Kategorien
Cloud et Cybersécurité (DE)

Ausgelagertes SOC: Eigenes Security Operations Center aufbauen oder SOC-as-a-Service wählen?

Auteur n°16 – Martin

Von Martin Moraz
Ansichten: 19

Zusammenfassung – Angesichts der Flut an Alerts und der 24/7-Detektion erfordert ein internes SOC hohe Personalkosten, Schulungen sowie Nacht-/Wochenendsupport und führt zu Alarmmüdigkeit, während SOC-as-a-Service externe Expertise, Skalierbarkeit und definierte SLAs liefert. Das hybride Modell vereint Governance, maßgeschneiderte Playbooks und ausgelagerte L1/L2-Überwachung für optimale Kontrolle und Reaktionsfähigkeit. Lösung: Reifegrad-Audit, Festlegung des SOC-Modells (intern, ausgelagert oder hybrid), Auswahl von SIEM/EDR/XDR, Automatisierung der Workflows und kontinuierliches Monitoring.

Das Security Operations Center (SOC) ist eine strategische Einrichtung, die sich der Überwachung, Analyse und Reaktion auf IT-Bedrohungen widmet.

Mehr als ein Werkzeug ist es ein spezialisiertes Team, das Prozesse definiert, Playbooks erstellt und Plattformen wie SIEM, EDR oder XDR nutzt, um Vorfälle rund um die Uhr zu erkennen, zu bewerten und einzudämmen.

Angesichts der zunehmenden Alarmflut und der geforderten Reaktionsfähigkeit stellt sich die Frage: Ein internes SOC aufbauen oder auf ein SOC-as-a-Service setzen, das von einem externen Anbieter betrieben wird? Diese Entscheidung ist weit mehr als ein bloßer interner vs. externer Vergleich, sondern erfordert eine sorgfältige Analyse der verfügbaren personellen, finanziellen und organisatorischen Ressourcen. Für viele KMU, mittelständische Unternehmen oder MSP erweist sich die Auslagerung oft als die pragmatischste und effektivste Lösung.

Was ist ein SOC und warum es für die Cybersicherheit unverzichtbar ist

Ein Security Operations Center ist ein Zusammenspiel aus Team, Prozessen und Werkzeugen, das der Erkennung, Untersuchung und Reaktion auf Sicherheitsvorfälle dient. Zu seinen Aufgaben gehören die Überwachung rund um die Uhr, die Analyse von Alarmen, die Reduzierung von Fehlalarmen und die Koordination der Behebung.

Zusammensetzung und Funktionen eines SOC

Ein SOC vereint Analysten der Stufen 1 bis 3, klar definierte Prozesse und spezialisierte Tools. Level-1-Analysten übernehmen das initiale Triage der Alarme, während höhere Level die weiterführende Untersuchung durchführen und die Reaktion koordinieren. Threat-Intelligence-Spezialisten ergänzen die Meldungen mit Daten zu den Taktiken, Techniken und Verfahren (TTP) der Angreifer.

Zu den zentralen Prozessen gehört die Definition von Playbooks für jeden Vorfallstyp, die Priorisierung kritischer Assets und die teilweise Automatisierung mittels SOAR-Lösungen. Diese Playbooks beschreiben detailliert Aktionssequenzen, Eskalationsschwellen und verantwortliche Rollen, um ein standardisiertes und schnelles Vorgehen im Ernstfall zu gewährleisten.

Die Orchestrierung dieser Aktivitäten hilft, die Alert Fatigue zu reduzieren, indem die Erkennungsregeln kontinuierlich verfeinert werden. Ein ausgereiftes SOC passt seine Korrelationsregeln an, testet neue Signaturen und misst die Entwicklung seiner Leistungskennzahlen, um die Abdeckung und Zuverlässigkeit der Überwachung zu verbessern.

SOC-Reife: Prozesse, Playbooks und Kennzahlen

Ein reifes SOC begnügt sich nicht damit, Alarme zu empfangen, sondern dokumentiert jeden Vorfall und erfasst Kennzahlen wie die durchschnittliche Zeit bis zur Erkennung (MTTD) und die durchschnittliche Reaktionszeit (MTTR). Diese Metriken speisen eine kontinuierliche Verbesserungsschleife für Prozesse und Regeln.

