Klaus Lussnig ist Geschäftsführer von Industrial Automation Österreich und Spezialist für Software-Lösungen rund um die Industrial Security von Produktionsanlagen im Zeitalter der Digitalisierung.

Blog

Internes oder externes SOC?

Wie eine IT/OT SOC für kritische Infrastrukturen und vernetzte Produktionsanlagen aufgesetzt werden soll.

Industrial Security Industrial Automation Blog

Bei einigen Unternehmen erfolgen gerade Anpassungen im Betriebsteam. Durch die Anforderungen der Vernetzung wird das Thema Cybersecurity zur täglichen Aufgabe. Es wird die Technik und Organisation ergänzt, um schnell zu erkennen, was die IT-Ursachen eines Vorfalles sind. Denn immer öfter sind es nicht defekte Automatisierungsgeräte! Vermehrt sind es die kontinuierlichen Änderungen durch Vernetzung der eingesetzten IT-Systeme und Cyberangriffe. 

Hier handelt es sich um typische Aufgaben eines Security Operation Center (SOC), zu denen zählen:

1. Aufnahme und Dokumentation aller OT und IT Assets.
2. Monitoring dieser Assets um potenzielle Sicherheitsvorfälle frühzeitig zu identifizieren und zu klassifizieren (Detect).
3. Organisatorische und technische Reaktion (Response) auf Störungen und Angriffe mit fortlaufender Information über den Status.
4. Bedrohungs- und Risikoanalysen: fortlaufende Beurteilungen des sich ausweitenden Bedrohungsumfeldes.

White Paper zum Thema

Ein SOC übernimmt somit Aufgaben, die innerhalb der Organisation angesiedelt sind und Fähigkeiten im Team des Betriebs erfordern. 

TEAM = Toll Ein Anderer Macht‘s

Welche Vorteile gäbe es aber, wenn die Aufgaben eines SOC extern vergeben werden? Es sind die speziellen Kompetenzen der Mitarbeiter und es erfordert dezidierte Systeme zur Unterstützung. Die Vorteile bestehen darin, dass SOC Spezialisten stets den aktuellen Wissensstand haben und so den Anforderungen des sich ausweitenden Bedrohungsumfeldes gerecht werden können. Das kann natürlich die Kosten im Falle eine Sicherheitsvorfalls reduzieren. Weiters wird oft die Verfügbarkeit bei einem Vorfall als ein wesentlicher Vorteil dargestellt. Doch Cyberangriffen wie durch WannaCry, NotPetya oder aktuell LockerGoga ist es egal, ob ALLE Kunden oder nur einige des SOC Dienstleisters zeitgleich infiziert werden. Eine Frage stellt sich dabei: Wem zuerst helfen?

Betriebseigenes Monitoring statt kontinuierliches Bezahlen

Die meiste Zeit verbringen die SOC Experten mit dem Monitoring der Systeme, ohne dass ein Vorfall eintritt. Wie bei einer Versicherung macht sich die kontinuierliche Bezahlung nur im Fall der Fälle bezahlt. Könnte man nicht diese Leerlaufzeit besser nutzen und die Erkennung durch das Standard-Betriebspersonal gewährleisten? Hat ein betriebseigenes Monitoring nämlich eine Anomalie oder einen Angriff erkannt, würde das hausinterne Security-Team längst tätig werden. Dadurch ließen sich, durch diese Art von Vorsorge, die Kosten für die Versicherungspolizze – sprich des externen SOC – erheblich reduzieren.