Was ist SecOps?

SecOps, die Kurzbezeichnung für „Security Operations“, ist ein Teilgebiet der Cybersicherheit, das sich mit den Prozessen und Strategien zur Verteidigung von Daten, Assets und Infrastruktur gegen bekannte und unbekannte Gegner beschäftigt. Das IT-Security-Team im Unternehmen arbeitet eng mit anderen Teams zusammen, um Risiken für die Cybersicherheit zu reduzieren, die Betriebseffizienz zu erhöhen und die Reaktionszeiten bei Angriffen und sicherheitsrelevanten Vorfällen zu verkürzen.

Die Hauptaufgabe eines jeden SecOps-Teams besteht darin, die digitalen und physischen Assets des Unternehmens zu schützen und für die digitale Sicherheit seiner Beschäftigten zu sorgen. Dazu identifiziert, bewertet und bekämpft es Sicherheitsbedrohungen und ‑schwachstellen, setzt die Einhaltung der Sicherheitsrichtlinien durch, reagiert schnell auf Sicherheitsverletzungen und kümmert sich nach einem Vorfall um die schnelle Wiederherstellung der Systeme und der Arbeitsfähigkeit. Innerhalb dieses Rahmens besteht das Hauptziel solcher Programme in der Regel darin, Daten zu schützen. Darunter kann alles von sicherheitsrelevanten Daten über geistiges Eigentum bis hin zu Kundeninformationen fallen.

SecOps ist das Ergebnis einer langfristigen Zusammenarbeit zwischen zwei eigentlich getrennt arbeitenden Teams: dem Security-Team und dem Operations-Teams. Diese Zusammenarbeit beginnt auf einem sehr grundlegenden Niveau: Die Teams müssen dieselben integrierten Tools und Plattformen nutzen, um einen zentralisierten Blick auf die Angriffsfläche zu erhalten, die das Unternehmen bietet.

Die Teams benötigen auch gemeinsame Prozesse, vor allem, was Incident Response, Security Governance, Richtlinienentwicklung und Planung anbelangt. Das sorgt dafür, dass sie das gemeinsame übergreifende Ziel – die Aufrechterhaltung einer sicheren IT-Umgebung – einheitlich angehen.

Ermöglicht wird dies durch die Durchführung von Cross-Training-Sessions, an denen Mitglieder aus beiden Teams teilnehmen, um die Rollen, Verantwortlichkeiten und Ziele des jeweils anderen besser kennenzulernen.

Es gibt einen natürlichen Konflikt zwischen den Sicherheitsteams, deren Ziel der Schutz lebenswichtiger IT-Systeme und Daten ist, und den IT-Operations-Teams, die möglichst schnell neue Anwendungen und Dienste bereitstellen möchten. SecOps versucht, organisatorische und kulturelle Schranken zu überwinden und ineffiziente Abläufe und Konflikte zu reduzieren, indem es Sicherheitsbelange in IT-Prozesse integriert. Dank SecOps wird die Verantwortung für die Reduzierung von Bedrohungen und Risiken verteilt, wobei die Operations- und die Security-Fachleute eng zusammenarbeiten, um Schwachstellen auszumerzen und gleichzeitig für geschäftliche Flexibilität zu sorgen.

Schon eine einzige Sicherheitsverletzung kann weitreichende Folgen haben und die Arbeit eines Unternehmens auf Jahre hinaus beeinträchtigen. Wo es an einer effektiven SecOps-Praxis mangelt, können sich Angreifer:innen als Silos konzipierte Abteilungen innerhalb eines Unternehmens zunutze machen, indem sie im allgemeinen Rauschen von überscharf gestellten Erkennungs-Tools, verborgen vor den Augen überlasteter Analyst:innen und unter Ausnutzung unzusammenhängender Bekämpfungs-Workflows Zugriff auf sicherheitsrelevante Daten erlangen.