Die Playbooks werden regelmäßig weiterentwickelt, um Erfahrungen einzubeziehen, neue Bedrohungen zu berücksichtigen und die Verfahren an regulatorische Anforderungen anzupassen. Jede Aktualisierung wird vor der Produktivsetzung getestet und simuliert.

Die Reduzierung von Fehlalarmen und die Verbesserung der Erkennungsrate stehen im Mittelpunkt dieses Reifungsprozesses. Ein ausgereiftes SOC segmentiert Alarme nach der Kritikalität der Assets, versieht jedes Ereignis mit Kontext und liefert klare Handlungsempfehlungen für die Behebung.

Die Bedeutung von SIEM und Log-Retention

Das SIEM bildet das technische Herzstück des SOC, indem es Logströme von Endpunkten, Firewalls, Servern, Cloud-Anwendungen und IAM-Lösungen zentralisiert. Es korreliert diese Ereignisse, um verdächtige Verhaltensweisen aufzudecken, die einzeln nicht erkennbar wären.

Die Log-Retention über mehrere Monate bis hin zu Jahren, je nach Branche, ist essenziell für Post-Incident-Untersuchungen, die Rekonstruktion des Angriffsablaufs und die Erfüllung von Compliance-Anforderungen (ISO 27001, NIS2, PCI DSS …).

Diese langzeitige Speicherung verursacht Volumen- und Archivierungskosten, die gegen das verfügbare Budget und den tatsächlichen Mehrwert für die Abwehr abzuwägen sind. Zu geringe Retention schränkt die Langzeituntersuchung ein, zu viele Logs treiben die Kosten in die Höhe, ohne die Erkennung wesentlich zu verbessern.

Beispiel: Ein mittelgroßes Schweizer Finanzdienstleistungsunternehmen stellte fest, dass eine auf 30 Tage begrenzte Log-Retention es unmöglich machte, die Quelle eines ransomwarebedingten Eindringens nachzuverfolgen. Durch eine Verlängerung der Aufbewahrungsfrist im SIEM auf 180 Tage konnte es die ursprüngliche Schwachstelle identifizieren und einen Patch für sein CRM-System implementieren – ein direkter Beleg für die Bedeutung der Retention-Strategie für die Untersuchungskapazität.

Internes SOC: Wann ein hausinternes Sicherheitszentrum aufgebaut werden sollte

Ein internes SOC bietet umfassende Kontrolle und tiefgehendes Fachwissen. Sein Aufbau erfordert jedoch spezialisierte Analysten, eine vollständige Infrastruktur und eine strikte 24/7-Organisation.

Vorteile eines internen SOC

Ein internes SOC gewährt vollständige Transparenz über die Tools und Daten des Unternehmens. Es ermöglicht, die Erkennungsregeln präzise an die Geschäftsprozesse anzupassen und strategische Assets je nach Unternehmenspriorität zu priorisieren.

Die Nähe zu den IT-Teams erleichtert die Zusammenarbeit und Eskalation, insbesondere bei der schnellen Aktualisierung von Signaturen oder der Anpassung von EDR-/Firewall-Einstellungen. Diese Flexibilität führt zu höherer Reaktionsgeschwindigkeit in kritischen Situationen.

Schließlich stärkt ein internes SOC die Governance und Compliance, indem Sicherheit direkt in die Unternehmenspolitik integriert wird. Die Steuerungskomitees der IT-Leitung/CISO erhalten maßgeschneiderte Dashboards für eine kontinuierliche und transparente Überwachung.

Kosten und personelle Herausforderungen

Der Aufbau eines internen SOC beschränkt sich nicht auf den Kauf eines SIEM oder die Ernennung eines Sicherheitsverantwortlichen. Es gilt, Analysten zu rekrutieren und auszubilden, Bereitschaftsdienste für Nacht- und Wochenenddienst zu regeln und Vertretungspläne für Ausfälle zu erstellen.

