Wie Unternehmen teure Fehler beim Security Operations Center vermeiden

Build or buy? Sollten Unternehmen selbst ein Security Operations Center (SOC) bauen oder besser für entsprechende Services zahlen? Dieser Frage gingen SwissCybersecurity.net und Arctic Wolf am 26. Juni 2025 in einem gemeinsamen Webinar auf den Grund. Eine One-Size-Fits-All-Lösung gibt es nämlich nicht: Beide Optionen haben ihre Vorteile und beide bergen auch Risiken - vor allem wenn man Aufwand, Kosten oder Ressourcen falsch einschätzt.

Bevor Felix Guggenheim, Senior Sales Engineer bei Arctic Wolf, aufzeigte, wie Unternehmen die für sie richtige Lösung finden, schilderte er zunächst die aktuelle Bedrohungslage. Die präsentierten Zahlen zeichnen ein beunruhigendes Bild: Die durch Cyberkriminalität verursachten Schäden nehmen jährlich zu - und das Wachstum beschleunigt sich. 2023 stieg der Betrag im Vergleich zum Vorjahr um 21 Prozent auf 12,5 Milliarden US-Dollar. 2024 wuchs der Verlust sogar um 33 Prozent auf 16,6 Milliarden Dollar. 

Felix Guggenheim, Senior Sales Engineer bei Arctic Wolf. (Source: zVg)

In derselben Zeit legten die Security-Ausgaben (183 Milliarden Dollar) um 13 Prozent zu. "Was heisst das nun?", fragte Guggenheim und lieferte sogleich eine Antwort nach: "Wir investieren zwar einerseits immer mehr Geld in die Cyberabwehr, diese Ausgaben scheinen aber nicht effektiv zu sein." Der Schaden durch Cybercrime wächst schneller als die Investitionen in die Sicherheit.

Wohin fliesst dieses Geld? Viele Unternehmen würden laufend neue Sicherheitstools beschaffen - "natürlich haben sie sich um das Thema Passwörter gekümmert; natürlich haben sie Perimeter-Firewalls im Einsatz; natürlich nutzen sie Endpoint-Security-Lösungen", sagte Guggenheim. Aber die Unternehmen würden jeweils nur Lösungen für punktuelle Probleme erwerben. Daher hinken sie der Security hinterher, statt sie proaktiv zu betreiben. Das Problem liegt laut Guggenheim nicht bei der Beschaffung neuer Tools, sondern beim Betrieb all dieser Technologien. "Das heisst, in den Prozessen, im eigentlichen Alltag, wie ich mit diesen Technologien und der Situation insgesamt umgehe", präzisierte Guggenheim. Genau hier hapere es oft: beim Thema Security Operations. 

"Und wo wird Security Operations betrieben? Normalerweise in einem SOC, womit wir beim eigentlichen Thema sind", scherzte Guggenheim. Ein SOC ist nämlich mehr als nur eine Alarmanlage, es soll auch insgesamt zeigen, wie man die Gesamtsicherheit verbessern kann.

Das gehört zu einem SOC

Frameworks wie der ITK-Minimalstandard geben einen Überblick, was alles zu einem SOC gehört. Dieser Minimalstandard bleibt gemäss Guggenheim aber auf einem sehr generischen Level; er empfiehlt daher, auch das BSI-Gesetz anzuschauen. Dieses gehe einen Schritt weiter und gebe auch eine konkrete Umsetzungshilfe. Gemäss dem BSI-Gesetz muss ein SOC im Wesentlichen drei Bereiche abdecken: Protokollierung, Detektion und Reaktion.

Aufgrund der konkreteren Vorgaben können Unternehmen also nicht einfach etwas annehmen und sich darauf berufen, dass sie es nunmal so verstanden haben. "Ich kann also nicht einfach irgendeinen schwindeligen Open-Source-Server nehmen und wenn die Festplatte voll ist, wird alles wieder gelöscht", sagte Guggenheim. Unternehmen müssen die Daten filtern, normalisieren, aggregieren, korrelieren und verfügbar halten. Eigentlich handle es sich hier also bereits um ein SIEM-System (Security Information and Event Management).

Das sind die Bestandteile eines SOC. (Source: Screenshot Webinar)

Gemäss Guggenheim geht beim Aufbau eines SOC oft vergessen, dass ein SOC mehr ist als nur Screens bzw. ein Dashboard - ein funktionierendes SOC ist eine Kombination aus Menschen, Tools und Prozessen. Wie wichtig diese SOC-Analysten seien, werde oft unterschätzt. Das Problem manifestiert sich dann in der bekannten (und aus Sicht des Risikomanagements berüchtigten) "One-Man-Show": "Das macht bei uns der Patrick", heisst es dann - ein IT-Mitarbeiter soll nebenbei auch noch die Sicherheitswerkzeuge bedienen. Dies funktioniert nicht, da der IT-Betrieb meist höhere Priorität hat als noch nicht eingetretene Sicherheitsrisiken. 

