Gerade im Mittelstand wird der Mangel an Fachkräften – wie oben beschrieben – ein starkes Argument für ein Outsourcing dieser Dienstleistung sein. Allerdings werden die Herausforderungen normaler Sourcingprojekte im Bereich SOC durch Rahmenbedingungen verstärkt bzw. potenziert:
- Security-Leistungen und deren Qualität haben direkten Einfluss auf das Fortbestehen des Geschäfts des Auftraggebers.
- Durch die Vielzahl an organisatorischen und technischen Schnittstellen ist ein entsprechender „Cultural Fit“ in Kombination mit einem ausgewogenen Vertrag besonders wichtig. Insbesondere in Multiprovider-Beziehungen muss der SOC-Provider effizient und angemessen mit einer Vielzahl an internen wie externen Organisationen kommunizieren und zusammenarbeiten.
- Weil die Integration der Prozesse und Systeme sowie das gemeinsame „Lernen“ der Systeme als auch der Organisationen so aufwändig sind, ist ein Wechsel des Dienstleisters komplex und reduziert damit auch die Sinnhaftigkeit für Experimente.
Die erfolgreiche Auswahl des Partners und der Abschluss eines Dienstleistungsvertrages, der für beide Parteien Bestand hat, beginnt wie so häufig mit der Definition der Ziele und des Scopes (Betrachtungsumfang) für den zu erbringenden Service. Die Frage nach dem Scope bezieht sich dabei insbesondere auf die Abgrenzung des Verantwortungsbereiches des externen SOCs zu den Abteilungen des Auftraggebers. An dieser Stelle ist zu klären, welche Bereiche des Spektrums der Provider beobachten soll und welche internalisiert bleiben. Dabei stehen die Anzahl und der Umfang der kritischen Systeme („Kronjuwelen“) im Vordergrund. Damit einher geht auch der Fokus der Schutz und Präventionsmaßnahmen. Hier unterscheiden sich die Ansätze in Bezug auf Netzwerk-, Endpoint- sowie SIEM-Lösungen und sind je nach Bedarf zu wählen.
Aufgrund von stark anbieterlastigen Verträgen ist eine sehr starke Verhandlungsposition des Auftraggebers erforderlich. Letztlich bedeutet dies, dass eine entsprechende Sorgfalt bzw. ein angemessener Aufwand bei der Wahl des Dienstleisters und der Gestaltung der Verträge gerade in diesem Kontext mehr als berechtigt ist, um im Ernstfall nicht durch schlechte Service Level doch massiven Schaden zu erleiden (z. B. durch verspätete Reaktionen und ausbleibende Lösungen).
Auch wenn das Geschäftsvolumen ggf. niedriger als bei anderen IT Outsourcingprojekten ist, sollten IT und Einkauf beim Vergabeprozess die Investition in die Beschreibung des Scopes und der sonstigen Leitplanken und in ein relativ umfangreiches Anbieterfeld nicht scheuen.   Â
Bei den Kosten ist zu berücksichtigen, dass die Anbieter für SOC Dienstleistungen diese aus offensichtlichen Gründen prozessual und technologisch in sehr hohem Maße standardisieren müssen. Dies führt im Umkehrschluss dazu, dass Abweichungen von eben jenem Standard mit sehr hohen Kosten für die Kunden verbunden sind und daher eine sehr vorsichtige Abwägung der Sinnhaftigkeit für maßgeschneiderte Lösungen erfolgen muss.
Im Rahmen des Prozesses ist auch zu berücksichtigen, dass die Angebote bzw. die Dokumentation vieler Dienstleister nur von Spezialisten verstanden werden können und – so der Eindruck – auch nur von Spezialisten verstanden werden sollen. Unmengen von individuellen Abkürzungen, umfangreiche Unterlagen für relativ unwichtige Leistungselemente und hochkomplexe Dokumentationsstrukturen tun ihr Übriges dazu. Bei der Auswahl des Teams ist dies daher zwingend zu berücksichtigen.   Â
Bei der Vertragsgestaltung für SOC sind – neben den klassischen Anforderungen für die Vertragsgestaltung für Dienstleistungen – insbesondere die folgenden Aspekte zu berücksichtigen:
- Service Level: Passen die SLAs (z. B. Reaktionszeit für eine Bedrohung) zu den Anforderungen für die kritische Systeme des Auftraggebers?
- Log In Effekt: Wir groß ist die Hürde für einen Wechsel von einem Dienstleister zum anderen?
- Rechnungslegung: Wie fair sind Preismodelle und Regelungen zur Rechnungslegung?
- Full-Scope: Übernimmt der Provider für die gesamte Kill-Chain oder stiehlt er sich punktuell aus der Verantwortung?