SOC und SIEM: Cybersecurity rund um die Uhr überwachen

Kurzerklärung: Technologieplattform für Log-Aggregation, Korrelation und Echtzeit-Alarmierung. SIEM erkennt Sicherheitsvorfälle und meldet sie - die Reaktion automatisiert SOAR, den menschlichen Betrieb organisiert das SOC. Das SIEM ist das 'Auge', SOAR der 'Arm' und SOC das 'Gehirn'.

Ein Security Operations Center (SOC) ist die Schaltzentrale für Cybersecurity-Überwachung und Incident Response. Das SOC kombiniert Menschen, Prozesse und Technologie - mit dem SIEM als technologischem Herzstück. Ohne funktionierendes SOC erkennen Unternehmen Angriffe durchschnittlich erst nach 194 Tagen (IBM Cost of a Data Breach 2024) - häufig nicht selbst, sondern durch externe Meldung.

Was ist ein SOC?

Ein SOC ist eine zentralisierte Funktion (Team + Infrastruktur) die kontinuierlich:

1. Überwacht - alle IT-Systeme, Netzwerke, Cloud-Umgebungen
2. Erkennt - Angriffe, Anomalien, Richtlinienverstöße
3. Analysiert - Kontext, Relevanz und Schwere eines Alerts
4. Reagiert - Eindämmung, Forensik, Wiederherstellung
5. Verbessert - Lessons Learned, Detection-Regeln tunen

SOC-Rollen

SOC Tier 1 - Alert Triage Analyst: Überwacht die Alert-Queue 24/7, klassifiziert Alerts als True Positive oder False Positive und eskaliert komplexe Fälle an Tier 2.

SOC Tier 2 - Incident Responder: Führt tiefe Analysen eskalierter Incidents durch, klärt forensisch was passiert ist und wie weit ein Angriff reicht, und koordiniert die Remediation.

SOC Tier 3 - Threat Hunter / Senior Analyst: Sucht proaktiv nach versteckten Angreifern, entwickelt neue Detection-Regeln und integriert Threat Intelligence.

SOC Manager: Verantwortlich für KPIs und Reporting, Team-Entwicklung und Prozess-Optimierung.

Was ist ein SIEM?

Ein Security Information and Event Management (SIEM) ist die Plattform die alle Sicherheits-relevanten Logs zentralisiert und korreliert.

Log-Quellen die ein SIEM aggregiert:

• Firewalls, IDS/IPS, WAF
• Active Directory / Entra ID (Logon-Events)
• Endpoint Security / EDR
• Cloud-Logs (AWS CloudTrail, Azure Activity Log, GCP Audit)
• Anwendungs-Logs (Web-Server, Datenbank, SAP)
• DNS-Logs
• E-Mail-Gateway-Logs
• VPN-Logs

SIEM-Architektur

Log-Quellen (Firewall, EDR, Active Directory, Cloud-Logs, Endpoints) werden vom SIEM über einen Collector erfasst, normalisiert und angereichert. Eine Korrelations-Engine mit UEBA und ML-Engine analysiert die Daten und speist das Analysten-Interface mit Dashboards, Alert-Queue, Threat-Hunting-Oberfläche und Investigation-Workflows.

UEBA - User and Entity Behavior Analytics

Modernes Ergänzungsmodul zum SIEM:

• Erstellt Baseline-Verhalten für jeden User und Host
• Erkennt Abweichungen: "User greift nie auf Finanzserver zu - jetzt plötzlich ja"
• Nützlich für Insider Threats und Stolen Credentials

SIEM Use Cases: Was wird erkannt?

Use Case 1: Brute Force / Credential Stuffing

Regel: Mehr als 10 fehlgeschlagene Logins eines Accounts innerhalb 5 Minuten und anschließend erfolgreicher Login. Alert: "Possible Brute Force + Successful Login". Sofortmaßnahme: Account sperren, User kontaktieren.

Use Case 2: DCSync-Angriff (Active Directory)

Regel: Replikations-Request vom DRSUAPI zu einem Domain Controller von einer Maschine, die kein Domain Controller ist. Alert: "Possible DCSync Attack (Golden Ticket Preparation)". Sofortmaßnahme: System isolieren, Forensik starten.

Use Case 3: Kerberoasting

Regel: Mehr als 20 TGS-Requests für verschiedene SPNs innerhalb von 2 Minuten von einem einzigen Account. Alert: "Possible Kerberoasting Activity". Sofortmaßnahme: Account analysieren, betroffene Service-Accounts prüfen.