In den letzten Jahren gab es zahllose Sicherheitsvorfälle in einer Vielzahl unschöner Ausprägungen, die Schlagzeilen machten, von weit verbreiteten Sicherheitsschwachstellen über Ransomware-Angriffe bis hin zu Einbrüchen in Server und Verstößen gegen die Datensicherheit. Eine ernsthafte Sicherheitsverletzung bei einem Unternehmen kann nicht nur sofortige Gebühren-, Straf- und Schadenersatzzahlungen an die Betroffenen, sondern auch auch hohe Kosten für die Wiederherstellung der Arbeitsfähigkeit und Verfügbarkeit des Systems und die Wiederherstellung des guten Rufs des Unternehmens sowie für den Ausgleich von Kosten im Zusammenhang mit der Unterbrechung des laufenden Betriebs, dem Verlust von immateriellem Eigentum und mehr verursachen. Eine effektive SecOps-Arbeit hilft Unternehmen, die Kosten und Unterbrechungen zu vermeiden, die ein Sicherheitsvorfall mit sich bringen würde.

1. Geringeres Risiko von Vorfällen mit hohem Schadenspotenzial

Durch die integrierte Herangehensweise von SecOps wird sichergestellt, dass Bedrohungen schnellstmöglich klein gehalten werden, um das Risiko zu senken. Außerdem standardisiert und rationalisiert sie wichtige SecOps-Aufgaben und sorgt so dafür, dass das SecOps-Team besser in der Lage ist, Sicherheitsbedrohungen schnell zu erkennen, zu untersuchen und zu bekämpfen. Dazu gehört die Nutzung von vordefinierten Erkennungsregeln und von Machine Learning, um mithilfe von KI-Informationen und Automatisierung Angriffe automatisch erkennen und so die Bekämpfung beschleunigen zu können.

2. Bessere betriebliche Effizienz

Die Förderung und Ermöglichung einer engen Zusammenarbeit zwischen dem Security- und dem IT-Operations-Team sorgt dafür, dass Prozesse rationalisiert werden können und dass die Kommunikation wesentlich vereinfacht wird. Dank der Automatisierung von Prozessen werden Workflows verbessert, was es den Teams erlaubt, die Reaktion auf Vorfälle („Incident Response“) zu beschleunigen und die Erkennung von Bedrohungen zu verbessern. Durch die bessere betriebliche Effizienz wird es einfacher, Ressourcen zuzuweisen und schneller fundierte Entscheidungen zu treffen. Dies wiederum reduziert die Notwendigkeit manueller Überwachung und Intervention während des Prozesses.

3. Weniger Ausfallzeiten und Betriebsunterbrechungen

Die schnelle Erkennung und Eindämmung potenzieller Bedrohungen durch SecOps reduziert die ungeplanten Ausfallzeiten und gewährleistet so eine höhere Business Continuity. Der unbesungene Held hier ist die betriebliche Effizienz – Unternehmen wird erst dann klar, was für ein Aufwand es ist, Ressourcen und den Mitarbeiterfokus umzuplanen und eine Alle-Mann-an-Deck-Stimmung zu erzeugen, um ein kaputtes System zu retten, wenn eine Sicherheitsverletzung festgestellt wurde. SecOps spielt bei der Gewährleistung unterbrechungsfreier Geschäftsabläufe eine unverzichtbare Rolle, sorgt sie doch dafür, dass Sicherheitsvorfälle seltener passieren und weniger schwere Folgen haben. Das wirkt sich unmittelbar auf die Erhaltung der Produktivität, der einlaufenden Erlöse und der Kundenzufriedenheit aus.

Zur Unterstützung von Sicherheitsteams beim effektiven Betrieb des Security Operations Center (SOC) gibt es eine Reihe spezieller SecOps-Tools.

Security Information and Event Management (SIEM)

Eine SIEM-Lösung ist für viele Mitglieder Ihres SecOps-Teams Dreh- und Angelpunkt ihrer Arbeit. Hier können die Teams Cyberangriffe erkennen und schnell auf sie reagieren. Dazu werden verschiedene Umgebungsdaten gesammelt und an einem zentralen Ort zusammengeführt, wo sie dann sowohl von Analyst:innen als auch von automatisierten Methoden analysiert werden. Über integrierte Workflows und Automatisierungen können anschließend entsprechende Maßnahmen eingeleitet werden. Durch die Integration generativer KI und die Fortschritte beim Machine Learning gab es in letzter Zeit auch bei den SIEM-Funktionen einen großen Sprung nach vorn, was die Migration von Legacy-Plattformen und die Anleitung von Analyst:innen durch Triage- und Incident-Response-Workflows weiter rationalisiert hat.