Fluktuation und Burnout-Risiko sind angesichts des ständigen Drucks und der Bewältigung eines hohen Alarmsaufkommens real. Alert Fatigue entsteht, wenn Analysten eine Vielzahl von Fehlalarmen bearbeiten müssen, was die Qualität der Untersuchung schwerwiegender Vorfälle beeinträchtigt.

Personalkosten, fortlaufende Weiterbildung und die Verwaltung von Bereitschaftsdiensten können die Budgetprognosen rasch überschreiten. Für ein KMU oder ein mittelständisches Unternehmen werden diese personellen und organisatorischen Aufwendungen schnell unverhältnismäßig.

Beispiel: Ein schweizerisches Industrie-KMU versuchte, mit zwei Analysten und einem Open-Source-SIEM ein internes SOC aufzubauen. Bereits nach weniger als sechs Monaten war das Team durch einen 150 %igen Alarmanstieg nach der Einführung einer neuen EDR-Lösung überfordert. Ausfallzeiten aufgrund von Erschöpfung und zusätzliche Ausbildungskosten führten schließlich dazu, dass das Unternehmen das Projekt auf Eis legte und zu einem gemanagten SOC-Angebot wechselte.

Betriebliche Risiken und Alert Fatigue

Ohne einen klaren Prozess zur Reduzierung von Fehlalarmen leitet ein internes SOC häufig eine Flut nicht priorisierter Alarme an die IT-Teams weiter. Diese neigen dazu, bestimmte Benachrichtigungen zu ignorieren, wodurch das Risiko steigt, einen echten Angriff zu übersehen.

Fehlendes Threat Hunting und kontextuelle Anreicherung von Ereignissen schränken die Fähigkeit ein, schwache Signale zu erkennen. Ein anfängerhaftes SOC, das sich auf grundlegende Erkennung beschränkt, bleibt anfällig gegenüber fortgeschrittenen und leisen Bedrohungen.

Regelmäßige Updates des SIEM und der Playbooks, interne Audits und Incident-Simulationen sind ohne dedizierte Ressourcen schwer aufrechtzuerhalten. Das operationelle Risiko bleibt hoch, und das Unternehmen kann zu spät feststellen, dass ein kritischer Bereich unzureichend abgedeckt war.

Edana: Strategischer Digitalpartner in der Schweiz

Wir begleiten Unternehmen und Organisationen bei ihrer digitalen Transformation.

Ausgelagertes SOC und MDR: Ein Modell für KMU, mittelständische Unternehmen und MSP

Ein SOC-as-a-Service bietet 24/7-Überwachung, Alarm-Triage, Investigation und Reporting, ohne massive interne Investitionen. Es basiert auf gemanagten Tools und externen Analysten, um eine flexible und skalierbare SOC-Kapazität bereitzustellen.

Funktionen und Abdeckung eines SOC-as-a-Service

Das SOC-as-a-Service stellt eine von Experten gehostete und überwachte SIEM/EDR/XDR-Plattform bereit, die eine durchgehende Überwachung der gesamten Infrastruktur gewährleistet. Alarme werden in Echtzeit triagiert und gemäß mit dem Unternehmen abgestimmter Playbooks eskaliert.

Zu diesem Service gehören häufig proaktives Threat Hunting, initiale forensische Analysen, Eskalationsmanagement und regelmäßiges Reporting mit personalisierten Dashboards. Einige Angebote umfassen auch gemanagte Remediation, zum Beispiel die Isolation eines Endpoints oder die Deaktivierung eines kompromittierten Kontos.

Das monatliche Abonnement deckt die Überwachung, die Anwendungspflege des SIEM, Updates der Erkennungsregeln und den Zugriff auf ein Team zertifizierter Analysten ab. Der Anbieter übernimmt die Bereitschaftsdienst-rotationen, wodurch die Notwendigkeit interner Rekrutierung entfällt.

MDR vs. SOC-as-a-Service: Nuancen und Vergleichspunkte

Das MDR (Managed Detection and Response) konzentriert sich in der Regel auf Endpunkte über EDR/XDR und stützt sich auf das Verhaltensanalyse von Arbeitsstationen und Servern. Der Umfang kann auf Endpunkt- und Identitätssignale beschränkt erscheinen.

