Mitarbeiter im Security Operations Center (SOC) von Firmen sind ja für die Bewertung und Kategorisierung von Warnmeldungen über Cyber-Angriffe verantwortlich. Das führt ggf. zu extremem Stress. Mir ist gerade eine neue Studie vom Sicherheitsanbieter Trend Micro in die Hände gefallen, die zeigt, welche Auswirkungen unterbesetzte Security Operations Center und Überlastung durch Warnmeldungen für die psychische Gesundheit von Mitarbeitern haben können. Mehr als die Hälfte der SOC-Mitarbeiter beklagen negative Auswirkungen der Arbeit auf ihr Privatleben.
Anzeige
Kein gutes Bild
Im Rahmen der Studie wurden 2.303 IT-Security- und SOC-Entscheidungsträger aus Unternehmen unterschiedlicher Größen und Branchen befragt.
- Von den Befragten aus Deutschland (weltweit 70 Prozent) gaben 59 Prozent an, dass ihr Privatleben durch die Arbeit emotional beeinträchtigt wird.
- Dies resultiert daraus, dass die Hälfte von ihnen (50 Prozent, weltweit 51 Prozent) den Eindruck hat, ihr Team sei von der Vielzahl an Warnmeldungen vor Bedrohungen überfordert.
- 59 Prozent der deutschen Teilnehmer (weltweit 55 Prozent) räumen darüber hinaus ein, dass sie sich der Fähigkeiten ihres Unternehmens, Meldungen richtig zu priorisieren und darauf angemessen zu reagieren, nicht vollkommen sicher sind.
- Die Verantwortlichen in deutschen Security-Teams gaben an, dass 26 Prozent (weltweit 27 Prozent) ihrer Arbeit auf False Positives zurückzuführen sind.
Diese Ergebnisse werden durch eine aktuelle Forrester-Studie bestätigt, wonach Cybersecurity-Teams für den Bereich Incident und Response stark unterbesetzt seien, obwohl sie zunehmend mit Angriffen konfrontiert würden. Security Operations Center (SOCs) seien deshalb auf eine effektivere Methode für Detection und Response angewiesen. XDR (Extended Detection and Response) verfolge dabei einen grundlegend anderen Ansatz als andere Tools auf dem Markt (vgl. Allie Mellen, Adapt Or Die: XDR Is On A Collision Course With SIEM And SOAR (Forrester, 2021).
Die Arbeit belastet die Freizeit
In ihrer Freizeit ist es vielen SOC-Managern aufgrund der Vielzahl von Warnungen nicht möglich, abzuschalten. Im Freundeskreis oder in der Familie kann das zu Spannungen führen. Bei der Arbeit veranlasst die Überflutung mit Alerts SOC-Mitarbeiter dazu, Warnungen zu deaktivieren (38 Prozent in Deutschland, 43 Prozent weltweit, geben an, gelegentlich oder häufig so zu handeln), ihren Computer-Arbeitsplatz vorübergehend zu verlassen, da sie sich überfordert fühlen (34 Prozent in Deutschland, weltweit 43 Prozent), zu hoffen, dass ein anderes Teammitglied übernimmt (43 Prozent der Deutschen, weltweit 50 Prozent) oder eingehende Meldungen gänzlich zu ignorieren (32 Prozent in Deutschland, weltweit 40 Prozent).
„Wir sind daran gewöhnt, dass Cybersicherheit als Zusammenspiel der Faktoren Mensch, Prozess und Technologie beschrieben wird", erklärt Dr. Victoria Baines, Cybersicherheitsforscherin und Autorin. „Allzu oft werden Menschen dabei jedoch als Schwachstelle und nicht als Bereicherung betrachtet, und technische Sicherheitsmaßnahmen werden über die menschliche Belastbarkeit gestellt. Es ist höchste Zeit, dass wir die Investitionen in unsere menschlichen Security-Ressourcen erneuern. Das bedeutet, sich um unsere Mitarbeiter und Teams zu kümmern und zu gewährleisten, dass sie über die Instrumente verfügen, die es ihnen ermöglichen, sich auf das zu konzentrieren, was Menschen am besten können."
Da 66 Prozent der Befragten aus Deutschland (weltweit 74 Prozent) entweder bereits mit einem Sicherheitsvorfall konfrontiert waren oder sind oder diesen innerhalb dieses Jahres erwarten, könnte die Überlastung schwerwiegende Folgen nach sich ziehen. Immerhin erwarten die Befragten, dass auf ihr Unternehmen im Falle eines Sicherheitsvorfalls mit Datenschutzverstoß alleine Strafzahlungen in Höhe von rund 155.000 Euro zukommen würden – zusätzlich zu möglicherweise entstandenen Schäden.
„Indem sie Bedrohungswarnungen verwalten sowie darauf reagieren, nehmen SOC-Mitarbeiter eine entscheidende Rolle bei der Abwehr von Cyberattacken ein und schützen ihre Unternehmen vor möglichen schadensträchtigen Sicherheitsvorfällen. Doch wie die Studie zeigt, ist dieser Druck mitunter mit erheblichen gesundheitlichen Kosten verbunden", so Richard Werner, Business Consultant bei Trend Micro. „Um zu vermeiden, dass ihre besten Mitarbeiter mit der Zeit ausbrennen, müssen Unternehmen auf fortschrittlichere Detection-und-Response-Plattformen setzen, die Warnungen intelligent korrelieren und priorisieren können. Dadurch wird nicht nur das gesamte Schutzlevel verbessert, sondern auch die Produktivität und Arbeitszufriedenheit der Analysten erhöht."
Weitere Informationen in englischer Sprache finden Sie im Report Security Operations on the Backfoot: How poor tooling is taking its toll on security analysts (PDF).
Anzeige
Für die Studie befragte Sapio Research im April 2021 insgesamt 2.303 IT-Security-Entscheider aus 21 Ländern weltweit, darunter 101 aus Deutschland. Darunter sind Führungskräfte, die SOC-Teams leiten (85 Prozent) und solche, die SecOps aus ihrem IT-Security-Team heraus managen (15 Prozent). Alle Befragten arbeiteten in Unternehmen mit über 250 Mitarbeitern, mit der Ausnahme von Norwegen (über 10 Mitarbeiter), Dänemark (über 25 Mitarbeiter), Österreich und Belgien (je über 100 Mitarbeiter).
2015
Unsere SOC-MA sind gut geschult und kommen mit Ihren Aufgaben prima zurecht.
Die in der Studie beschriebene Überlastung kann ich so nicht verzeichnen.