SOC Sourcing - Die Lösung von Security-Problemen?

• Die pandemiebedingt gestiegene Anzahl von Homeoffice-Arbeitsplätzen und die zunehmende Vernetzung von Devices („IOT“) erhöht die Anzahl der möglichem Zugangspunkte exponentiell.
• Das Wachstum im Bereich E-Commerce führt zu einer Steigerung an Transaktionen und Vernetzungen, die die Möglichkeit für illegitime Interventionen ebenfalls erleichtert.
• Insbesondere die Verbreitung von Standardsoftware für Hacker („Ransomware as a Service“) und Kryptowährungen reduzieren die Zugangsbarriere und erleichtern die Durchführung krimineller Machenschaften.
• Der Markt an IT-Sicherheitsexperten ist knapp. Viele Unternehmen bekommen nicht ausreichend oder nur zu sehr hohen Kosten eigene Kompetenzen in die Organisation.

Im Ergebnis ist die Anzahl der Angriffe auf Unternehmen in den letzten zwei Jahren dramatisch gestiegen. 50 Prozent aller Angriffe treffen dabei Unternehmen zwischen 100 und 10.000 Mitarbeiterinnen und Mitarbeiter - also den Mittelstand.

Natürlich haben IT- und Compliance-Abteilungen in den letzten Jahren erhebliche Aufwände betrieben, um der steigenden Bedrohungslage Herr zu werden:

• Das Thema IT Security ist ein zentraler Bestandteil jeder IT-Strategie und hat durch die DSGVO noch einmal an Bedeutung gewonnen.
• Systeme zum Monitoring der eigenen IT-Landschaft (SIEM „Security Information and Event Management“) und umfangreiche Firewall- bzw. Virenschutzsysteme sind vielfach installiert.
• Der menschliche Faktor ist in vielen Unternehmen als Ursache vieler Sicherheitslücken erkannt und in die operativen Vorkehrungen integriert worden.
• Vielfach ist das Konzept der Zentralisierung von Expertinnen und Experten und umfangreicher Sicherheitssysteme zum Monitoring des Netzwerkes, zur Identifizierung von Bedrohungen und Einleitung von Maßnahmen in einem Security Operations Center („SOC“) umgesetzt.  

Doch da auch die Angreifer nicht untätig geblieben sind, stellt sich die Frage, ob dies ausreicht.

Über SOCs, Abkürzung für Security Operation Center (auch Cyber Defense Center), können signifikante Verbesserungen zum optimierten Schutz der Systeme und die Umsetzung effizienter Gegenmaßnahmen erreicht werden. Da die Ursprünge von Bedrohungen globaler Natur sind und viele Systeme heute schon rund um die Uhr arbeiten, ist ein 7x24 Betrieb an 365 Tagen im Jahr eine zentrale Voraussetzung.    

Allerdings wächst die Bedrohungslage derartig schnell und verfügbare personelle Ressourcen in der IT Security sind insbesondere für den Mittelstand noch deutlich schwerer zu gewinnen als für Großunternehmen und internationale Konzerne. Ohne diese Expertinnen und Experten, die dann noch in ausreichender Zahl 7X24X365 zur Verfügung stehen müssen, ist der Aufbau und Betrieb eines SOC nicht möglich.

Aus diesem Grund ist der Markt für das Outsourcing von SOC Dienstleistungen (auch als MSS für Managed Security Services bezeichnet) erheblich gewachsen und insbesondere für den Mittelstand eine sinnvolle und manchmal auch die einzige Option für den angemessenen Schutz einer komplexen und kritischen Systemlandschaft.
Im Folgenden soll das Vorgehen für ein Outsourcing insbesondere aus Sicht des mittelständischen Unternehmens beleuchtet werden. Darüber hinaus werden die Einzelheiten und kritischen Aspekte im Rahmen des Mittelstandstalks „IT-Sicherheit einfach und richtig outsourcen. Erfahrungsberichte aus dem Mittelstand.“ der Cassini von Experten beleuchtet. https://www.cassini.de/events/mittelstandstalk-it-sicherheit-outsourcen

