Security Operations Center
Ein Security Operations Center (SOC) ist eine zentrale Organisationseinheit, die rund um die Uhr die IT-Landschaft einer Organisation überwacht, Sicherheitsvorfälle erkennt, analysiert und koordiniert auf Bedrohungen reagiert.
Ein Security Operations Center (SOC) bündelt Menschen, Prozesse und Technologie, um die Informationssicherheit einer Organisation kontinuierlich zu überwachen und im Ernstfall handlungsfähig zu bleiben. Das SOC sammelt und korreliert sicherheitsrelevante Ereignisse aus Netzwerken, Endgeräten, Servern, Cloud-Diensten und Anwendungen, typischerweise gestützt auf ein SIEM (Security Information and Event Management) sowie auf EDR-, Schwachstellen- und Threat-Intelligence-Quellen. Ziel ist es, Angriffe möglichst früh zu erkennen, ihre Auswirkungen zu begrenzen und einen geregelten, nachvollziehbaren Reaktionsprozess sicherzustellen.
Organisatorisch arbeitet ein SOC üblicherweise in einem mehrstufigen Modell: Analysten der ersten Stufe sichten und priorisieren eingehende Alarme (Triage), Analysten höherer Stufen übernehmen die vertiefte Untersuchung, das Threat Hunting und die Incident Response, während Spezialisten für IT-Forensik, Detection Engineering und Threat Intelligence die Erkennung verbessern. Ein SOC kann intern betrieben, als Managed SOC ausgelagert oder als Hybridmodell geführt werden; entscheidend sind klar definierte Rollen, Eskalationswege, Service-Level und ein enges Zusammenspiel mit dem CSIRT/Incident-Response-Team sowie dem Informationssicherheitsbeauftragten.
Aus Compliance-Sicht ist ein SOC ein zentraler Baustein zur Umsetzung der Pflichten zur Erkennung und Bewältigung von Sicherheitsvorfällen. Die NIS2-Richtlinie und ihre nationale Umsetzung verlangen von betroffenen Einrichtungen geeignete technische und organisatorische Maßnahmen zur Erkennung, Behandlung und Meldung von Vorfällen sowie eine kontinuierliche Überwachung; ein SOC liefert hierfür die operative Grundlage. Auch Standards wie ISO/IEC 27001 (insbesondere die Maßnahmen zur Protokollierung, Überwachung und Behandlung von Informationssicherheitsereignissen) und der BSI IT-Grundschutz adressieren genau die Fähigkeiten, die ein SOC bündelt. Die Wirksamkeit eines SOC sollte deshalb regelmäßig gemessen, geübt (z. B. über Tabletop-Übungen) und im Rahmen von Audits nachgewiesen werden.
Rechtliche Grundlage
NIS2-Richtlinie (EU) 2022/2555, Art. 21; ISO/IEC 27001:2022 (Annex A 5.24, 5.25, 8.15, 8.16); BSI IT-Grundschutz (Baustein DER.1 Detektion von sicherheitsrelevanten Ereignissen)
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt nach Inkrafttreten der NIS2-Umsetzung als wichtige Einrichtung unter die neuen Pflichten. Der Informationssicherheitsbeauftragte entscheidet, ein Managed SOC zu beauftragen, statt rund um die Uhr eigenes Personal vorzuhalten. Gemeinsam werden Log-Quellen (Firewalls, Domain-Controller, EDR auf den Endgeräten, Microsoft 365) an das SIEM des Dienstleisters angebunden, Use-Cases für typische Angriffsmuster wie Ransomware-Vorbereitung definiert und Eskalationsstufen mit Reaktionszeiten vereinbart. Als das SOC nachts auffällige Anmeldeversuche eines privilegierten Kontos meldet, isoliert das Incident-Response-Team das betroffene System binnen einer Stunde, dokumentiert den Vorfall und prüft fristgerecht die NIS2-Meldepflicht an das BSI.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren