende“ notwendig sei. Den Beweis dafür liefert das BSI in Form alarmierender Zahlen.

 

69% aller Spammails im Berichtszeitraum waren Cyber-Angriffe wie z.B. Phishing-Mails und Mail-Erpressung.

Die Anzahl neuer Schadprogramm-Varianten hat im aktuellen Berichtszeitraum um rund 116,6 Millionen zugenommen.

20.174 Schwachstellen in Software-Produkten wurden im Jahr 2021 bekannt, das sind 10% mehr gegenüber dem Vorjahr.

 

Dass Handlungsbedarf besteht, ist offensichtlich. Oftmals mangelt es jedoch an den nötigen Ressourcen. Deshalb darf IT-Sicherheit nicht länger nur alleinige Aufgabe der IT-Abteilung sein; sie ist von höchster strategischer Relevanz, gehört auf die Agenda des Top-Managements und muss mit den nötigen finanziellen und personellen Ressourcen ausgestattet werden. Der Bitkom e.V. empfiehlt, nicht weniger als 20 Prozent des gesamten IT-Budgets für die IT-Sicherheit zur Verfügung zu stellen.

 

Die drei Säulen einer effektiven IT-Sicherheitsstrategie

Ressourcen allein reichen nicht, denn sie müssen auch Resilienz-bildend eingesetzt werden. Entscheidend für die IT-Sicherheit eines Unternehmens ist seine Fähigkeit, Bedrohungen und Angriffe in Echtzeit zu erkennen und darauf umgehend mit geeigneten Abwehrmaßnahmen reagieren zu können. Dies setzt ein 360°-Monitoring der eigenen IT-Landschaft ebenso voraus wie ein kompetentes operatives Team, das bei Bedarf sofort handelt und strategisch durchdachte Reaktionspläne wirksam umsetzt.

Eine aktuelle Befragung unter Verantwortlichen aus IT und Informationssicherheit sowie Mitgliedern aus dem operativen Management zeigt, dass es diesbezüglich in vielen Unternehmen eine verzerrte Selbsteinschätzung gibt. Zwar halten neun von zehn der Befragten ihre Unternehmen in puncto „Incident Detection & Response“ für gut aufgestellt, tatsächlich verfügt jedoch nur ein Drittel der Unternehmen über ein zentrales Security Monitoring. Mehr noch: Über eine verantwortliche Einheit in Form eines internen oder externen Security Operations Centers (SOC) verfügten gerade mal 16 Prozent der befragten Unternehmen. Dabei ist ein leistungsstarkes SOC die zentrale Säule für den Aufbau einer zukunftsfähigen IT-Sicherheitslandschaft. Flankiert wird sie von zwei weiteren Säulen: einem vorgelagerten Security Information and Event Management System (SIEM) und dem übergreifenden Incident Response-Plan.

 

Säule 1: Ein intelligentes Security Information and Event Management (SIEM)

Ein SIEM-System ist so etwas wie die zentrale IT-Security-Datenbank im Unternehmen. Denn im SIEM laufen sämtliche Log-Daten aller angebundenen Systeme zusammen und werden systematisch auf Cyberbedrohungen hin analysiert. Die Analysen können, je nach Leistungsfähigkeit des SIEM, sowohl manuell als auch teil- oder vollautomatisiert und KI-basiert erfolgen. Im Idealfall identifiziert das System Sicherheitsvorfälle in Echtzeit, sodass umgehend Maßnahmen zur Gefahrenabwehr eingeleitet werden können.

Zudem trägt ein SIEM zur Verbesserung des IT-Betriebs bei – etwa indem es Fehlkonfigurationen, offene Schnittstellen, veraltete Software oder fehlgeleiteten Datenverkehr erkennt und dabei hilft, Compliance-Vorgaben und gesetzliche Anforderungen zu erfüllen. Stichwort: NIS2. Auch für die Analyse von Sicherheitsvorfällen und die Einleitung entsprechender Response-Maßnahmen liefert SIEM die nötige Datengrundlage.