Nach Schätzungen der Cassini bietet in Deutschland ein breites Spektrum an Unternehmen ein solches Dienstleistungspaket an. Die Anbieter lassen sich dabei in den folgenden Clustern zusammenfassen:

• Anbieter mit besonderem Know-how aus Spezialbranchen wie z. B. Telekommunikationsunternehmen oder Unternehmen aus dem militärischen Bereich,
• Klassische IT-Dienstleister, welche ihr Portfolio entsprechend erweitern,
• Anbieter von Security Software mit entsprechenden Zusatzleistungen sowie
• Spezialisierte Anbieter von IT-Sicherheitsdienstleistungen (Managed Security Services)

Dabei reicht die Größenordnung der potenziellen Partner von mittelständischen Unternehmen bis zu globalen Konzernen mit mehreren 24x7x365 Lokationen. Dabei ist davon auszugehen, dass trotz der Komplexität der Dienstleistung und einem gewissen Individualisierungsgrad die großen Player überdurchschnittlich über Economies of Scale (Skaleneffekte) profitieren werden.

Derzeit wird das Gesamtvolumen für IT Security Dienstleistungen auf 3,8 Mrd. EUR bei Zuwachsraten von 23 % p.a. (für 2020; https://www.computerwoche.de/a/deutscher-security-markt-waechst-stark,3546021) geschätzt. Zusammenfassend lässt sich festhalten, dass der Markt bereits die notwendige Breite hergibt, um potenziellen Auftraggebern eine breite Auswahl sowie einen passgenauen Partner zu garantieren.

Gerade im Mittelstand wird der Mangel an Fachkräften – wie oben beschrieben – ein starkes Argument für ein Outsourcing dieser Dienstleistung sein. Allerdings werden die Herausforderungen normaler Sourcingprojekte im Bereich SOC durch Rahmenbedingungen verstärkt bzw. potenziert:

1. Security-Leistungen und deren Qualität haben direkten Einfluss auf das Fortbestehen des Geschäfts des Auftraggebers.
2. Durch die Vielzahl an organisatorischen und technischen Schnittstellen ist ein entsprechender „Cultural Fit“ in Kombination mit einem ausgewogenen Vertrag besonders wichtig. Insbesondere in Multiprovider-Beziehungen muss der SOC-Provider effizient und angemessen mit einer Vielzahl an internen wie externen Organisationen kommunizieren und zusammenarbeiten.
3. Weil die Integration der Prozesse und Systeme sowie das gemeinsame „Lernen“ der Systeme als auch der Organisationen so aufwändig sind, ist ein Wechsel des Dienstleisters komplex und reduziert damit auch die Sinnhaftigkeit für Experimente.

Die erfolgreiche Auswahl des Partners und der Abschluss eines Dienstleistungsvertrages, der für beide Parteien Bestand hat, beginnt wie so häufig mit der Definition der Ziele und des Scopes (Betrachtungsumfang) für den zu erbringenden Service. Die Frage nach dem Scope bezieht sich dabei insbesondere auf die Abgrenzung des Verantwortungsbereiches des externen SOCs zu den Abteilungen des Auftraggebers. An dieser Stelle ist zu klären, welche Bereiche des Spektrums der Provider beobachten soll und welche internalisiert bleiben. Dabei stehen die Anzahl und der Umfang der kritischen Systeme („Kronjuwelen“) im Vordergrund. Damit einher geht auch der Fokus der Schutz und Präventionsmaßnahmen. Hier unterscheiden sich die Ansätze in Bezug auf Netzwerk-, Endpoint- sowie SIEM-Lösungen und sind je nach Bedarf zu wählen.

