{"id":14679,"date":"2025-08-26T04:03:54","date_gmt":"2025-08-26T04:03:54","guid":{"rendered":"https:\/\/newestek.com\/?p=14679"},"modified":"2025-08-26T04:03:54","modified_gmt":"2025-08-26T04:03:54","slug":"warum-das-soc-in-der-krise-steckt-und-wie-sie-das-andern","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14679","title":{"rendered":"Warum das SOC in der Krise steckt \u2013 und wie Sie das \u00e4ndern"},"content":{"rendered":"<div>\n<div id=\"remove_no_follow\">\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<section class=\"wp-block-bigbite-multi-title\">\n<div class=\"container\"><\/div>\n<\/section>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<figure class=\"wp-block-image size-large\"><figcaption class=\"wp-element-caption\">\n<p>669226129<\/p>\n<\/figcaption><\/figure>\n<p class=\"imageCredit\">Gorodenkoff | shutterstock.com<\/p>\n<\/div>\n<p>Trotz Millioneninvestitionen in <a href=\"https:\/\/www.csoonline.com\/article\/3495240\/security-operations-services-das-mussen-soc-analysten-uber-ihr-unternehmen-wissen.html\" target=\"_blank\">Security Operations Center<\/a> (SOCs) und modernsten Detection-Technologien sind Breaches weiterhin an der <a href=\"https:\/\/www.csoonline.com\/article\/3577944\/diese-unternehmen-hats-schon-erwischt.html\" target=\"_blank\">Tagesordnung<\/a> \u2013 Tendenz weiterhin steigend.<\/p>\n<p>In meiner Erfahrung reagiert nur etwa jedes zwanzigste SOC effektiv auf die ausgekl\u00fcgelten identit\u00e4tsbasierten Angriffe, mit denen wir heute konfrontiert sind. Das ist allerdings kein technologisches, sondern ein Paradigmenproblem. Und es ist an der Zeit, zu erkennen, dass unser derzeitiger Ansatz f\u00fcr den SOC-Betrieb gescheitert ist.<\/p>\n<h2 class=\"wp-block-heading\" id=\"7-grunde-fur-die-soc-krise\">7 Gr\u00fcnde f\u00fcr die SOC-Krise<\/h2>\n<p>Bevor wir uns mit der L\u00f6sung des SOC-Problems befassen, werfen wir zun\u00e4chst einen Blick auf die zentralen Herausforderungen, die die SOC-Krise erst geschaffen haben.<\/p>\n<p><strong>1. KI-gest\u00fctztes Social Engineering<\/strong><\/p>\n<p>Um die jahrelangen Bem\u00fchungen um den Aufbau ausgefeilter Abwehrmechanismen im Bereich <a href=\"https:\/\/www.computerwoche.de\/article\/2763035\/was-sie-ueber-iam-wissen-muessen.html\" target=\"_blank\">Identity &amp; Access Management<\/a> auszuhebeln, bringen Cyberkriminelle die Nutzer mittlerweile vornehmlich dazu, selbst ihre Zugangsdaten zu \u201cliefern\u201d. Zutr\u00e4glich ist ihnen dabei auch und insbesondere <a href=\"https:\/\/www.csoonline.com\/article\/3852622\/ki-als-turbo-fur-kriminelle.html\" target=\"_blank\">k\u00fcnstliche Intelligenz<\/a> (KI). Sie erm\u00f6glicht es, Social-Engineering-Kampagnen besonders \u00fcberzeugend zu gestalten, um die einzige Komponente auszunutzen, die sich nicht patchen l\u00e4sst: der Mensch. \u00a0<\/p>\n<p>Bei einem unserer Kunden haben wir k\u00fcrzlich fast 100 Konten vorgefunden, die immer noch mit Abwandlungen des Nicht-Passworts ABC123 \u201cabgesichert\u201d waren. Wenn Daten im <a href=\"https:\/\/www.csoonline.com\/article\/4025015\/darkweb-das-verkannte-security-tool.html\" target=\"_blank\">Dark Web<\/a> verf\u00fcgbar sind und KI dabei helfen kann, pers\u00f6nliche Informationen f\u00fcr gezielte Angriffe zu sammeln, werden solche Schwachstellen zu riesigen Sicherheitsl\u00fccken. Um diesen Angriffsvektoren entgegenzuwirken, braucht es v\u00f6llig neue Ans\u00e4tze.