Use Case 4: Lateral Movement

Korrelation über drei Log-Quellen: EDR meldet Mimikatz-ähnliche Aktivität auf Host A, das AD-Log zeigt Account X mit Pass-the-Hash als anderen User, die Firewall-Logs zeigen eine SMB-Verbindung von Host A zum DC01. Alert: "Confirmed Lateral Movement to Domain Controller". Sofortmaßnahme: P1 Incident, Netzwerksegmentierung aktivieren.

Use Case 5: Datenexfiltration

Regel: Mehr als 500 MB ausgehende Daten zu einer Domain, die unter 30 Tage alt ist, zwischen 02:00 und 05:00 Uhr. Alert: "Possible Data Exfiltration" mit Kontext zu betroffenem Host, User und Datenmenge.

SIEM-Markt: Führende Lösungen

Lösung	Hersteller	Positionierung
Microsoft Sentinel	Microsoft	Cloud-nativ, hervorragend für M365/Azure
Splunk Enterprise Security	Cisco/Splunk	Mächtiger Enterprise-Standard, teuer
IBM QRadar	IBM	Enterprise, on-premises Stärke
Google Chronicle	Google	Cloud-native, AI-Integration
Elastic SIEM	Elastic	Open Source Basis, sehr flexibel
LogRhythm	LogRhythm	Mid-Market SIEM + SOAR
Wazuh	Wazuh (Open Source)	Kostenlos, für KMU sehr geeignet

SOAR - Security Orchestration, Automation and Response

SOAR ergänzt das SIEM um automatische Reaktion:

# Beispiel SOAR Playbook: Phishing Alert
trigger: SIEM Alert "Phishing E-Mail erkannt"
actions:
  1. E-Mail automatisch unter Quarantäne stellen
  2. Alle ähnlichen E-Mails in Mailboxen suchen und löschen
  3. Absender-Domain auf Blacklist setzen
  4. Betroffene User benachrichtigen
  5. Ticket in ITSM erstellen
  6. SOC-Analyst über Slack informieren
# Manuell: Analyst bestätigt und schließt Ticket

SOAR reduziert Mean Time to Respond (MTTR) von Stunden auf Minuten.

SOC-Modelle: Eigenes SOC vs. MSSP

Eigenes SOC (In-House SOC)

Vorteile:

• Vollständige Kontrolle und Datensouveränität
• Tiefes Unternehmenswissen (Systeme, Prozesse, Business Context)
• Keine Datenweitergabe an Dritte

Nachteile:

• Hohe Kosten: 3-5 Vollzeit-Analysten für 24/7, plus SIEM-Lizenz
• Schwieriges Recruiting (Fachkräftemangel)
• Anfangsjahre oft mit hoher False-Positive-Rate (Tuning nötig)

Jahreskosten (Schätzung, Deutschland):

• 3 Tier-1-Analysten (24/7 in Schichten): ~300.000 €/Jahr
• 1 Tier-2/3-Analyst: ~90.000 €/Jahr
• SIEM-Lizenz (Microsoft Sentinel / Splunk): 50.000-500.000 €/Jahr
• Gesamt: 500.000 € - 1 Mio. € / Jahr

MSSP - Managed Security Service Provider

Vorteile:

• Sofort operationell (Wochen statt Monate)
• 24/7 ohne eigenes Recruiting-Problem
• Umfassendes Threat Intelligence (Multi-Tenant Sichtbarkeit)
• Planbare monatliche Kosten

Nachteile:

• Datenweitergabe an Drittanbieter (Datenschutz beachten)
• Weniger unternehmensspezifisches Wissen am Anfang
• Abhängigkeit vom Anbieter

Marktführer DACH: Telekom Security, NTT Security, Atos, Controlware, DXC.

Hybrid-Modell (SOC-as-a-Service ergänzt intern)

Für Mittelstand oft optimal:

• Interne IT/Security: Konfiguration, Asset Management, Business Context
• MSSP: 24/7-Überwachung und Tier-1-Triage
• Eskalation an interne Experten oder MSSP-Tier-2

KPIs für SOC-Performance

KPI	Beschreibung	Zielwert
MTTD	Mean Time to Detect (Wie lange bis Angriff erkannt?)	< 1 Stunde
MTTR	Mean Time to Respond (Wie lange bis Reaktion?)	< 4 Stunden
False Positive Rate	Anteil von Alerts die kein echtes Problem sind	< 10%
Alert Backlog	Unbearbeitete Alerts in Queue	0
Coverage	% der Systeme die Logs senden	> 95%
Dwell Time	Wie lange war Angreifer unentdeckt?	< 7 Tage

Compliance-Anforderungen

NIS2 Art. 21: Monitoring und Anomalie-Erkennung explizit gefordert für besonders wichtige Einrichtungen.