 

Säule 2: Ein zentrales Security Operations Center (SOC)

SIEM kann Bedrohungen zwar erkennen, sie allein aber nicht eliminieren. Dafür brauchen Unternehmen ein schlagkräftiges Security Operations Center (SOC). Es ist Hirn und Herzstück der jeweiligen Sicherheitsinfrastruktur. Im SOC arbeitet rund um die Uhr und an sieben Tagen in der Woche ein hoch spezialisiertes Expertenteam. Dieses ist in der Lage, die richtigen Schlüsse aus den vorliegenden und evtl. bereits automatisiert (vor-)analysierten Informationen zu ziehen, es bringt die nötige fachliche Expertise und die Threat Intelligence ein, um Cyber-Bedrohungen identifizieren, verhindern oder im Fall der Fälle wirksam eindämmen zu können und den Betrieb anschließend wieder hochzufahren. Zudem leistet ein SOC wertvolle Dienste bei der forensischen Aufarbeitung von Sicherheitsvorfällen. Wie die einzelnen Schritte im Einklang mit der unternehmensspezifischen Cyber-Sicherheitsstrategie ablaufen und welche Maßnahmen dafür zu ergreifen sind, gibt der Incident Response-Plan vor. Diesen erarbeitet das SOC in enger Abstimmung mit der IT-Abteilung und dem Management des jeweiligen Unternehmens.

 

Die Kernprozesse eines Security Operation Center (SOC), ACP IT Solutions AG

 

Säule 3: Ein effektiver Incident Response-Plan

Auch für die IT-Sicherheit gilt: 100-prozentigen Schutz wird es niemals geben. Der nächste Sicherheitsvorfall ist immer schon vorprogrammiert. Umso wichtiger ist es, dass Unternehmen über klar definierte Prozesse und Technologien für den Ernstfall verfügen. Wer muss auf was wann und wie reagieren? Handlungsanweisungen gibt im Idealfall ein effektiver Incident Response-Plan. Er beschreibt alle relevanten Aspekte mit dem Ziel der maximalen Schadenminimierung und definiert die Schnittstellen und Maßnahmen für das Management von IT-Sicherheitsvorfällen.

Zu den wichtigsten Kapiteln eines Incident Response-Plans gehören das Erkennen und Bewerten von Cyber-Attacken, ihre Eindämmung, die umgehende Wiederherstellung der Geschäftsfähigkeit sowie die Kommunikation mit allen Stakeholdern, etwaige Meldeverpflichtungen – etwa im Hinblick auf die Datenschutzgrundverordnung oder NIS2 – und die Forensik sowie Aufarbeitung des Geschehenen, um aus den Erkenntnissen weitere Verbesserungen ableiten zu können.

 

Entscheidend für Ihre IT-Sicherheit? Die individuelle Umsetzung!

Sie ahnen es schon: Das Zusammenspiel von SIEM, SOC und Incident Response ist komplex. Um es nachhaltig in Einklang mit der IT-Sicherheitsstrategie und den Ressourcen Ihres Unternehmens zu bringen, müssen die geeigneten Technologien, Prozesse und alle daran beteiligten Menschen effektiv zusammenarbeiten. Das erfordert eine präzise Planung und Ausführung der aus SIEM, SOC und Icident Response bestehenden Gesamtlösung – diese muss individuell auf die Möglichkeiten und das Risikoprofil Ihres Unternehmens abgestimmt werden.

Jetzt kostenloses Beratungsgespräch vereinbaren

Helfen kann ACP IT Solutions auch beim Aufbau eines eigenen bzw. bei der Integration eines externen SOC-Teams. Letzteres ist für mittelständische Unternehmen in aller Regel die schnellere und effizientere Alternative. Dafür sorgt allein schon der allgegenwärtige Fachkräftemangel, denn ein SOC braucht dedizierte Fachkräfte für Cyber-Sicherheit, die auf dem freien Arbeitskräftemarkt so gut wie nicht zu bekommen sind. Schon gar nicht in der Anzahl und mit den Qualifikationen, wie sie für eine erfolgreiche SOC-Integration erforderlich sind. Führende Anbieter wie Arctic Wolf oder ACP IT Solutions bieten SOC-Lösungen daher auch als Managed Service an.

