Am Aufbau eines Security Operations Center kommt heute kein Unternehmen mehr vorbei. MXDR (Managed Extended Detection and Response)-Provider sind aus Kapazitäts- und Kostengründen oft die bessere Wahl. Damit die Zusammenarbeit zwischen dem unternehmenseigenen IT-Security-Team und dem Service Provider klappt, sind laut Ontinue fünf Schritte notwendig.
Im Falle eines Falles ist Schnelligkeit wirklich alles, denn die aktuelle Gefahrenlage im Cyberspace duldet keine Verzögerungen. Hat sich ein Hacker Zugang zu einem System verschafft, können MXDR-Provider nicht erst in der Zentrale ihres Kunden anrufen, um den richtigen Ansprechpartner zu finden. Daher ist es wichtig, dass die Zusammenarbeit zwischen externem Dienstleister und internem IT-Security-Team eine gesunde Struktur hat.
Sie herzustellen, bedarf einer Vorbereitung, die sich in fünf Schritte aufteilen lässt.
1. Interne Prozesse, Workflows und Zuständigkeiten klären
Damit die Zusammenarbeit mit einem externen Dienstleister funktioniert, darf intern kein Chaos herrschen: Unternehmen, die ein Security Operations Center (SOC) mit Hilfe eines MXDR-Providers aufbauen wollen, müssen daher zunächst einmal ihre eigenen Prozesse und vor allem Zuständigkeiten im Bedarfsfall klären.
Es ist ratsam, diese Workflow- und Responsibility-Inventur mit einer gründlichen Analyse und dem Mapping der gesamten IT-Infrastruktur zu verbinden, sodass keine weißen Flecken auf der Cybersecurity-Landkarte verbleiben und das Onboarding des Dienstleisters so effizient wie möglich abläuft.
2. Eskalationsmatrix erstellen
Der zweite Schritt zur erfolgreichen Partnerschaft mit einem MXDR-Anbieter ist, eine Eskalationsmatrix anzufertigen. Sie bietet eine intuitive Übersicht für alle Beteiligten, wer bei welcher Art und Schwere einer Bedrohung wie zu kontaktieren ist. Dafür ist es enorm wichtig, die jeweiligen Zuständigkeiten und Befugnisse zu klären.
Die Eskalationsmatrix enthält neben den Namen der Zuständigen auch wichtige Daten wie Telefonnummern und E-Mail-Adressen. Wichtig: Ein einzelner Ansprechpartner genügt in keinem Fall, denn Urlaube und Krankheitszeiten müssen ebenfalls abgedeckt sein – Hacker halten sich nämlich nicht an Öffnungszeiten und nehmen keine Rücksicht auf Ausfälle.
3. Rules of Engagement festlegen
Die Rules of Engagement legen fest, in welchen Fällen der MXDR-Dienstleister oder die unternehmenseigenen IT-Security-Mitarbeitenden tätig werden und welche Maßnahmen sie – je nach Vorfall – ergreifen sollten. Typischerweise haben externe Service-Provider das Recht, auf Clients und Servern Antivirus-Scans zu starten, gegebenenfalls dürfen sie sogar einzelne Endpunkte isolieren.
Bei Angriffen auf essenzielle Teile der IT-Infrastruktur ist es üblich, dass eine enge Zusammenarbeit und Abstimmung mit dem internen Verantwortlichen stattfindet, sodass geschäftskritische Systeme keinen Schaden davontragen.
4. Playbooks anpassen und implementieren
MXDR-Dienstleister stellen ihren Partnern normalerweise sogenannte Playbooks zur Verfügung, in denen sie bewährte Reaktionen auf typische Cyberattacken skizzieren. Die Anleitungen dienen dem internen IT-Security-Team als Guideline, müssen aber an die individuellen Gegebenheiten und Eigenschaften der IT-Infrastruktur angepasst werden.
Manche Organisationen, gerade KRITIS-Unternehmen, haben Auskunftspflichten, die die Erstellung von Schadensberichten erforderlich machen können. In diesem Fall müssen Playbooks diesen Task berücksichtigen und dürfen nicht nur die Maßnahmen zur Bekämpfung einer akuten Gefahrensituation enthalten. Eine sehr enge Zusammenarbeit zwischen Dienstleister und unternehmenseigenem Team ist bei der Abstimmung und Anpassung enorm wichtig.
5. Regelmäßig nachjustieren
Unternehmen befinden sich im steten Wandel – eine gewisse Personalfluktuation und ständige Anpassungen der IT-Infrastruktur sind völlig normal und gehören zur Tagesordnung. Daher ist es essenziell, dass das aus internen und externen Spezialisten bestehende SOC gemeinsam die Eskalationsmatrix, Rules of Engagement und Playbooks regelmäßig überprüft und bei Bedarf aktualisiert oder anpasst.
„Ein Sprichwort der IT-Welt besagt: You can’t protect what you don’t know“, erklärt Jochen Koehler, VP EMEA Sales bei Ontinue. „Die Zusammenarbeit in einem Security Operations Center setzt daher auf Seiten des internen IT-Security-Teams die Etablierung klarer Strukturen, Zuständigkeiten und Prozesse voraus. Auf Seiten des externen Dienstleisters muss eine gewisse Flexibilität und Lernbereitschaft vorhanden sein, wenn es um die individuelle Anpassung an die kundenspezifischen Gegebenheiten geht. Sind diese Voraussetzungen erfüllt, steht einer fruchtbaren Zusammenarbeit nichts im Wege.“