Aufgrund von stark anbieterlastigen Verträgen ist eine sehr starke Verhandlungsposition des Auftraggebers erforderlich. Letztlich bedeutet dies, dass eine entsprechende Sorgfalt bzw. ein angemessener Aufwand bei der Wahl des Dienstleisters und der Gestaltung der Verträge gerade in diesem Kontext mehr als berechtigt ist, um im Ernstfall nicht durch schlechte Service Level doch massiven Schaden zu erleiden (z. B. durch verspätete Reaktionen und ausbleibende Lösungen).
Auch wenn das Geschäftsvolumen ggf. niedriger als bei anderen IT Outsourcingprojekten ist, sollten IT und Einkauf beim Vergabeprozess die Investition in die Beschreibung des Scopes und der sonstigen Leitplanken und in ein relativ umfangreiches Anbieterfeld nicht scheuen.    

Bei den Kosten ist zu berücksichtigen, dass die Anbieter für SOC Dienstleistungen diese aus offensichtlichen Gründen prozessual und technologisch in sehr hohem Maße standardisieren müssen. Dies führt im Umkehrschluss dazu, dass Abweichungen von eben jenem Standard mit sehr hohen Kosten für die Kunden verbunden sind und daher eine sehr vorsichtige Abwägung der Sinnhaftigkeit für maßgeschneiderte Lösungen erfolgen muss.

Im Rahmen des Prozesses ist auch zu berücksichtigen, dass die Angebote bzw. die Dokumentation vieler Dienstleister nur von Spezialisten verstanden werden können und – so der Eindruck – auch nur von Spezialisten verstanden werden sollen. Unmengen von individuellen Abkürzungen, umfangreiche Unterlagen für relativ unwichtige Leistungselemente und hochkomplexe Dokumentationsstrukturen tun ihr Übriges dazu. Bei der Auswahl des Teams ist dies daher zwingend zu berücksichtigen.     

Bei der Vertragsgestaltung für SOC sind – neben den klassischen Anforderungen für die Vertragsgestaltung für Dienstleistungen – insbesondere die folgenden Aspekte zu berücksichtigen:

• Service Level: Passen die SLAs (z. B. Reaktionszeit für eine Bedrohung) zu den Anforderungen für die kritische Systeme des Auftraggebers?
• Log In Effekt: Wir groß ist die Hürde für einen Wechsel von einem Dienstleister zum anderen?
• Rechnungslegung: Wie fair sind Preismodelle und Regelungen zur Rechnungslegung?
• Full-Scope: Übernimmt der Provider für die gesamte Kill-Chain oder stiehlt er sich punktuell aus der Verantwortung?

Der Bedarf im Bereich der IT-Sicherheit steigt exponentiell und eines der Elemente zur Lösung dieser Herausforderung ist das Sourcing von IT Security-Leistungen, insbesondere die Implementierung eines Security Operations Centers. Die prozessuale, operative und technologische Herausforderung des Betriebes eine SOCs verbunden mit dem Fachkräftemangel in der IT, besonders für den Mittelstand, macht ein Outsourcing zu einer sinnvollen Option. Wichtigster Erfolgsfaktor ist der Cultural Fit zwischen den beiden Organisationen, um in kritischen Situationen durch ein gemeinsames Verständnis und Arbeitsumfeld erfolgreich reagieren zu können. Die Komplexität der Dienstleistungen und der vertraglichen Regelungen macht aber einen Prozess erforderlich, der auf den ersten Blick aufwändig im Vergleich zum Geschäftsvolumen erscheint. Wichtig ist, diesen Weg nicht allein zu beschreiten, sondern gemeinsam mit einem erfahrenen und unabhängigen Sourcing Advisor die bekannten Herausforderungen zu bewältigen. In der Praxis macht sich dieses Investment sowohl bei der Konzeption als auch der Angebotsbewertung und Verhandlung bezahlt, da der Aufwand für Implementierung und Wechsel des Dienstleisters dadurch signifikant sinkt, Service Level und Leistungsumfang erhöht werden und somit in Summe spätere Betriebsrisiken deutlich gesenkt werden können.