 

Für Sie zusammengefasst: Vorteile kompakt

So viel ist sicher: Unternehmen, die ihre Resilienz gegen Cyberangriffe nicht dem Zufall überlassen, sondern mit den hier vorgestellten Bausteinen und Maßnahmen systematisch verbessern, investieren in ihre eigene Zukunft und Wettbewerbsfähigkeit. 

Die Vorteile auf einen Blick:
  • Cyber-Prävention: Wer verdächtige Aktivität durch ein zentrales Security Monitoring und fortschrittliche Sicherheitsanalysen in Echtzeit erkennt, kann handeln, bevor ein Schaden entsteht.
  • Schnelle Reaktionszeiten: Ein SOC-Team mit dedizierten Sicherheitsexperten ist darauf spezialisiert, etwaige Bedrohungen zu erkennen, sofort zu reagieren und schadenminimierende Maßnahmen zu ergreifen – etwa im Falle eines Ransomware-Angriffs.
  • Datenwiederherstellung: Gelingt es den Angreifern dennoch, geschäftsrelevante Daten zu verschlüsseln, können diese von Spezialisten mit Unterstützung des SOC zuverlässig wiederhergestellt werden. Dafür werden Backups fortlaufend überwacht und so isoliert, dass sie für Angreifer unzugänglich bleiben. Dies minimiert Ausfallzeiten und schützt vor dem Verlust geschäftskritischer Daten.
  • Threat Intelligence: Das SOC sammelt und analysiert kontinuierlich sowohl intern als auch extern erhobene Bedrohungsdaten. So lassen sich Angriffsmuster, Trends und Taktiken frühzeitig erkennen und proaktiv geeignete Maßnahmen ergreifen.
  • Compliance: Die Gesamtlösung aus SIEM, SOC und Incident Response stellt sicher, dass ein Unternehmen die Branchenvorgaben und gesetzlichen Vorschriften zuverlässig erfüllt – etwa im Hinblick auf Datenschutz oder Netzwerk- und Informationssicherheit.
  • Kostenersparnis: Cyber-Angriffe können erhebliche finanzielle Schäden verursachen. Wer Bedrohungen und Attacken schnell erkennt und sofort reagiert, spart dadurch oft Kosten in erheblichem Umfang.
  • Reputationsschutz: Ein Cyber-Sicherheitsvorfall kann den Ruf eines Unternehmens schwer beschädigen. Damit dies nicht geschieht, muss der Schaden sofort begrenzt und das Vertrauen der Kunden und Stakeholder durch gezielte Kommunikation aufrechterhalten werden. Das gelingt mit Cyber Security-Gesamtlösungen.

 

Ein perfektes Zusammenspiel von SIEM, SOC und Incident Response stärkt die Cyber-Resilienz von Unternehmen, indem es sie proaktiv schützt und für den Fall der Fälle maximal handlungsfähig macht. In diesem Sinne bilden die hier vorgestellten Säulen zusammen ein eine starke Verteidigungslinie. Diese aufzubauen und kontinuierlich weiterzuentwickelnd ist im ureigenen Interesse jedes Unternehmens.

ACP IT-Security Day
am 25.01.2024

Verpassen Sie nicht die Gelegenheit, von führenden Köpfen zu lernen und wertvolle Tipps für die Absicherung Ihrer Unternehmensnetzwerke und Endgeräte  zu erhalten.

Jetzt anmelden

Nächster Blogpost
← Bereit für NIS2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten
Vorheriger Blogpost
IT-Sicherheit im Gesundheitswesen: So wird Ihre Organisation fit für NIS2 →
IT-Sicherheit im Gesundheitswesen: So wird Ihre Organisation fit für NIS2
Network & Security

IT-Sicherheit im Gesundheitswesen: So wird Ihre Organisation fit für NIS2

28. November 2023 4 Min. Lesezeit
Sophos NDR: Die Lösung für Bedrohungserkennung und -reaktion im Netzwerk
ACP Gruppe | IT for Innovators
Network & Security

Sophos NDR: Die Lösung für Bedrohungserkennung und -reaktion im Netzwerk

19. Dezember 2023 4 Min. Lesezeit
Bereit für NIS2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten
Network & Security

Bereit für NIS2? Was die neue Richtlinie fordert und wie Sie jetzt handeln sollten

6. Oktober 2023 3 Min. Lesezeit