Thought Leadership
In vielen Unternehmen spielt sich regelmäßig das gleiche Szenario ab: Ein neuer Bericht über eine potenzielle Bedrohung wird veröffentlicht, das Security Operations Center (SOC) macht sich an die Arbeit – findet aber keine verwertbaren Hinweise.
Wenige Wochen später taucht derselbe Angreifer mit gestohlenen Daten wieder auf, diesmal mit einer Erpressungsforderung.
Dieses Versagen hat häufig eine klare Ursache: Sicherheitsverantwortliche treffen zu viele Annahmen über ihre IT-Landschaft und darüber, welche Daten ihnen tatsächlich zur Verfügung stehen. Angesichts der zunehmenden Komplexität moderner Infrastrukturen reicht es nicht mehr aus, sich auf Standardverfahren zu verlassen.
Andy Grolnick, CEO des Sicherheitsunternehmens Graylog, plädiert daher für einen grundlegenden Wandel in der Arbeitsweise von SOCs. Statt auf Technologiegläubigkeit zu setzen, sollten sich Sicherheitsteams wieder stärker auf bewährte Prinzipien konzentrieren. Vier zentrale Maßnahmen rücken dabei in den Fokus.
Die eigene Infrastruktur zum Vorteil machen
SOC-Teams agieren oft reaktiv – sie verarbeiten Warnungen und Log-Daten, die ihnen das System liefert. Doch damit geben sie die Kontrolle weitgehend ab. Der wirksamere Weg besteht darin, die eigene Umgebung aktiv so zu gestalten, dass sie für Angreifer möglichst unattraktiv wird.
Das bedeutet nicht nur, Täuschungstechniken einzusetzen, sondern insbesondere die grundlegende Konfiguration von Systemen und Anwendungen zu überdenken. In enger Zusammenarbeit mit der IT sollten Angriffsflächen reduziert, Rechte sinnvoll begrenzt und sicherheitsrelevante Aktivitäten so protokolliert werden, dass Angreifer nicht unbemerkt agieren können.
Datenhygiene nicht vernachlässigen
Ein zentrales Problem vieler SOCs ist unvollständige oder schlecht strukturierte Datenerfassung. Wer nicht weiß, welche Geräte welche Daten liefern – und ob diese überhaupt noch ankommen –, kann keine fundierte Analyse durchführen.
Es braucht deshalb eine klare Übersicht über alle relevanten Systeme und ihre Protokolldaten. Sobald dies gewährleistet ist, sollte dokumentiert werden, wie die Datenerfassung konfiguriert ist. Nur so lassen sich etwaige Unterbrechungen oder Änderungen schnell erkennen und beheben – auch mit Blick auf Audits oder gesetzliche Anforderungen.
Zudem ist es sinnvoll, das Datenvolumen regelmäßig zu prüfen. Ein plötzlicher Anstieg oder Rückgang kann auf technische Probleme hinweisen – oder darauf, dass Daten fehlen, die für den Schutz der Umgebung entscheidend wären. Viele SIEM-Systeme basieren auf Annahmen über ein konstantes Datenvolumen. Verändern sich die Datenmengen stark, leidet darunter oft die Speicherreichweite und damit die Analysefähigkeit.
In Schulungen und Praxis investieren
Technologien entwickeln sich rasant weiter – das gilt auch für Angriffsvektoren. Wer Sicherheitsverantwortung trägt, muss sich kontinuierlich weiterbilden. Zertifikate allein reichen nicht. Es braucht praxisorientierte Trainings, in denen reale Angriffs- und Verteidigungsszenarien durchgespielt werden.
Idealerweise verfügen Analysten über eine Laborumgebung mit der gleichen technischen Ausstattung wie im produktiven Einsatz. Nur so lässt sich verstehen, wie Systeme tatsächlich funktionieren – und wie sich Sicherheitslücken erkennen und schließen lassen.
Abteilungsgrenzen überwinden
Effektive IT-Sicherheit endet nicht an Teamgrenzen. In großen Organisationen sind Vorfälle oft bereichsübergreifend. Wenn das SOC keine engen Beziehungen zu anderen Fachabteilungen pflegt, verzögert das die Reaktion – im Zweifel mit gravierenden Folgen.
Vertrauen und Kommunikation über Abteilungsgrenzen hinweg sind entscheidend. Das SOC sollte wissen, wen es im Ernstfall ansprechen muss – und umgekehrt. Nur so lassen sich Sicherheitsvorfälle schnell und koordiniert bearbeiten.
Sicherheitsarbeit beginnt bei den Basics
Es braucht keine hochkomplexen Angriffe, um Unternehmen in Schwierigkeiten zu bringen. Meist reichen einfache Fehler oder Nachlässigkeiten – etwa bei Konfiguration, Schulung oder Kommunikation.
Wer es schafft, die Kontrolle über die eigene Umgebung zurückzuerlangen, Datenströme gezielt zu überwachen, in Menschen statt nur Tools zu investieren und interne Barrieren abzubauen, macht es Angreifern deutlich schwerer. Es sind die Grundlagen, die über Erfolg oder Misserfolg im Sicherheitsalltag entscheiden. Sie verdienen weit mehr Aufmerksamkeit, als ihnen oft geschenkt wird.
(pd/Graylog)
