Ein Security Operations Center (kurz SOC, auf Deutsch: Sicherheits-Operationszentrum) ist ein Team aus Sicherheitsexpert:innen, das Firmennetze und andere IT-Strukturen vor potenziellen Cybergefahren schützt.
Bei konkreten Verdachtsfällen leitet das SOC Abwehrmaßnahmen ein und stellt sicher, dass diese organisationsweit umgesetzt werden. So schützt es die unternehmenseigenen IT-Strukturen und damit auch Ihre Unternehmensdaten. Manche Firmen bezeichnen ihr SOC deshalb auch als ISOC, wobei das „I“ für „Information“ steht.
Insbesondere Netzbetreiber und andere große Unternehmen setzen für ihre IT-Infrastruktur auf das Nebeneinander dreier Abteilungen oder Stabsstellen. Dies sind:
Eine oder mehrere IT-Abteilung(en), die innerhalb der Firma alle IT-Netze, Server, Arbeitsplatzcomputer und Cloudspeicher planen, einrichten und managen
Ein Netzmanagement (auch Network Operations Center, kurz: NOC), das das Firmennetz im Regelbetrieb überwacht, managt und bei Bedarf skaliert
Ein SOC, das außerhalb des operativen Tagesgeschäftes arbeitet und speziell für die Cybersicherheit verantwortlich ist
Im Idealfall sind die hier genannten Abteilungen oder Stabsstellen organisatorisch und prozessual miteinander gut vernetzt.
Die grundlegenden Aufgaben eines SOC sind:
das dauerhafte Monitoring der gesamten IT-Infrastruktur einer Organisation im Hinblick auf mögliche Gefahren von innen und außen
die regelmäßige Information der betreffenden Abteilungen über aktuelle Gefahren und neue Angriffstypen („Cybersecurity Forecast“, auf Deutsch etwa: Gefahrenvorhersage)
die Beratung der Unternehmens-IT unter Sicherheitsgesichtspunkten, insbesondere bei Neuanschaffungen von Hardware und Software oder bei der Auslagerung von IT-Funktionen an externe Dienstleister
die vollständige Dokumentation von Cybervorfällen und Cybergefahren sowie die Berichterstattung hierzu an den Chief Information Officer (auf Deutsch: IT-Vorstand) des Unternehmens
Ein SOC muss sich regelmäßig auf neue Cybergefahren einstellen. Beispielsweise nutzen Cyberkriminelle zunehmend künstliche Intelligenz, wenn sie Schadprogramme entwickeln. Das stellt auch SOC vor bisher unbekannte Herausforderungen. SOC auslagern und so Synergien nutzen
Der Betrieb eines SOC ist mit hohen Kosten verbunden. Zahlreiche Spezialist:innen für die einzelnen Fachgebiete und Cybergefahren müssen dort rund um die Uhr verfügbar sein. Die Aufgaben und Stellenprofile unterscheiden sich deutlich von denen einer klassischen IT-Abteilung und sind am Arbeitsmarkt sehr gesucht.
Mittelständische Unternehmen lagern ihr SOC daher oft aus und vergeben diese Aufgabe an einen Spezialdienstleister. Der betreibt dann in seinem eigenen SOC parallel mehrere virtualisierte SOC für seine unterschiedlichen Kunden.
Durch dieseeffiziente Nutzung von Personal und Ressourcen sind zum Teil erhebliche Einsparungen möglich. Gleichzeitig profitieren die Kunden vom hohen Kompetenzniveau eines großen SOC.
Denn je größer ein SOC ist, desto mehr Spezialist:innen für bestimmte Angriffsvektoren hat es rund um die Uhr zur Verfügung. Diese Spezialist:innen erkennen beispielsweise Zero-Day-Exploits frühzeitig – und können dieses Wissen über neue Cyberattacken dann umgehend zum Schutz anderer Kunden bei ähnlich aufgebauten Angriffen einsetzen. Ein Nachteil eines solchen ausgelagerten SOC können längere Reaktionszeiten bei sehr großen Cyberangriffen sein, wenn diese zeitgleich mehrere Kunden desselben Dienstleisters betreffen.
Außerdem muss jeder Firmenkunde Administrationsrechte und andere vertrauliche Informationen an seinen SOC-Dienstleister weitergeben, damit dieser das Unternehmensnetz überhaupt sinnvoll überwachen kann.
Hierdurch könnte der Dienstleister zugleich auch Zugriff auf schützenswerte Unternehmensdaten erhalten, etwa Adressdateien oder Personalakten. Alle Prozesse zwischen Kunden und SOC-Betreiber müssen daher auch mit Blick auf die Datenschutz-Grundverordnung sehr genau geplant und abgestimmt werden. Sehr große Unternehmen und Behörden entscheiden sich aus den oben genannten Gründen oft für ein eigenes SOC.