Unproduktive Arbeit sabotiert das SOC – doch es gibt eine Lösung

Im SOC ist Schnelligkeit überlebenswichtig. Doch unproduktive Geschäftigkeit raubt den überlasteten Sicherheitsanalysten die entscheidende Zeit. Für solchen Daten-Hickhack sind sie viel zu gut.

Das Problem ist, dass in manchen SOCs eine Kultur herrscht, die die Teams verleitet, sich auf niederschwellige Aufgaben zu konzentrieren, die rasche Erledigung und schnelle Erfolge versprechen – statt dass sie die Prioritäten angehen, von denen die gesamte Sicherheitslage des Unternehmens maßgeblich abhängt.

Aus dem Lagebericht Security 2025 (Stärker und smarter: Das SOC der Zukunft) geht z. B. hervor, dass fast die Hälfte der Befragten (46 %), mehr Zeit mit Routinetätigkeiten wie der Konfiguration und der Fehlerbehebung von Tools verbringt als mit der eigentlichen Verteidigung des Unternehmens. Das heißt: Anstatt Bedrohungen zu untersuchen und Reaktionsmaßnahmen zu ergreifen, sind die Analysten mit Wartungs- und Aufräumarbeiten beschäftigt.

Es ist an der Zeit, die Parameter von SOC-Erfolg neu zu bestimmen, von den Metriken bis zu den Ergebnissen – damit sich das Team auf sinnvolle, strategische Arbeiten konzentrieren kann, die auf den Reifegrad und die Zukunftssicherheit des SOCs einzahlen.

Die Hauptursachen von SOC-Engpässen

Der erste Schritt zum Aufbau eines effizienteren SOCs besteht darin, die größten Zeitfresser zu identifizieren. Der Lagebericht Security 2025 von Splunk benennt die drei Felder, die am meisten von Ineffizienzen geprägt sind:

• Datenmanagement. Allein das Einlesen der Daten in Tools wie das SIEM ist oft enorm aufwendig (und dann noch in einem brauchbaren Format!). Manuelle Formatierung und Normalisierung von Daten bedeutet mehr als nur das Parsen von Logdateien – es müssen auch Daten von anderen Teams angefordert und Datenfelder extrahiert werden und es sind Tests mit unterschiedlichen Log-Typen erforderlich. Dabei ist es für die SOC-Teams, die mit zeitkritischen Bedrohungen konfrontiert sind, unbedingt wichtig, dass sie am rechten Ort Zugang zu den richtigen Daten haben. 57 % der Befragten sagen, dass sie aufgrund von Lücken in der Datenmanagement-Strategie wertvolle Zeit bei Untersuchungen verlieren.
• Tool-Wartung. Dies ist ein ganz empfindlicher Schmerzpunkt der SOC-Teams. 59 % der für den Lagebericht Security Befragten sagen, dass dies die Hauptursache von Ineffizienz in ihren Teams ist. Manche Tool-Arbeiten sind nötig, um die Grundfunktionalität aufrechtzuerhalten, etwa das Zurücksetzen einer wackeligen lokalen Instanz, die sich wieder einmal abgemeldet hat. Andere, etwa die Feinarbeit an den Erkennungen, tragen spürbar zur Resilienz bei, wenn sie richtig gemacht werden. SOCs, die Strategien wie Detection as Code nutzen, können Effizienz, Geschwindigkeit und Skalierbarkeit maximieren und zugleich die Sicherheitslage des Unternehmens verbessern.
• Warnmeldungen. Ohne Warnmeldungen geht es nicht, aber oft gehen die SOC-Analysten in der Alert-Flut unter. Zu viele Fehlalarme – darüber klagen 55 % der Befragten – kosten Zeit und Konzentration, was dann dazu führt, dass die Fachleute den Warnmeldungen misstrauen oder sie komplett ignorieren. Tatsächlich sagen 47 %, dass Probleme mit Warnmeldungen die häufigste Ursache von Ineffizienzen im SOC sind.

Ein Cybersecurity-Kulturwandel, der auf Qualität gerichtet ist

Geschäftiges Treiben fühlt sich zwar gut an, ist aber oft eine psychologische Falle. Wenn wir aus einem wohlverdienten Urlaub kommen, fangen wir z. B. meist mit einfachen Aufgaben wieder an, räumen im Posteingang auf und holen uns mit leicht erreichbaren Zielen den schnellen Motivationsschub. Das hilft zwar, wieder in den Arbeitsmodus zurückzufinden, ist aber in der Regel sonst nicht sonderlich bedeutsam.

Dass das SOC beschäftigt ist, heißt nicht immer, dass es auch produktiv ist oder wirklich die Risiken minimiert. Leitende Sicherheitsverantwortliche sollten Aktivität nicht höher gewichten als Strategie. Das heißt: Sie sollten reine Betriebsamkeit nicht belohnen und Präsentismus möglichst unterbinden, also wenn die Leute trotz Krankheit zur Arbeit erscheinen, aber kaum etwas ausrichten. Für viele Unternehmen und Führungskräfte bedeutet dies einen Wandel in der Kultur und in der Einstellung dazu, was Produktivität wirklich ausmacht.

