Tobias Harmes
9. April 2020

SAP Security Operations Center (SOC)

15

Mit einem Security Operations Center, abgekürzt SOC, können Unternehmen ihre gesamten Security-Aktivitäten in einer Art Kommandozentrale steuern und Cyberangriffe abwehren. Als Managed Service kann man das SOC auch an Dienstleister abgeben.

Eigenschaften

Ein Security Operations Center dient als zentrale Anlaufstelle für alle Security Incidents innerhalb eines Unternehmens. In der Regel wird das SOC in einem eigenen Raum aufgebaut, in dem mehrere Monitore den aktuellen Status anzeigen und Alarmierungen aufgezeigt werden, sollte es zu Unregelmäßigkeiten oder Angriffen kommen. Im SOC arbeiten zeitgleich mehrere Mitarbeiter. Das SOC schützt zwar die IT-Landschaft des Unternehmens, erhält aber auch einen physischen Schutz. Der Zugang zum SOC wird durch strenge Eingangsbeschränkungen geregelt. Nur wer zum Team gehört, erhält Zutritt.

Das SOC verbindet im Prinzip drei „Disziplinen“ miteinander: Mitarbeiter, Prozesse und Technologien. Die Mitarbeiter sind geschulte IT-Sicherheitsexperten und bearbeiten die verschiedenen Tickets oder Alarmierungen. Die Prozesse werden dahingehend optimiert, dass Incidents möglichst schnell und nachvollziehbar gelöst werden können. Dabei helfen KPIs, anhand derer die Zusammenarbeit zwischen den drei Disziplinen gemessen und ggf. optimiert werden kann. Am wichtigsten hierbei: Wie lange dauert es bis ein Angriff erkannt und behoben werden kann?

Im Security Operations Center haben die Mitarbeiter einen ständigen Überblick der Sicherheitslage

Anhand von Reportings wird die Geschäftsführung regelmäßig über die IT-Sicherheit informiert.

Wichtige Funktionen eines SOC

Im Security Operations Center sollten einige Maßnahmen auf den Dashboards zusammenlaufen. Dazu gehören die aktive Überwachung aller angeschlossener Systeme sowie die zugehörige Analyse der aktuellen Sicherheitslage. Kommt es zu Incidents oder Schwachstellen müssen die schnellstmöglich beseitigt und reportet werden. Dazu müssen die passenden Algorithmen dafür sorgen, dass Unregelmäßigkeiten erkannt werden. Wenn es beispielsweise zu erhöhten Zugriffszahlen auf die Website kommt – zum Beispiel, weil ein neues Produkt gelauncht wurde – müssen die Algorithmen das erkennen. Gibt es solche erwartbaren Ausnahmen nicht, könnte es sich um eine Bedrohung handeln und die Alarmierung muss veranlasst werden. Bei Angriffen sollten jedoch nicht nur alarmiert, sondern die Angriffe auch automatisiert abgewiesen werden.

Dabei gilt es die Unternehmens-IT auf physikalischer Seite, also beispielsweise die Firewall zu schützen, um direkte Attacken auf das Firmennetzwerk zu verhindern. Sicherheitsmaßnahmen auf der Ebene der Applikationen müssen die Autorisierung und Authentifizierung von Anwendern sicherstellen. Zusätzlich können hier Virenscanner eingesetzt werden, die vor schädlicher Software warnen.

Welche Tools sind möglich?

Grundsätzlich können alle Tools im Bereich Security, Identity- und Access Management oder auch SIEM im SOC überwacht werden. Diese können auch Non-SAP sein.

So eignen sich beispielsweise SAP ETD, SAP Early Watch Alert oder der SAP Solution Manager besonders, um sie zum Dashboard des SOC hinzuzufügen.

Vorteile

Ist ein SOC optimal an das Unternehmen angepasst, können Security Incidents proaktiv erkannt und behoben werden, bevor schlimmere Schäden entstehen. An das SOC können weitere Systeme flexibel angeschlossen werden, sodass es eine hohe Skalierbarkeit bietet.

Dadurch, dass Security-Know-how gebündelt an eine Stelle sitzt, hat die Geschäftsführung konkrete Ansprechpartner. Diese berichten in regelmäßigen Reportings. Gibt es Auffälligkeiten oder Probleme, können diese in die Geschäftsplanung einbezogen und konkrete Strategien erarbeitet werden. Durch die Aufstellung eines eigenen Teams, erhält die IT-Security einen erhöhten Stellenwert im Unternehmen, was angesichts der steigenden Zahlen von Cyberangriffen einen positiven Einfluss haben wird.

Auch Auditoren freuen sich über die Vorteile eines SOC. Durch die hohe Transparenz und die Protokollierung von sicherheitsrelevanten Ereignissen, lassen sich die nötigen Daten unkompliziert weitergeben. Die Auditoren haben Experten als konkrete Ansprechpartner und gesetzliche Vorgaben lassen sich einfacher erfüllen.

