Benötigt es wirklich Helden, um Kritische Infrastrukturen abzusichern?

Damit hat sich auch der Gesetzgeber in Deutschland beschäftigt und bei der Revision des IT-Sicherheitsgesetzes 2.0 und der KRITIS-Verordnung den Betrieb von Systemen zur Angriffserkennung ab dem ab 1. Mai 2023 für alle Betreiber von Kritischen Infrastrukturen verpflichtend gemacht. Dabei gilt als Betreiber einer Kritischen Infrastruktur, wer grob über 500.000 Menschen in einem der „kritischen“ Sektoren versorgt [Staat und Verwaltung, Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Medien und Kultur, Wasser, Ernährung, Finanz- und Versicherungswesen, Abfallentsorgung]. Die genauen Schwellenwerte, ab wann man der Regulierung unterliegt, regelt die KRITIS-Verordnung.

Konkrete Tätigkeiten eines SOC umfassen unter anderem die Entwicklung und Pflege von internen Sicherheitsstandards und Spezifikationen, den Betrieb von unterstützenden Tools, die Durchführung von präventiven Maßnahmen, das Monitoring sowie die Analyse, die Klassifizierung, das Management von Security-Incidents und die Einleitung von mitigierenden Maßnahmen. Häufig werden Teile dieser Aufgaben bereits dezentral durchgeführt, ein Überblick und übergreifende Reaktionsfähigkeit des Unternehmens kann so aber nicht sichergestellt werden.

Um ein effizientes und funktionales SOC zu betreiben, braucht es einen konsistenten Sockel an personellen und technischen Ressourcen. Daneben steigern spezifisches Erfahrungswissen und Prozess-Know-how die Effizienz des SOCs. Dies ist in der Realität schwer im Eigenbetrieb zu realisieren. Unterstützende Tools können beschafft werden. Der Betrieb insbesondere durch die hohe Abhängigkeit von Schnittstellen ist jedoch oft nur mit fachlicher Expertise durchzuführen. Erfahrungen mit Prozessen können zudem in der Regel nur langsam aufgebaut werden. Ein Betrieb 24 Stunden an 7 Tagen in der Woche benötigt, unter Berücksichtigung von Urlaub, Krankheit und Schichtbetrieb, mindestens 6 IT-Security-Spezialisten. Diese Spezialisten sind am Markt nur sehr schwer zu bekommen, kosten sehr viel Geld und sind erfahrungsgemäß bei einem dedizierten SOC eines einzelnen Unternehmens recht schnell unterfordert und damit demotiviert.

Vor diesen Herausforderungen stehen nahezu alle Unternehmen, die durch das IT-Sicherheitsgesetz 2.0 gezwungen sind, ein SOC zu betreiben oder dies aus anderen Gründen tun möchten. Um die Anforderungen dennoch bedienen zu können, hat sich in den letzten Jahren ein neues Feld für IT-Dienstleister und IT-Sicherheits-Spezialisten aufgetan. Aus unterschiedlichen Perspektiven kommend, kristallisiert sich ein immer konkreteres Angebot für ein „Managed-SOC“ heraus, also ein SOC welches durch einen externen Dienstleister betrieben wird. Die Vorteile liegen auf der Hand: Erfahrungen werden gebündelt, Skalierungseffekte bezüglich Tools und Automatisierung genutzt und vor allem ein deutlich effizienterer Einsatz der knappen Personalressourcen durch Pooling ermöglicht.

Sinnvoll ist die Auswahl eines Dienstleisters, der auf Ihre Unternehmensgröße passt: Als etabliertes KMU wird ein US-amerikanischer Branchenriese weniger auf Ihre individuellen Anforderungen eingehen können als ein Unternehmen auf „Augenhöhe“, also ein Unternehmen, welches zu ihrer Unternehmensgröße und -sprache passt. Cassini hilft Ihnen bei diesem „SOC-Sourcing“ den richtigen Anbieter zu finden, der ihre individuellen Anforderungen erfüllen kann. Weiter berücksichtigen wir die im IT-Sourcing typischen Aspekte und Methoden wie z. B. Definition passender Exit-Klauseln und marktüblicher Rahmenvertragsinhalte. Daneben sollten aber auch spezifische Themen wie z. B. Leistungsinhalte oder auch Erfahrung zu der Fähigkeit der SOC-Dienstleister mit einbezogen werden.

Es benötigt eben doch keinen einzelnen Helden für die Absicherung Kritischer Infrastrukturen, sondern ein funktionierendes Security-Operation-Center. Sollten Sie die Einführung eines SOC prüfen wollen oder Unterstützung im Rahmen eines SOC-Sourcing benötigen, steht Cassini Ihnen mit Rat und Tat und einem etablierten Vorgehensmodell und langjähriger IT-Sourcing-Erfahrung zur Seite.