Das SOC-as-a-Service deckt einen breiteren Bereich ab, indem es SIEM, Cloud-Logs, Firewalls und Business-Anwendungen korreliert. Es umfasst auch Log-Retention, Compliance, einheitliche Dashboards und vollständige SOC-Prozesse von L1 bis L3.

In der Praxis überschneiden sich die Angebote häufig. Die Entscheidung sollte auf den tatsächlichen Triage-Fähigkeiten, dem Threat Hunting, der 24/7-Abdeckung, dem Automatisierungsgrad und der Qualität der Analysten basieren, nicht auf Marketingakronymen.

Anwendungsfälle für MSP und wiederkehrende Vorteile

Für MSP ist es unrealistisch, für jeden Kunden ein internes SOC bereitzustellen. Das SOC-as-a-Service ermöglicht es, eine einheitliche Plattform zu betreiben und jedem Kunden eine 24/7-Überwachung zu bieten, ohne ein Heer an Spezialisten einstellen zu müssen.

Der MSP kann ein Paketangebot für gemanagte Sicherheit entwickeln, das wiederkehrende Umsätze generiert und den steigenden Compliance-Anforderungen gerecht wird. Gemeinsames Reporting für Kunden erleichtert die Kommunikation von Ergebnissen und Cybersicherheits-KPIs.

Ein Schweizer MSP, der IT-Dienstleistungen für rund zwanzig KMU anbietet, hat ein SOC-as-a-Service in sein Portfolio aufgenommen. Dank dieses Angebots hat er seine wiederkehrenden Umsätze innerhalb von 12 Monaten verdoppelt und die Erkennungsrate kritischer Vorfälle um 40 % gesteigert. Dieser Fall zeigt, wie ein ausgelagertes SOC für einen Dienstleister zum Wachstumstreiber werden kann.

Auswahl und hybride Modelle: Die Balance zwischen Kontrolle und Expertise finden

Die Bewertung eines externen SOC erfordert den Vergleich tatsächlicher Fähigkeiten und die klare Definition von SLA und Verantwortlichkeiten. Ein hybrides Modell ermöglicht es, interne Governance und externe Abdeckung zu kombinieren, um Ressourcen und Resilienz zu optimieren.

Bewertungskriterien für SOC-Anbieter

Die erste Anforderung betrifft die durchgehende 24/7-Abdeckung ohne Unterbrechungen und die Reaktionsfähigkeit beim Triage kritischer Alarme. Es empfiehlt sich, KPIs zur effektiven Steuerung eines ausgelagerten Projekts zu verfolgen, insbesondere die durchschnittliche Eingangsbestätigungszeit und die in den SLA dokumentierte Eskalationsdauer.

Ein hybrides Modell aufbauen: Governance und Verantwortlichkeiten

In einem hybriden Modell behält das Unternehmen die strategische Governance, definiert prioritäre Playbooks und behält bestimmte Schlüsselrollen intern. Es lagert die L1/L2-Überwachung, das Threat Hunting und das Triage an externe Experten aus.

Der Vertrag legt die Verantwortlichkeiten fest: Wer entscheidet über die Isolation eines Endpoints, wer genehmigt die Löschung eines Kontos, wer informiert die Geschäftsführung und den Cyber-Versicherer. Diese Regelungen verhindern Grauzonen im Falle eines schwerwiegenden Vorfalls.

Die Zusammenarbeit erfolgt in Form regelmäßiger Incident-Review-Sitzungen, der Aktualisierung der Playbooks und der Bewertung der MTTD-/MTTR-Metriken, um den Umfang und die Prozesse kontinuierlich anzupassen.

Integration, Automatisierung und Incident-Preparedness

Ein leistungsfähiges hybrides SOC basiert auf maßgeschneiderten Integrationen zwischen SIEM, EDR, IAM-Lösungen und Business-Tools. Skripte oder Workflows automatisieren die Ticket-Erstellung, Benachrichtigungen über Teams/Slack und Containment-Maßnahmen.