<\/p>\n<p><strong>2. Die Identity-Security-llusion<\/strong><\/p>\n<p>MFA-Token, Single-Sign-On-Systeme und <a href=\"https:\/\/www.csoonline.com\/article\/3495114\/identity-access-managementdie-9-besten-iam-tools.html\" target=\"_blank\">Identity-Management-Plattformen<\/a> vermitteln ein Gef\u00fchl der Sicherheit. Bis ein Angreifer die Identit\u00e4t eines legitimen Benutzers annimmt \u2013 dann sind all diese teuren Kontrollmechanismen wirkungslos. Neben Social Engineering kommen auch Browser-basierte Angriffe und Cookie-Diebstahl als m\u00f6gliche Angriffsvektoren in Betracht, um Authentifizierungs-Kontrollen <a href=\"https:\/\/www.csoonline.com\/article\/4039582\/fido-ausgehebelt.html\" target=\"_blank\">zu umgehen<\/a>.<\/p>\n<p>Das Problem liegt darin, dass heutige Systeme zwar Konten \u00fcberpr\u00fcfen, aber nicht, ob die Person die sich einloggt, tats\u00e4chlich die richtige ist. Gelangen Angreifer an die Zugangsdaten von Benutzern, k\u00f6nnen sie sich zudem meist \u00fcber l\u00e4ngere Zeitr\u00e4ume im Netzwerk einnisten und im Rahmen der normalen Parameter agieren. Nehmen wir an, ein Benutzer meldet sich normalerweise um 9 Uhr morgens an, liest die Nachrichten, \u00fcberpr\u00fcft seine E-Mails und folgt von Montag bis Mittwoch einem vorhersehbaren Muster. Am Donnerstag greift er pl\u00f6tzlich auf die SaaS-Anwendung eines <a href=\"https:\/\/www.csoonline.com\/article\/3492170\/third-party-risk-management-5-wege-mit-drittanbietern-unterzugehen.html\" target=\"_blank\">Drittanbieters<\/a> zu, die er noch nie zuvor verwendet hat. Diese Abweichung sollte eigentlich sofort auffallen, aber in den meisten SOCs fehlen die dazu n\u00f6tigen Behavioral-Analytics-L\u00f6sungen.<\/p>\n<p><strong>3. Tools ohne Integration<\/strong><\/p>\n<p>Wenn Sie heute ein beliebiges SOC in einem Unternehmen betreten, finden Sie im Regelfall eine \u00fcberw\u00e4ltigende Auswahl an Tools vor. Etwa:<\/p>\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.csoonline.com\/article\/3495294\/schwachstellen-managen-die-6-besten-vulnerability-management-tools.html\" target=\"_blank\">Vulnerability Scanner<\/a>,<\/li>\n<li><a href=\"https:\/\/www.csoonline.com\/article\/3616110\/edr-software-ein-kaufratgeber.html\" target=\"_blank\">EDR-Plattformen<\/a>,<\/li>\n<li><a href=\"https:\/\/www.csoonline.com\/article\/3835828\/siem-kaufratgeber.html\" target=\"_blank\">SIEM-Systeme<\/a> oder<\/li>\n<li>KI-gest\u00fctzte <a href=\"https:\/\/www.csoonline.com\/article\/3812255\/5-teure-threat-intelligence-fehler.html\" target=\"_blank\">Threat-Detection-L\u00f6sungen<\/a>.<\/li>\n<\/ul>\n<p>Die grundlegende Sicherheitshygiene l\u00e4sst jedoch trotz dieses technologischen Arsenals oft zu w\u00fcnschen \u00fcbrig. In meiner Laufbahn habe ich Unternehmen erlebt, die auf Millionen-Budgets f\u00fcr Security sitzen \u2013 und dennoch weder \u00fcber grundlegende Asset-Register, noch einheitliche Passwortrichtlinien oder eine umfassende <a href=\"https:\/\/www.computerwoche.de\/article\/2798957\/problemloeser-virtual-patching.html\" target=\"_blank\">Patch-Management-Strategie<\/a> verf\u00fcgen. Um es klar zu sagen: S\u00e4mtliche Scanning Tools und Monitoring-Plattformen n\u00fctzen nichts, wenn das Verst\u00e4ndnis dar\u00fcber fehlt, was eigentlich gesch\u00fctzt werden soll.