Lagebericht Security 2025: Willkommen im SOC der Zukunft

SOC-Verantwortliche, die nicht vorausdenken, sind schon hinterher – und jenseits von 2025 erwartet uns eine noch rasantere Entwicklung. Das halsbrecherische Tempo der KI-Innovationen, die immer größeren Qualifikationslücken und zunehmend raffinierte Angriffstaktiken werden die SOC-Teams dazu anhalten (wohl eher: zwingen), zukunftsfähige Strategien zu entwickeln, wenn sie resilient bleiben wollen.

Weil wir wissen wollten, wie das SOC der Zukunft aussehen wird, haben wir für den diesjährigen Lagebericht Security insgesamt 2058 Sicherheitsverantwortliche aus 9 Ländern und 16 Branchen befragt. Untertitel: Das SOC der Zukunft, stärker und schlauer. Die Studie in Zusammenarbeit mit Oxford Economics zeigt die größten Hindernisse und die wirkungsvollsten Möglichkeiten der SOC-Evolution auf. Das Ergebnis: Trotz aller externen Herausforderungen, die uns beschäftigen, sind einige der größten SOC-Bedrohungen interne Ineffizienzen – sie hindern die Teams daran, das zu tun, was sie am besten können: das Unternehmen verteidigen.

Tatsächlich sagt die Hälfte der Befragten (46 %), dass sie mehr Zeit mit Wartungsarbeiten verbringt – z.B. mit der Konfiguration und dem Troubleshooting der Tools – als mit strategischen Untersuchungen und der Eindämmung von Bedrohungen. Daneben ist die Bearbeitung der Warnmeldungen eine weitere Hauptquelle von Ineffizienz im SOC. 59 % geben an, dass sie zu viele Warnmeldungen haben. 57 % sagen, dass sie aufgrund von Lücken in der Datenmanagement-Strategie bei Untersuchungen wertvolle Zeit verlieren. Gleichzeitig sorgen zunehmende Qualifikationslücken für zusätzlichen Druck auf die SOC-Teams: 52 % geben zu Protokoll, dass ihr Team überlastet ist.

Um all diese Herausforderungen zu meistern, müssen Unternehmen den Schritt ins SOC der Zukunft wagen – in ein SOC, das KI und Automatisierung, fortschrittliche Erkennungsstrategien und einen einheitlichen Ansatz für Erkennungen, Untersuchungen und die Reaktion auf Bedrohungen umfasst.

KI und Detection as Code machen den Weg frei für Geschwindigkeit und Skalierung

Im SOC von morgen wird KI ein wesentlicher Bestandteil sein. Wir können es uns nicht leisten, vor der Tatsache die Augen zu verschließen, dass KI in der Lage ist, wiederkehrende Probleme zu lösen, relevanten Kontext zu ergänzen und Daten zu synthetisieren – vor allem dann, wenn unsere SOCs unter Personalmangel leiden und ständig am Limit arbeiten.

Aus der Befragung geht hervor, dass die Anwendung von KI auf die Security-Workflows in diesem Jahr oberste Cybersecurity-Priorität hat. Teams, die bereits mit KI-Unterstützung arbeiten, berichten von beeindruckenden Produktivitätssteigerungen: 59 % sagen, dass sie ihre Effizienz durch KI etwas oder deutlich gesteigert haben. 

Zum verantwortungsvollen Einsatz von KI im SOC gehören Richtlinien und geeignete Kontrollmechanismen. Insofern sind wir beruhigt, dass 61 % der KI bei erfolgskritischen Aktivitäten etwas vertrauen. Schließlich gehört die Maxime „Vertrauen ist gut, Kontrolle ist besser“ zu unserer Grundausbildung als Security-Fachleute. Andererseits würde eine pauschale Ablehnung von KI bedeuten, dass wir Chancen verschenken. Und wenn es um die Vorteile generativer KI geht, liegt für die Befragten die Zukunft in domänenspezifischer KI, die z. B. fundierte Empfehlungen geben kann. 63 % sind der Meinung, dass die Security Operations von integrierter domänenspezifischer generativer KI deutlich oder sehr viel mehr profitieren als von allgemein verfügbaren KI-Tools wie ChatGPT.

Neben KI ist Detection as Code (DaC) der zweite Weg, der zu mehr Effizienz im SOC führt. Detection as Code ist ein relativ neuer Ansatz, die Cyberabwehr kann damit die Entwicklung und den Einsatz von Erkennungen standardisieren und automatisieren – und so Bedrohungen stets einen Schritt voraus bleiben. 