Das Runbook beschreibt kritische Szenarien (Ransomware, Phishing, Cloud-Compromise, Exfiltration) inklusive Verantwortlichkeiten, Eskalationsschwellen und Kommunikationswegen. Diese Vorbereitung verkürzt die Reaktionszeiten und minimiert operative Auswirkungen.

KI-gestützt spielt eine Rolle bei der Anreicherung von Alarmen, der Erkennung von Anomalien und der Empfehlung von Maßnahmen, aber die menschliche Hand bleibt unersetzlich, um Produktionsunterbrechungen abzuwägen und Krisen im Geschäftskontext zu managen.

Beispiel: Ein Schweizer Gesundheitsdienstleister hat ein hybrides Modell zum Schutz seiner Krankenhausinfrastruktur eingeführt. Die internen Teams definieren die klinischen Prioritäten und überlassen die 24/7-Überwachung einem externen SOC. Diese Konfiguration hat die durchschnittliche Erkennungszeit um 60 % gesenkt und gleichzeitig die interne medizinische Governance gewahrt, was die Vorteile eines Mixed-Modells unterstreicht.

Bauen Sie eine pragmatische und zugleich resiliente Cyberabwehr auf

Die Einführung eines SOC – ob intern, ausgelagert oder hybrid – beruht auf einer strategischen Abwägung zwischen Kontrolle, Kosten und Expertise. Ein internes SOC eignet sich für reife und regulierte Strukturen mit dedizierten Ressourcen, während ein SOC-as-a-Service KMU, mittelständischen Unternehmen und MSP eine schnelle und skalierbare Abdeckung bietet. Das hybride Modell erlaubt es, die fachliche Governance zu bewahren und gleichzeitig von einer 24/7-Expertisenüberwachung zu profitieren.

Unsere Edana-Experten begleiten Sie bei der Auditierung Ihrer Cybersicherheitsreife, der Auswahl der optimalen SOC-Lösung – intern, ausgelagert oder hybrid –, der Tool-Auswahl (SIEM, EDR/XDR) und der Automatisierung Ihrer Workflows. Gemeinsam entwickeln wir eine agile, skalierbare und Ihren Performance- und Budgetanforderungen entsprechende Verteidigungsstrategie.

Besprechen Sie Ihre Herausforderungen mit einem Edana-Experten

Von Martin

Enterprise Architect

VERÖFFENTLICHT VON

Martin Moraz

Avatar de David Mendes

Martin ist Senior Enterprise-Architekt. Er entwirft robuste und skalierbare Technologie-Architekturen für Ihre Business-Software, SaaS-Lösungen, mobile Anwendungen, Websites und digitalen Ökosysteme. Als Experte für IT-Strategie und Systemintegration sorgt er für technische Konsistenz im Einklang mit Ihren Geschäftszielen.

FAQ

Häufig gestellte Fragen zum ausgelagerten SOC

Wann ist der Aufbau eines internen SOC anstelle eines SOC-as-a-Service sinnvoll?

Ein internes SOC ist angezeigt, wenn Ihre Organisation bereits über zertifizierte Analysten verfügt, strengen regulatorischen Anforderungen unterliegt oder die vollständige Datenkontrolle benötigt. So können Sie die Erkennungsregeln exakt an Ihre Geschäftsprozesse anpassen und die Playbooks direkt steuern. Allerdings erfordert dies Bereitschaftsdienste rund um die Uhr, eine dedizierte Infrastruktur und ein erhebliches Personalbudget.

Welche Risiken birgt Alert-Fatigue in einem internen SOC?

Ohne automatisierte Sortierprozesse und kontinuierliche Optimierung kann das hohe Volumen an Fehlalarmen die Analysten erschöpfen. Alert-Fatigue führt zu sinkender Aufmerksamkeit, längeren Reaktionszeiten und der Gefahr, echte Angriffe zu übersehen. Die Integration von SOAR-Lösungen und klare Playbooks sind entscheidend, um dieses Phänomen einzudämmen.

Wie lässt sich die Reife eines SOC vor der Auslagerung bewerten?