<\/p>\n<p>Das Problem wurzelt entsprechend auch nicht in den Tools selbst, sondern vielmehr in einem Deployment-Flickenteppich-Ansatz, mangelnder Integration zwischen Systemen sowie fehlender Feinabstimmung und Optimierung.<\/p>\n<p><strong>4. Konfigurationsfehler<\/strong><\/p>\n<p>Noch besorgniserregender ist, dass traditionelle Vulnerability-Management-Programme <a href=\"https:\/\/www.csoonline.com\/article\/3495316\/cybersecurity-fallstricke-die-10-haufigsten-fehlkonfigurationen.html\" target=\"_blank\">Konfigurationsfehler<\/a> regelm\u00e4\u00dfig v\u00f6llig au\u00dfer Acht lassen. Denn diese sind insbesondere in gro\u00dfen Unternehmen mit organischem Systemwachstum, unterschiedlichen System-Ownern, Legacy-Umgebungen und Schatten-SaaS-Integrationen unvermeidlich.<\/p>\n<p>Identity-Systeme, die dom\u00e4nen\u00fcbergreifend inkonsistent konfiguriert sind oder Cloud Services mit zu freiz\u00fcgigen Zugriffsrichtlinien erm\u00f6glichen Angreifern oft, sich lateral durch das Netzwerk zu bewegen. Dennoch verf\u00fcgen die meisten Unternehmen nicht \u00fcber einen systematischen Ansatz, um diese architektonischen Schwachstellen zu identifizieren und zu beheben.<\/p>\n<p><strong>5. Das SOC-Modell<\/strong><\/p>\n<p>Das ideale SOC w\u00e4re <strong>intern<\/strong> ausgerichtet und mit Mitarbeitern besetzt, die den Kontext, die Systeme und die Gesch\u00e4ftsprozesse Ihres Unternehmens verstehen. Diese Menschen wissen, welche Assets kritisch sind, kennen die normalen Verhaltensmuster der Benutzer und k\u00f6nnen fundierte Entscheidungen \u00fcber die Risikotoleranz treffen. Interne SOCs sind jedoch mit enormen Kapazit\u00e4tsengp\u00e4ssen konfrontiert. Vor allem haben Unternehmen Schwierigkeiten damit, qualifizierte Analysten f\u00fcr den 24\/7-Betrieb zu finden. Finanzielle Zw\u00e4nge machen es zudem schwierig, die Gemeinkosten zu rechtfertigen \u2013 insbesondere wenn Anbieter eine gleichwertige Abdeckung zu niedrigeren Kosten versprechen.<\/p>\n<p><strong>Externe<\/strong> SOC-Anbieter bieten Rund-um-die-Uhr-Monitoring und spezialisiertes Fachwissen, aber ihnen fehlt der organisatorische Kontext, der es erst m\u00f6glich, Vorf\u00e4lle effektiv zu erkennen: Sie verstehen Ihre Gesch\u00e4ftsprozesse nicht, k\u00f6nnen nicht ohne Weiteres zwischen legitimen und verd\u00e4chtigen Aktivit\u00e4ten unterscheiden und verf\u00fcgen oft nicht \u00fcber die Befugnisse, entschlossen zu handeln. Dabei spielt auch eine Rolle, wie sich die Beziehung zwischen Anbieter- und Anwenderunternehmen gestaltet. Ich habe schon erlebt, dass externe SOCs Bedrohungen zwar erkennen, dann aber aufgrund von Haftungsbedenken oder unklaren Autorisierungsma\u00dfnahmen nicht handeln.<\/p>\n<p><strong>Hybride<\/strong> SOCs versuchen, internen Kontext mit externer Abdeckung zu verbinden. Das schafft jedoch h\u00e4ufig neue Probleme in Bezug auf Verantwortlichkeiten und Koordination. Wenn die Verantwortung zwischen internen und externen Teams verteilt ist, k\u00f6nnen wichtige Entscheidungen verz\u00f6gert werden, die eine umfassende Kompromittierung verhindern.