ISO 27001 A.8.15 (Logging): Aktivitätsaufzeichnung; A.5.25 (Incident Response) - SOC ist die organisatorische Umsetzung.

BSI IT-Grundschutz DER.1: Detektion von Sicherheitsvorfällen - detaillierte Anforderungen an Monitoring.

DORA (Finanzsektor): Art. 11 - kontinuierliches IKT-Monitoring als Pflicht für Finanzinstitute.

Aufbau-Roadmap: SOC in 12 Monaten

• Monat 1-2: SIEM-Deployment, Log-Quellen anbinden (AD, Firewall, EDR)
• Monat 3-4: Basis Use Cases entwickeln (15-20 Regeln), False Positive Rate senken
• Monat 5-6: SOAR-Integration, erste Automatisierungen
• Monat 7-9: Threat Hunting einführen, UEBA aktivieren
• Monat 10-12: 24/7 Betrieb, Tier-1-Team ausgebildet

Alternativ: MSSP für erste 12-24 Monate, parallel intern Know-how aufbauen.

Compliance	Mindest-Aufbewahrung
DSGVO Art. 5 (Rechenschaft)	Solange Verarbeitung stattfindet
BSI IT-Grundschutz DER.1	6-12 Monate (empfohlen)
NIS2 Art. 21	Keine explizite Frist, aber "nachweisbar"
PCI DSS 10.7	12 Monate (mindestens 3 Monate sofort verfügbar)
SOC2	90 Tage sofort verfügbar
GoBD (Steuerlogs)	10 Jahre

• 24/7 SOC Monitoring: SIEM-Überwachung rund um die Uhr, Triage (False Positives von echten Alerts trennen), Eskalation kritischer Alerts mit sofortiger Kundenbenachrichtigung
• SIEM-as-a-Service: MSSP betreibt SIEM-Infrastruktur (Splunk, Microsoft Sentinel, IBM QRadar), Log-Ingestion von allen Quellen (Firewall, AD, Endpoints, Cloud), Kunden haben oft eigenes SIEM-Portal (Reports, Dashboards)
• Vulnerability Management: Regelmäßige Scans, Priorisierung, Reporting; Patch-SLA-Tracking: wer ist verantwortlich für welches System?
• Threat Intelligence Integration: MSSP-eigene Threat-Intelligence-Feeds, IOC-Matching gegen eigene Kundendaten
• Incident Response Retainer: X Stunden IR pro Jahr inklusive; bei Incident rückt das MSSP-IR-Team aus (remote oder vor Ort)

1. Zertifizierungen und Nachweise: ISO 27001 zertifiziert (MSSP hat eigene Zertifizierung), SOC 2 Type 2 (für US-Kunden besonders relevant), BSI-Qualifikation (für KRITIS-relevante Unternehmen), ENISA-konform (EU-Anforderungen); Mitarbeiterzertifizierungen: CISSP, CISM, GIAC-Zertifikate
2. Technische Fähigkeiten: Welches SIEM? (Microsoft Sentinel: Cloud-nativ; Splunk: mächtig); eigene Threat Intelligence oder nur externe Feeds?; IR-Fähigkeit: können sie aktiv eingreifen wenn nötig?; MDR-Fähigkeit: Endpoint Isolation, Account Lockout?
3. Reaktionszeiten (SLA): Critical Alert → Eskalation: < 15 Minuten?; Incident Response vor Ort: < 4 Stunden?; Wann kommt Bericht bei kritischem Incident?; Vertragsstrafe bei SLA-Verletzung?
4. Datenschutz und Datenresidenz: Wo wird SIEM betrieben? (Rechenzentrum in Deutschland/EU?); Werden Logs in die USA übertragen? (Datenschutzproblem!); DSGVO-konformer AVV mit MSSP abgeschlossen?; Subunternehmer des MSSP: wer hat Zugriff auf Kundendaten?
5. Unternehmens-Referenzen: Kunden in ähnlicher Branche und Größenordnung, reale Incident-Response-Erfahrung (nicht nur theoretisch), Reference Call mit bestehenden Kunden