Thought Leadership
Der SANS SOC-Survey 2026 zeigt: Fehlende Tool-Integration und unklare Prioritäten erschweren weltweit die Arbeit von Sicherheitszentralen.
Das SANS Institute hat die zehnte Auflage seiner jährlichen Umfrage zum Zustand von Security Operations Centern (SOC) vorgelegt. Die Ergebnisse basieren auf den Antworten von 444 Fachkräften aus dem Sicherheitsbetrieb sowie einer parallel durchgeführten Befragung von 69 CISOs und leitenden Sicherheitsverantwortlichen weltweit. Als größte Hürde für einen effektiven Sicherheitsbetrieb identifizieren die Führungskräfte den Mangel an Transparenz und Übersicht.
Insgesamt 24 Prozent der Befragten nannten dieses Defizit als primäres Hindernis und stuften es damit noch vor den anhaltenden Personalengpässen und Lücken bei der Prozessautomatisierung ein. Im operativen Alltag äußert sich dieses Problem vor allem durch eine hohe Anzahl von Alarmen, denen es an notwendigem Kontext fehlt. Obwohl die erforderlichen Sicherheitswerkzeuge in den meisten Unternehmen physisch vorhanden sind, mangelt es an einer umfassenden Integration, um die Datenströme zusammenzuführen.
„Transparenz taucht in dieser Umfrage immer wieder auf, weil es wirklich schwer ist, dieses Problem zu beheben. Die meisten Organisationen verfügen über die Tools. Die eigentliche Herausforderung besteht darin, damit ein einheitliches Bild über Teams hinweg zu schaffen, die keine gemeinsamen Prioritäten haben.“
Christopher Crowley, leitender Trainer beim SANS Institute und langjähriger Autor der Studie
Cyber-Abwehr: Wahrnehmungslücken bei der Personalplanung
Die Erhebung legt eine deutliche Diskrepanz in der Wahrnehmung zwischen der Managementebene und den operativen Fachkräften offen. Während 59 Prozent der Cyber-Führungskräfte angaben, dass die Unternehmensleitung den realen Personalbedarf sowie die Mitarbeiterbindung im SOC präzise im Blick behält, teilen nur 32 Prozent der Angestellten diese Einschätzung. Diese Differenz von 27 Prozentpunkten zieht sich kontinuierlich durch die Daten der vergangenen Jahre. Der Grund dafür liegt primär darin, dass Entscheidungen über Neueinstellungen und Maßnahmen zur Mitarbeiterbindung auf Führungsebene getroffen werden, ohne die operative Basis direkt einzubeziehen.
Zudem zeigt sich ein Widerspruch bei der Budgetierung: Zwar gaben 75 Prozent der Sicherheitsverantwortlichen an, zu verstehen, dass Technologie nur durch qualifiziertes Personal effektiv eingesetzt werden kann. Gleichzeitig nannten dieselben Führungskräfte das Personal als das größte Hindernis bei der Finanzierung von Cybersicherheitsprioritäten. Die weitreichende Erkenntnis über den Wert der eigenen Teams schlägt sich somit selten in der realen Budgetplanung nieder.
Diskrepanz bei der Nutzung von Bedrohungsinformationen
Ein weiteres Defizit zeigt sich bei der Verwertung von strategischen Daten für die langfristige Unternehmensplanung. Bedrohungsinformationen (Threat Intelligence) werden zwar von 74 Prozent der Führungskräfte für den täglichen Sicherheitsbetrieb und die proaktive Bedrohungssuche genutzt. Allerdings dienen diese Daten nur bei 26 Prozent der Befragten als Grundlage für Budget- und Investitionsentscheidungen. Erkenntnisse darüber, welche Angriffsvektoren aktuell die höchste Priorität in der Verteidigung erfordern, fließen somit selten in die finanzielle Planung für kommende Zeiträume ein.
Crowley betonte die Beständigkeit dieser strukturellen Probleme: „Diese Muster sind nicht neu. Was diese Umfrage allerdings verändert, sind zehn Jahre Daten, die zeigen, dass sich daran nichts geändert hat. Die Unternehmen, die diese Lücke schließen, sind diejenigen, die sie als spezifische operative Probleme und nicht als allgemeine Managementherausforderungen behandeln.“
(SANS Institute/red)