<\/p>\n<p><strong>6. Die Detection &amp; Response-Falle<\/strong><\/p>\n<p>K\u00fcrzlich gelang es uns im Rahmen einer gemeinsamen <a href=\"https:\/\/www.csoonline.com\/article\/3494368\/der-kaufratgeber-fur-breach-attack-simulation-tools.html\" target=\"_blank\">Simulations\u00fcbung<\/a> mit einem Kunden, innerhalb von drei Stunden nach der ersten Kompromittierung Zugriff auf den Dom\u00e4nenadministrator zu erlangen. Das SOC des Unternehmens \u2013 ein renommierter externer Anbieter \u2013 identifizierte w\u00e4hrend dieses gesamten Zeitraums lediglich zwei geringf\u00fcgige Indikatoren f\u00fcr eine Kompromittierung. Als wir ihnen mitteilten, dass ihr Kunde vollst\u00e4ndig kompromittiert wurde, war die \u00dcberraschung gro\u00df.<\/p>\n<p>Dieses Szenario verdeutlicht die Kluft zwischen unseren vermeintlichen Detection-F\u00e4higkeiten und der Praxis. Die Angriffszeiten werden <a href=\"https:\/\/www.csoonline.com\/article\/3841865\/what-cybersecurity-teams-need-to-know-about-shrinking-attack-timeframes.html\" target=\"_blank\">immer k\u00fcrzer<\/a>, die Angriffspfade effizienter und die Verweildauer l\u00e4nger. Parallel ben\u00f6tigen viele SOCs Stunden oder sogar Tage, um Warnmeldungen zu untersuchen, die eigentlich sofortiges Handeln erfordern w\u00fcrden.<\/p>\n<p>Diese Herausforderung ist sowohl psychologischer als auch organisatorischer Natur: SOCs haben regelm\u00e4\u00dfig \u201cAngst\u201d davor, falschen Alarm zu schlagen, schlie\u00dflich untergr\u00e4bt das das Vertrauen und kann in <a href=\"https:\/\/www.csoonline.com\/article\/3493521\/false-positives-reduzieren-5-tipps-fur-weniger-security-alerts.html\" target=\"_blank\">Alert Fatigue<\/a> m\u00fcnden. Diese Vorsicht f\u00fchrt allerdings regelm\u00e4\u00dfig dazu, dass subtile Fr\u00fchindikatoren \u00fcbersehen werden, die eine vollst\u00e4ndige Kompromittierung verhindern k\u00f6nnten. Zu empfehlen sind deshalb L\u00f6sungen zur Verhaltensanalyse, die \u00fcber einzelne Endpunkte hinausgehen und Muster \u00fcber die gesamte Unternehmensumgebung hinweg erfassen.<\/p>\n<p><strong>7. Kapazit\u00e4ts-Bottlenecks<\/strong><\/p>\n<p>Ich habe beobachtet, wie Sicherheitsverantwortliche durch Lieferantenmanagement, Vertragsverl\u00e4ngerungen und Reporting-Pflichten an den Vorstand so <a href=\"https:\/\/www.csoonline.com\/article\/3495241\/manager-burnout-wenn-cisos-ausbrennen.html\" target=\"_blank\">\u00fcberlastet sind<\/a>, dass sie keine Zeit mehr haben, sich um grundlegende Sicherheitsprobleme zu k\u00fcmmern. Ist das der Fall, stellt der zeitliche Aufwand f\u00fcr Vendor Management und Co. eine massive, versteckte Kostenposition dar, die Unternehmen selten in ihren Security-Budgets ber\u00fccksichtigen.<\/p>\n<p>Diesbez\u00fcglich ist es an der Zeit, unseren Ansatz f\u00fcr den SOC-Betrieb und Security Monitoring im Allgemeinen grundlegend zu ver\u00e4ndern. Security ist nicht durch h\u00f6here Budgets, zus\u00e4tzliche Tools oder mehr Personal \u201cerkaufbar\u201d.<\/p>\n<h2 class=\"wp-block-heading\" id=\"5-tipps-zur-soc-krisenbewaltigung\">5 Tipps zur SOC-Krisenbew\u00e4ltigung<\/h2>\n<p>Wir m\u00fcssen anerkennen, dass unsere aktuellen SOC-Modelle unzureichend sind, und diese von Grund auf neu aufbauen. Die Frage ist nicht, ob Ihr Unternehmen mit einem ausgekl\u00fcgelten identit\u00e4tsbasierten Angriff konfrontiert wird, sondern ob Ihr SOC darauf vorbereitet ist. Erfolgreiche Unternehmen betrachten ihr SOC als eine lebendige F\u00e4higkeit, die st\u00e4ndiger Schulung und Weiterentwicklung bedarf, und nicht als einen statischen Dienst, den man auslagern und anschlie\u00dfend vergessen kann.