Die Erkennung von und der Umgang mit Sicherheitsvorfällen, auch bekannt als Security Information and Event Management (SIEM) oder als «Detection and Response» gemäss NIST Cybersecurity Framework, wird – leider – immer wichtiger. Bei der Implementierung der SIEM-Prozesse spielt das Security Operations Center (SOC) bzw. das Cyber Defence Center (CDC) eine zentrale Rolle. Die Anforderungen an das Know-How und die Verfügbarkeit des SOC/CDC sind hoch; Angriffe aus dem Internet können leider nicht auf Bürozeiten eingeschränkt werden. Dies sind wichtige Gründe dafür, dass SOC Services gerne an Dritte ausgelagert werden, und das Marktangebot wächst entsprechend rasant.

Der SOC Serviceanbieter sollte anhand einer zweckmässigen Anforderungsbeschreibung ausgewählt werden, bei der auch die Einschränkungen seitens des Kunden berücksichtig werden. Ein 7×24 Stunden Service für Detection hilft beispielsweise wenig, wenn die für Risikobeurteilung und/oder Response zuständigen Stellen nur während der Bürozeiten verfügbar sind. Eine weitere grundsätzliche Fragestellung ist, ob der SOC Service dem Systembetreiber, einem Managed Security Anbieter oder bewusst einem unabhängigen Dritten übertragen werden soll. Für alle drei Strategien gibt es gute Argumente und der Entscheid muss sich nach den spezifischen Zielen des SOC Sourcing richten.