Gegenwärtig sind viele SOCs noch der Vergangenheit verhaftet, sie verfolgen im Monitoring, was auf den Endpunkten los ist, oder reagieren, wenn ihre Sicherheitstools eine Bedrohung markieren – statt dass sie Ausschau nach den Unbekannten der Cybersecurity halten. Im SOC der Zukunft ist das anders, es setzt auf kritisches Denken, Kreativität und auf Bedrohungsinformationen zur proaktiven Suche nach Bedrohungen. Diese Teams werden Erkennungen für neu entdeckte und untersuchte Angriffstechniken aus dem Stand heraus bauen und einsetzen können.

Machbar wird ein solcher proaktiver Ansatz durch Detection as Code. Die Befragung zeigt, dass DaC im SOC der Zukunft eine entscheidende Rolle spielen wird: 63 % geben an, dass sie in Zukunft häufig oder immer mit Detection as Code arbeiten möchten, auch wenn derzeit erst 35 % DaC in diesem Umfang nutzen. 

Diese Diskrepanz zwischen Anspruch und Wirklichkeit könnte daran liegen, dass Detection as Code als schwierig in der Implementierung wahrgenommen wird. Tatsächlich hat der Markt mittlerweile einen hinreichenden Reifegrad erreicht und wird weitere Angebote hervorbringen, die den Einstieg erleichtern. Und wenn die Teams die Einstiegshürden überwunden haben, ergeben sich handfeste Vorteile. Mehr als die Hälfte (52 %) hat z. B. mit Detection as Code ihre Workflows automatisiert und ist damit auf dem besten Wege zu einem SOC, das effizienter und schneller ist.

Kräfte bündeln – im SOC und unternehmensweit

Kein SOC kann ohne seine Tools arbeiten. Doch wenn diese Tools nicht integriert sind, machen sie Ärger und führen zu Datensilos und Transparenzlücken. Zu meiner Zeit als Verantwortlicher eines SOCs hatten wir das Monitoring für über 260.000 Beschäftigte zu besorgen, und ständig hakte es bei den Tools irgendwo – und das sorgte jedes Mal für größere Turbulenzen. Eine unscheinbare Änderung an der Firewall konnte das halbe Unternehmen lahmlegen.

Unsere Untersuchung bestätigt, dass unzusammenhängende Tools und Teams ein wesentliches SOC-Problem darstellen. 78 % sagen, dass ihre Sicherheitstools derart verteilt und unverbunden sind, 69 % geben an, dass dies gewisse bis erhebliche Herausforderungen mit sich bringt.

Das, was sie selbst kontrollieren, haben die meisten SOCs heute ganz gut im Griff. Wenn sie jedoch auf Daten anderer Teams angewiesen sind (was häufig vorkommt), finden sie sich in der Warteschleife wieder. In Zukunft werden SOCs sehr viel stärker vernetzt arbeiten – das gilt in Bezug sowohl auf die Tools als auch auf die Leute. 

Die gemeinsame Nutzung von Daten durch die Security- und die Observability-Teams ist ein guter Weg zu einem besser vernetzten SOC, auch wenn derzeit erst 9 % sagen, dass sie dies immer tun. Diejenigen Unternehmen, in denen Daten teamübergreifend genutzt werden, berichten von klaren Vorteilen, speziell bei der beschleunigten Incident-Erkennung: 78 % sehen hier transformative Vorteile.

Zur Effizienzsteigerung sollten auch andere Bereiche wie die Personalabteilung und die Rechtsabteilung in der Lage sein, mit dem SOC zusammenzuarbeiten. Die Integration mit der Ticketing-Software anderer Teams auf einer einheitlichen Plattform kann diese Zusammenarbeit sehr viel einfacher und schneller machen. Ohne eine solche Zusammenarbeit bleibt das SOC auf sich allein gestellt und kann nur hoffen, dass es von den übrigen Teams gehört wird – und das ist für einen derart schnell drehenden Funktionsbereich ausgesprochen bitter. Die Befragten können mehrheitlich bestätigen, dass die Einführung einer einheitlichen Plattform zu einer schnelleren Incident-Reaktion (59 %) und weniger Tool-Wartungsaufwand (53 %) führt – das sind direkte Effizienzvorteile für SOCs, die auf dem Weg in die Zukunft sind.

Holt euch den vollständigen Lagebericht Security 2025 und seht euch z. B. an, welche Skills mit Blick auf Resilienz die wichtigsten sind und welche Rolle KI im SOC der Zukunft spielen wird. Dazu bekommt ihr Tipps von Splunk-Fachleuten, wie ihr euer SOC auf Erfolgskurs bringt.