Threat Intelligence Platform (TIP)

Threat Intelligence Platform (TIP)-Lösungen helfen SecOps-Teams beim Aggregieren, Korrelieren und Analysieren von Bedrohungskontext aus den verschiedensten internen und externen Quellen und erlauben so einen breiten Blick auf die Bedrohungslandschaft. Dadurch werden die Teams in die Lage versetzt, potenzielle Bedrohungen und Angriffstaktiken besser vorauszusehen. Mit einer aktuellen Liste aller bestehenden und neu aufkommenden Bedrohungen weiß man genau, wonach man Ausschau halten muss und wie man Angriffe möglichst schnell erkennt. Diese Daten helfen Ihnen und Ihrem Team auch dabei, die aktuellen Bedrohungen zu verstehen, erkannte Schwachstellen zu priorisieren und vorausschauend die Verteidigungslinien zu stärken. Sie haben damit im Grunde Zugang zu einer sich ständig weiterentwickelnden Wissensdatenbank potenzieller Bedrohungen und neu aufkommender Gefahren.

Security Orchestration, Automation, and Response (SOAR)

SOAR-Plattformen kann man sich als auf Sicherheitsbelange ausgelegte Versionen von ITSM-Tools (IT Service Management) vorstellen, die SecOps-Workflows und ‑Automatisierungsfunktionen auf mehreren Ebenen bereitstellen, um die Reaktion auf Bedrohungen zu optimieren. Sie spielen eine Schlüsselrolle im SecOps-Bereich, denn mit ihrer Hilfe lassen sich Incident-Response-Workflows erstellen, Routineaufgaben automatisieren und die Reaktionszeiten verkürzen – und das für alle Security-Tools, die bei Ihnen im Einsatz sind.

SecOps, DevOps und DevSecOps sind alles Begriffe für Kombinationen von eigentlich getrennten Fachbereichen, Teams und Prozessen.

SecOps: Security- und IT-Operations-Teams arbeiten zusammen, um gemeinsame Sicherheitspraktiken einzuführen und zu verbessern, die Bedrohungserkennung aufzuwerten, Untersuchungen treffsicherer zu machen und die Reaktionszeiten zu verkürzen. Dies alles trägt dazu bei, die Security Posture zu verbessern.

DevOps: Hier liegt der Fokus darauf, das Operations-Team mit den für die Software-Entwicklung zuständigen Teams zusammenzubringen. Dies ist in der Regel auf eine fortlaufende Integration und die ständige Bereitstellung von Software, Aktualisierungen und Diensten sowie auf die Nutzung von Automatisierung zum schnellen und zuverlässigen Erstellen und Bereitstellen von Software ausgerichtet. Das Hauptziel besteht dabei in einer schnelleren und einfacheren Entwicklung von Software, ohne dass dies zulasten der Zuverlässigkeit geht.

DevSecOps: Dies ist eine Kombination der beiden oben genannten, bei der die Security-Praktiken in den DevOps-Workflow integriert sind. Das bedeutet, dass Sicherheitsbelange nicht erst im Nachhinein Berücksichtigung finden, sondern zu einer gemeinsamen Verantwortung direkt beim Entwicklungsprozess werden. Diese Herangehensweise verfolgt das Ziel, Schwachstellen so früh wie möglich im Entwicklungszyklus zu erkennen und zu beseitigen, um das Risiko gering zu halten und die allgemeine Sicherheit zu verbessern.

Das SecOps-Team besteht aus hochqualifizierten IT- und Sicherheitsfachleuten, die Bedrohungen überwachen und Risiken im Unternehmen bewerten. Es ist ein entscheidender Faktor für den erfolgreichen Betrieb des SOC (Security Operations Center), das die Menschen, Prozesse und Tools umfasst, die für den Schutz des Unternehmens vor Cyberbedrohungen zuständig sind. SecOps-Teams und -Unterteams nutzen das SOC als zentrale Anlaufstelle – physisch und/oder virtuell.