<\/p>\n<p>Diese f\u00fcnf Tipps k\u00f6nnen Sicherheitsentscheider und CISOs mit Blick auf die SOC-Krisenbew\u00e4ltigung voranbringen:<\/p>\n<ol class=\"wp-block-list\">\n<li><strong>Zuerst die Grundlagen: <\/strong>Bevor Sie in fortschrittliche Threat Detection investieren, sollten Sie sicherstellen, dass grundlegende Sicherheitsma\u00dfnahmen vorhanden sind. Asset Management, einheitliche Passwortrichtlinien, ein umfassendes Patch Management und angemessene Zugriffskontrollen bilden diese Grundlage, auf der sich dann zielf\u00fchrend aufbauen l\u00e4sst.<\/li>\n<li><strong>Testing in den Betrieb integrieren: <\/strong>Jeder <a href=\"https:\/\/www.csoonline.com\/article\/3493969\/pentester-tools-damit-hacken-die-profis.html\" target=\"_blank\">Penetrationstest<\/a> sollte eine Schulungsma\u00dfnahme f\u00fcr Ihr SOC sein. Bei jedem Red-Team-Einsatz sollte getestet werden, ob Ihre Erkennungs- und Reaktionsverfahren tats\u00e4chlich funktionieren. Machen Sie Sicherheitstests zu einer gemeinsamen Aufgabe, die die operativen F\u00e4higkeiten verbessert.<\/li>\n<li><strong>Continuous Validation implementieren: <\/strong>Lassen Sie j\u00e4hrliche Sicherheits-Assessments hinter sich und validieren Sie Ihre Sicherheitskontrollen kontinuierlich. Testen Sie die Erkennungsf\u00e4higkeiten Ihres SOC regelm\u00e4\u00dfig mit kleinen, realistischen Szenarien. Schaffen Sie eine <a href=\"https:\/\/www.csoonline.com\/article\/3628246\/so-entgiften-sie-ihre-sicherheitskultur.html\" target=\"_blank\">Kultur<\/a>, in der es mehr z\u00e4hlt, von simulierten Angriffen zu lernen, als auf vermeintlich perfekte Performance-Metriken zu starren. \u00a0<\/li>\n<li><strong>Kontextbezogene Detection-F\u00e4higkeiten aufbauen: <\/strong>Investieren Sie in Behavioral Analytics. Die Benutzeraktivit\u00e4ten zu \u00fcberwachen, sollte mehr sein, als nur einfache Schwellenwertwarnungen. Nur so lassen sich subtile Abweichungen erkennen, die auf eine Kompromittierung hindeuten.<\/li>\n<li><strong>Reaktionsbefugnisse definieren: <\/strong>Legen Sie genau fest, welche Handlungsbefugnisse Ihr SOC hat \u2013 egal ob internes oder externes Modell. Dokumentieren Sie diese Befugnisse klar und stellen Sie sicher, dass alle Beteiligten verstehen, wann und wie sie ausge\u00fcbt werden k\u00f6nnen.<\/li>\n<\/ol>\n<p>(fm)<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>669226129 Gorodenkoff | shutterstock.com Trotz Millioneninvestitionen in Security Operations Center (SOCs) und modernsten Detection-Technologien sind Breaches weiterhin an der Tagesordnung \u2013 Tendenz weiterhin steigend. In meiner Erfahrung reagiert nur etwa jedes zwanzigste SOC effektiv auf die ausgekl\u00fcgelten identit\u00e4tsbasierten Angriffe, mit denen wir heute konfrontiert sind. Das ist allerdings kein technologisches, sondern ein Paradigmenproblem. Und es ist an der Zeit, zu erkennen, dass unser derzeitiger Ansatz&#8230; <\/p>\n<p class=\"more\"><a class=\"more-link\" href=\"https:\/\/newestek.com\/?p=14679\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14679","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14679","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14679"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/14679\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14679"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14679"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14679"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}