Messen Sie die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR), die Aktualisierungshäufigkeit der Playbooks sowie die Fehlalarmrate. Überprüfen Sie die Log-Abdeckung und die Threat-Hunting-Fähigkeiten. Ein ausgereiftes SOC dokumentiert Vorfälle, führt Simulationen durch und verfeinert kontinuierlich die Korrelationsregeln.

Welche Kriterien sollten bei der Auswahl eines SOC-as-a-Service-Anbieters berücksichtigt werden?

Prüfen Sie die durchgehende 24/7-Abdeckung, die Schnelligkeit des Triagings und die vereinbarten Eskalations-SLAs. Stellen Sie sicher, dass der Anbieter über Zertifizierungen (z. B. ISO 27001) verfügt, vollständigen API-Zugriff auf Ihre Tools bietet und in den Vorfallberichten maximale Transparenz gewährleistet. Ebenfalls wichtig sind die Qualifikation des Analystenteams und die Integrationsfähigkeit.

Wie integriert man ein hybrides Modell aus internem und externem SOC?

In einem hybriden Modell behält das Unternehmen die strategische Governance und aktualisiert die Playbooks, während ein externes SOC L1/L2-Überwachung, Threat Hunting und Triaging übernimmt. Definieren Sie klar Verantwortlichkeiten und Eskalationsschwellen und führen Sie regelmäßige Reviews durch, um die Prozesse kontinuierlich anzupassen.

Welche Metriken sollte man zur Messung der Performance eines SOC verfolgen?

Neben MTTD und MTTR sollten Sie die Fehlalarmrate, den Anteil dokumentierter Vorfälle, die Log-Abdeckung und die Anzahl durchgeführter Simulationstests beobachten. Diese Kennzahlen speisen den kontinuierlichen Verbesserungsprozess und ermöglichen die Anpassung der Alarmprioritäten und Korrelationsregeln.

Welche Auswirkungen hat die Log-Aufbewahrung für ein SOC?

Die langfristige Speicherung von Logs erleichtert die Nachuntersuchung von Vorfällen und die Einhaltung von Standards (NIS2, PCI DSS usw.). Sie erhöht jedoch auch die Kosten für Speicher und Archivierung. Es gilt, zwischen Budget und Mehrwert abzuwägen, die Aufbewahrung auf kritische Assets zu fokussieren und Open-Source-Lösungen zur Volumenoptimierung zu nutzen.

Wie organisiert man den 24/7-Betrieb ohne SOC-as-a-Service?

Sie können Bereitschaftsdienste mit SOAR-Tools automatisieren und die Last auf mehrere Teams verteilen, doch das erfordert ein Schulungskonzept, strukturierte Dienstpläne und eine Vertretungsstrategie. Der Personalaufwand und die Schichtplanung sind komplex und können bei begrenzten internen Kapazitäten die Wettbewerbsfähigkeit beeinträchtigen.

KONTAKTIERE UNS

Sprechen Wir Über Sie

Ein paar Zeilen genügen, um ein Gespräch zu beginnen! Schreiben Sie uns und einer unserer Spezialisten wird sich innerhalb von 24 Stunden bei Ihnen melden.

ABONNIEREN SIE

Verpassen Sie nicht die Tipps unserer Strategen

Erhalten Sie unsere Einsichten, die neuesten digitalen Strategien und Best Practices in den Bereichen Marketing, Wachstum, Innovation, Technologie und Branding.

Wir verwandeln Ihre Herausforderungen in Chancen

Mit Sitz in Genf entwickelt Edana maßgeschneiderte digitale Lösungen für Unternehmen und Organisationen, die ihre Wettbewerbsfähigkeit steigern möchten.

Wir verbinden Strategie, Beratung und technologische Exzellenz, um die Geschäftsprozesse Ihres Unternehmens, das Kundenerlebnis und Ihre Leistungsfähigkeit zu transformieren.

Sprechen wir über Ihre strategischen Herausforderungen.

022 596 73 70

Agence Digitale Edana sur LinkedInAgence Digitale Edana sur InstagramAgence Digitale Edana sur Facebook