Herausforderungen

Die Arten von Angriffen, die auf die IT eines Unternehmens gefahren werden, sind vielseitig. Oft werden Daten gestohlen, aber auch gefährliche Codes injiziert, um die IT nachhaltig zu schädigen. Vielen Unternehmen fehlt das Know-how, um die oft sehr komplexe IT-Landschaft zu steuern und Sicherheitsprobleme zu erkennen sowie anschließend richtig zu behandeln. Auch im Bereich der SAP-Systeme fehlt IT-Mitarbeitern in Unternehmen das Know-how, wenn sie nicht tagtäglich mit SAP arbeiten. Die Unterscheidung, ob ein wirklicher Incident vorliegt oder nur ein geringfügiges Problem wie eine falsche Passworteingabe, kann hierbei schwieriger werden als angenommen. Um Meldungen oder Tickets richtig zu bearbeiten müssen die Mitarbeiter die passenden Transaktionen kennen.

Will man ein SAP-System in ein bestehendes SOC integrieren, müssen zudem die richtigen Schnittstellen und Konnektoren eingesetzt werden. Nur so können die Warnmeldungen und Hinweise auch in das SOC übertragen werden.

SOC als Managed Service für SAP

SAP-Systeme enthalten enorme Datenmengen mit geschäftskritischen Informationen. Neben Personaldaten sind Kontodaten, Finanzgeheimnisse, Kundendaten und vieles mehr in den verschiedenen SAP-Anwendungen enthalten. Daten, die für Hacker und Cyberkriminelle äußerst interessant sind. Diese Daten bilden eine große Angriffsfläche und benötigen einen besonderen Schutz. Die Art von Angriffen, die auf die IT eines Unternehmens gefahren werden, sind vielseitig. Oft werden Daten gestohlen, aber auch gefährliche Codes injiziert, um die IT nachhaltig zu schädigen.

Managed Services beschreiben Dienstleistungen, die ein IT-Provider für das Unternehmen übernimmt. Um das fehlende interne Know-how in Unternehmen aufzufangen, eignet sich das SOC als Managed Service. Unternehmen sparen sich dabei an Infrastruktur und Personalkosten. Durch Service Level Agreements können die Art und der Umfang der Reportings, die das Unternehmen erhält, vertraglich festgelegt werden. Müssen beispielsweise bestimmte Compliance-Vorgaben eingehalten werden, kann der Provider diese bewerkstelligen.

Als Managed Services kann das SOC das SAP-System des Unternehmens vor Angriffen schützen.

Kann man kein internes Know-how für den Schutz der SAP-Systeme bereitstellen, lohnt sich der Einsatz eines Security Operations Center als Managed Service. Unternehmen können so auf die Expertise von SAP-Spezialisten bauen und den Schutz der Systeme bequem outsourcen. Dabei beobachten die Dienstleister das SOC und melden Auffälligkeiten an das Unternehmen. Das kann sich wiederum der Sache annehmen, die Probleme auswerten und ggf. weitere rechtliche Schritte einleiten.

FAQ Security Operations Center (SOC)

Was ist ein SOC?

Ein Security Operations Center (SOC) dient als zentrale Anlaufstelle für alle Security Incidents innerhalb eines Unternehmens. Auf mehreren Monitoren wird der aktuelle Status angezeigt und Alarmierungen aufgezeigt, sollte es zu Unregelmäßigkeiten oder Angriffen kommen.

Was sind Funktionen eines SOC?

Zu den Funktionen gehören die aktive Überwachung aller angeschlossener Systeme sowie die zugehörige Analyse der aktuellen Sicherheitslage. Kommt es zu Incidents oder Schwachstellen müssen diese schnellstmöglich beseitigt und reportet werden. Dazu müssen die passenden Algorithmen dafür sorgen, dass Unregelmäßigkeiten erkannt werden.

Welche Tools sind möglich?

Grundsätzlich können alle Tools im Bereich Security, Identity- und Access Management oder auch SIEM im SOC überwacht werden. Diese können auch Non-SAP sein.

Welchen Vorteil habe ich durch das SOC?

Ist ein SOC optimal an das Unternehmen angepasst, können Security Incidents proaktiv erkannt und behoben werden, bevor schlimmere Schäden entstehen.  Zudem lassen sich durch die hohe Transparenz und die Protokollierung von sicherheitsrelevanten Ereignissen die nötigen Daten unkompliziert weitergeben.

SAP Support als managed Services – wie funktioniert das eigentlich?

SAP EarlyWatch Alert

SAP ETD

SAP SOC

SAP SOC


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:

Kommentar verfassen


Unsere Top-Downloads

Kontaktieren Sie uns!
Renate Burg Kundenservice