Das gilt es bei einem SOC zu vermeiden

Ein vollständiges SOC erfordert also ein SIEM, Threat Intelligence, Sicherheitstools, qualifizierte Analysten, standardisierte Playbooks, Case Management und Incident-Response-Pläne. Wer ein SOC aufbaut, stösst gemäss Guggenheim möglicherweise auf die folgenden typischen Probleme:

1. Finden, Trainieren und Halten der SOC-Analysten
2. SOC-Betrieb nur von Montag bis Freitag - Schichten vs. Pikett
3. Fehlende Befugnisse und Beratungsgewalt des SOC
4. Unterschätzung des Aufwands, das SOC in den vorhandenen Stack und die Prozesse zu integrieren.
5. Unterschätzung des Aufwands für die Feinabstimmung der Analyse (verheddern in Details)
6. Mangel an Threat-Intelligence-Informationen
7. Nur auf Vorfälle ausgerichtete Arbeit, ohne Folgemassnahmen und proaktive Sicherheitsverbesserungen
8. Konzentration auf punktuelle Lösungen und Vertrauen in das Marketing der Security-Hersteller

"Es gibt noch sehr viele weitere mögliche Probleme", sagte Guggenheim, bevor er auf seinen Slides scherzhaft als Problem Nummer 999 aufführte: Der Glaube, dass Machine Learning und KI alle oben genannten Probleme lösen könne. 

"Security ist ein 24/7-Betrieb; dafür braucht es mindestens acht bis neun Personen, um drei Schichten abdecken zu können", rechnete Guggenheim vor. Nur so könne man krankheits- oder ferienbedingte Ausfälle abfedern. Trotz grosser Versprechen vom Marketing löse KI dieses Problem nicht. Guggenheim warnte daher vor überzogenen Erwartungen an die Technologie. Machine Learning helfe zwar bei der Effizienz, könne aber getäuscht werden und liefere nicht immer sinnvolle Empfehlungen. KI eigne sich vielmehr als Hilfsmittel für menschliche Analysten, nicht als deren Ersatz.

KI kann SOC-Analysten unterstützen, aber sie nicht ersetzen, sagt Arctic Wolf. (Source: Screenshot Webinar)

Cloud Act, Open Source und Economy of Scale

"Wie kann ich sehr viele dieser Probleme einfach umgehen?", fragte Guggenheim rhetorisch. "Man kann sich das Ganze beispielsweise als Service beziehen. Denn alle diese Probleme sind schon gelöst." Unternehmen, die nicht bereit sind, die notwendigen Ressourcen aufzubringen, oder keine erfahrenen Fachkräfte finden, empfiehlt Guggenheim einen externen Service. Diese seien in der Regel sehr schnell bereit und "finanziell sehr, sehr attraktiv".  Denn die Kunden profitieren hier vom Economy of Scale beim Hersteller: Einmal gebaut, wird so ein Service bei vielen Kunden ausgerollt, was den Kosten- und Ressourcenaufwand optimiert. 

Arctic Wolf bietet ebenfalls entsprechende Dienstleistungen an. "In aller Kürze gesagt: Wir bieten eine Plattform, welche die ganzen Technologien miteinander verbindet. Das heisst, wir können hier sehr schnell die unterschiedlichen Log-Quellen anbinden, die der Kunde meistens auch schon hat." Die Plattform diene als Ausgangslage für alle weiteren Services wie etwa Monitoring, tiefergehende Schwachstellenanalysen, Forensik und Verhandlungsführung - "denn eine hundertprozentige Sicherheit werde man auch mit einem SOC-Betrieb niemals erreichen können", sagte Guggenheim.

In der Frage-und-Antwort-Runde, die auf Guggenheims Präsentation folgte, fragte ein Webinar-Teilnehmer nach den Implikationen des US-Cloud-Acts. Als US-amerikanisches Unternehmen auch Arctic Wolf dem "Clarifying Lawful Overseas Use of Data Act", dem Gesetz, das es US-Behörden erlaubt, auf Daten zuzugreifen, die von US-Cloud-Anbietern im Ausland gespeichert werden. "Das heisst, man muss sich natürlich Gedanken machen, welche Daten über das SOC laufen und wie gross das Risiko ist, dass die amerikanischen Strafverfolgungsbehörden tatsächlich ein Interesse an diesen Daten haben", sagte Guggenheim.

Das Service-Angebot von Arctic Wolf. (Source: Screenshot Webinar)

Log-Daten seien aber typischerweise "nichts wirklich Spannendes", sagte er. Benutzernamen, E-Mail-Adressen, IP-Adressen, Hostnamen. "Jede Firma, die sich beispielsweise für Microsoft 365 entschlossen hat und Exchange Online oder Sharepoint Online betreibt, hat bereits weitaus sensiblere Daten an ein amerikanisches Unternehmen geschickt." Für diese Firmen dürfte es ein No-Brainer sein, etwa Arctic Wolf mit Datenhaltung in Frankfurt zu beauftragen.

Im Rahmen der Diskussion ging Guggenheim auch auf das Thema Open Source ein. So gibt es etwa bereits Threat Intelligence, die man von Bundesbehörden beziehen kann. "Das Problem hier ist die Standardisierung", sagte Guggenheim, Es stellten sich Fragen "wie kriege ich das geordnet in ein Detektionssystem?" oder "was ist auch alles wesentlich für mich?". "Wenn man alles einfliessen lässt, besteht die Gefahr, von so vielen Alerts überflutet zu werden, dass man sie gar nicht abarbeiten kann - obwohl sie gar nicht relevant sind", gibt Guggenheim zu bedenken Der wahre - und grosse - Aufwand liegt hier also nicht in der Beschaffung der Informationen, sondern darin, diese Daten zu pflegen und aus der Fülle die richtigen herauszulesen.

Hier geht es zur vollständigen Videoaufzeichnung des Webinars.

Der Kenncode lautet: @G?8%+Ed

Und die Slides der Präsentation können Sie hier als PDF herunterladen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.