Die Größe des SOC-Teams und die darin vertretenen Rollen können, je nach Größe des Unternehmens und dessen Anforderungen, sehr unterschiedlich ausfallen. In einem eher kleinen Unternehmen sind möglicherweise nur ein paar Beschäftigte zuständig, die diese Arbeit zusätzlich zu anderen Aufgaben erledigen und dabei auf die SecOps-Dienste eines Anbieters für verwaltete Security-Dienste (Managed Security Services Provider, MSSP) zurückgreifen. Auf der anderen Seite des Spektrums stehen große, global verteilte SOC-Teams, die rund um die Uhr für eine schnelle Reaktion sorgen.

Wichtige Rollen im SOC sind u. a.:

• Security Engineers, zuständig für die Verwaltung und Wartung der Sicherheitsinfrastruktur und dafür, dass Tools und Systeme korrekt konfiguriert und optimiert sind
• SOC-Analyst:innen, zuständig für die Überwachung und Analyse von Sicherheitsereignissen zur Erkennung von Bedrohungen und die Reaktion auf sie
• Incident Responders, zuständig für die Identifizierung, Untersuchung und Bekämpfung von Sicherheitsbedrohungen, gegebenenfalls in enger Zusammenarbeit mit den anderen Teammitgliedern
• Threat Hunters, zuständig für die proaktive Suche nach versteckten Bedrohungen innerhalb des Unternehmensnetzwerks
• SOC-Manager oder -Direktor, gesamtverantwortlich für den Betrieb des SOC sowie für die reibungslose Zusammenarbeit und Effizienz

Dazu können dann Rollen wie die eines IT Operations Managers und die eines Systemadministrators kommen. Die erstere Rolle ist für die Verzahnung von Security Operations und IT-Funktionsbereichen zuständig, während die letztere das reibungslose Funktionieren von IT-Systemen und die Unterstützung des Security-Teams zu verantworten hat.

Integration und Automatisierung

Eine reibungslose SecOps-Implementierung gelingt am besten, wo Integrationen und Automatisierungen eingesetzt werden. Lassen Sie Ihre System nach Möglichkeit miteinander kommunizieren oder sorgen Sie zumindest dafür, dass sie alle auf ein zentralisiertes System zurückgreifen. Automatisierung erspart Ihrem SecOps-Team jede Menge Zeit und Arbeit und ermöglicht es ihm, sich auf die schrittweise Verbesserung Ihrer Prozesse zu konzentrieren.

KI-gestützte Informationen

Generative KI, effektiv eingesetzt, kann Ihre Analyst:innen durch die Schritte zur Abarbeitung von Workflows leiten und ihnen zeigen, was als Nächstes zu tun ist. KI hilft auch dabei, der Alarmmüdigkeit vorzubeugen, indem sie Alerts priorisiert und in den jeweiligen Kontext setzt, was die Untersuchungs- und Bekämpfungsprozesse rationeller gestaltet. KI erhöht die Effizienz und Effektivität von SecOps und trägt so zur Modernisierung der Verteidigungsmaßnahmen gegen komplexe Cyberangriffe bei.

Threat Intelligence und anderer Kontext

Unterschätzen Sie nicht, wie wichtig Threat Intelligence ist. Als Regel gilt: Nutzen Sie diese Informationen, um Ihren Incident-Response-Plan (neu) aufzustellen. Sie müssen schließlich wissen, was da draußen alles auf Sie wartet, und eine klare Vorstellung davon haben, wie Sie damit umgehen wollen.

Abteilungsübergreifende Zusammenarbeit

SecOps funktioniert nur, wenn Teams zentralisiert sind, regelmäßig miteinander kommunizieren, zusammen trainieren und dieselben Ziele verfolgen. Das sorgt dafür, dass Ihre Sicherheitsmaßnahmen in beide Teams integriert sind und das in allen Aspekten Ihrer Geschäftsabläufe.

Elastic Security modernisiert SecOps mit KI-gestützter Security Analytics. Das beschleunigt die SecOps-Workflows und verringert das Risiko. Mit grenzenloser Skalierbarkeit, modernsten Analytics-Funktionen und auf generativer KI basierenden Einblicken beseitigt die Lösung blinde Flecken, stärkt Ihre Abwehrlinien und hilft dabei, dem weltweiten Mangel an Cybersecurity-Fachleuten zu trotzen.

Weitere Informationen dazu, wie Elastic Security SecOps modernisiert

• KI für SecOps-Teams
• KI-gestützte SIEM-Lösung und Security-Analytics
• Leitfaden für SIEM-Einkäufer