Das messen, worauf es ankommt

Wenn es darum geht, die Sicherheitslage des Unternehmens in Zahlen auszudrücken, sind Metriken wie MTTD und MTTR das gewohnte Maß. Diese Kennzahlen sind zwar wichtige Indikatoren, aber auch relativ simple Benchmarks, mit denen die komplexen Ziele eines SOCs nicht vollständig erfasst werden, etwa die Leistungsfähigkeit der Erkennungen oder die Gründlichkeit der Untersuchungen.

Um diese MTTx-Kennzahlen zu verbessern, messen und belohnen es manche SOC-Leitungen, wenn möglichst viele Tickets aufgemacht und geschlossen werden – und zwar schnell. Dies verleitet die Analysten jedoch dazu, einfache Tickets vorzuziehen und eine Einstellung zu entwickeln, bei der Quantität über Qualität geht. Fatalerweise ist dies kein guter Weg Richtung Resilienz. Auch wenn die Analysten Hunderte von Tickets aus der zweiten und dritten Reihe abhaken – am nächsten Tag ist die eigentliche Arbeit immer noch da (und das Risiko ebenso).

Führungskräfte müssen sich neu darüber klar werden, was es bedeutet, Ergebnisse für das Unternehmen zu erzielen – und diese Ergebnisse im Team honorieren. Eine solche Arbeit sollte deutlich mehr Biss haben als „Ticket auf“ und „Ticket zu“ oder wiederkehrende Routineaufgaben. Das könnte z. B. die Einrichtung einer Automatisierung sein, eine wirksame Prozessoptimierung, eine Verfeinerung von Erkennungen oder die Implementierung einer geordneten Nachbereitung von Incidents.

Positive Möglichkeiten der Automatisierung finden

Automatisierung und Routineaufgaben sind wie füreinander geschaffen. Automatisiert die Aufgaben, die reizlos und mühsam sind. Wenn ein Workflow immer dieselben wiederholbaren Schritte enthält, dann ist er reif für die Automatisierung.

Phishing-Untersuchungen sind ein guter Ausgangspunkt. Denn das sind oft vorhersehbare Prozesse, die Anzahl ist groß, und das Risiko steigt mit jeder Verzögerung. Normalerweise sieht der Workflow ungefähr so aus:

• Die Artefakte in der E-Mail untersuchen und nach Schadpotenzial bewerten.
• Mit den Firewall-Protokollen abgleichen und herausfinden, ob jemand auf den Link geklickt hat – und wenn ja, welches Gerät betroffen ist.
• Alle Callouts auf den Firewalls blockieren und dann die betroffenen Geräte isolieren.

So weit, so langweilig. Das ist ein ziemlich standardmäßiger Workflow für richtig positive Befunde, und als solcher schreit er geradezu nach Automatisierung.

Im Jahr 2025 sollten Analysten keine Phishing-Angriffe von Hand untersuchen müssen. Das sind so schlichte Routinen, und die Reaktion ist so gleichförmig. Die Implementierung der Automatisierung ist ein Kinderspiel, und sie verschafft Zeit für strategischere Aufgaben. Angesichts der Tatsache, dass viele Analysten überlastet sind, ist die Automatisierung ein wirksames Mittel, Zeit zu gewinnen. Die Teams können sich dann Aufgaben widmen, die wirklich zur Wertschöpfung beitragen, sie können ihre Kenntnisse erweitern und sich neue Skills aneignen und am Ende noch weitere Playbooks anlegen. So entsteht ein positiver, sich selbst verstärkender Kreislauf. Die Leute in den Teams müssen dann nicht fürchten, dass sie ersetzbar werden, sondern sie erfahren positiv, was Automatisierung bewirken kann, und setzen sie zuversichtlich um.

Projekte auf den Prüfstand stellen

Zur Effizienzsteigerung brauchen Security-Führungskräfte allerdings nicht unbedingt Automatisierung oder KI. Eine einfache Möglichkeit, die Aufgaben zu reduzieren, die nichts zum SOC-Erfolg beitragen, liegt in der Neubewertung der Prioritäten und Projekte. Die Technologie-Landschaft verändert sich schnell, und Projekte, die vor ein paar Jahren beschlossen wurden, sind heute vielleicht gar nicht mehr so relevant oder nützlich. Die richtigen Prioritäten werden dann deutlich, wenn alle im SOC verstehen, welche Services und Prozesse des Unternehmens am wichtigsten sind. Mit diesem Wissen lassen sich die echten „Kronjuwelen“ identifizieren, die es zu schützen gilt, um die geschäftliche Resilienz insgesamt zu stärken.

Ein engagiertes SOC schafft mehr Sicherheit

Wenn die Teams von der Last der Routineaufgaben befreit werden, spart das nicht nur Zeit. Es stellt den eigentlichen Sinn und Zweck der Analystenrolle wieder her, beugt Burn-out vor und sorgt dafür, dass die Teams sich auf die Arbeit konzentrieren können, die tatsächlich die Sicherheit stärkt. Durch die Neubewertung der Prioritäten, die Einführung durchdachter Automatisierung und die Neudefinition von Erfolg können Sicherheitsverantwortliche eine Kultur der Effizienz schaffen, in der die Teams in der Lage sind, intelligenter zu verteidigen.

Wenn ihr mehr darüber erfahren wollt, was eure Teams tun können, um Ineffizienzen zu beseitigen und ein intelligenteres, automatisiertes SOC aufzubauen, dann ladet euch den Lagebericht Security 2015 herunter.