Security Operations von Innen
Im Security Operations Center (SOC) überwacht Symantec aus der Ferne die Netzwerke seiner Kunden auf Hackerangriffe und verdächtige Aktivitäten. Wir haben uns das SOC von innen angeschaut.
- Uli Ries
(Bild: Symantec)
Wer einen Kommandostand a la NORAD oder virtuelle Hackerverfolgungsjagden wie im Film "Sneakers" erwartet, dürfte beim Betreten von Symantecs europäischem Security Operations Center (SOC) enttäuscht sein. Die Atmosphäre im SOC ist besonnen, von Hektik oder gar Alarmstimmung keine Spur. Eine Handvoll adretter Mitarbeiter – alle leger und modern gekleidet, von Motiv-T-Shirts tragenden Freaks und anderen Hacker-Klischees denkbar weit entfernt – sitzt vor jeweils zwei oder drei TFT-Displays und schaut gelegentlich auf acht an der Wand hängende Flachbildschirme, die Informationen über die aktuelle, weltweite Cyber-Gefahrenlage zeigen. Zwischendurch finden die SOC-Mitarbeiter sogar Zeit für einen entspannten Plausch untereinander. Worüber sie reden, ist nicht zu erfahren: Beobachter sehen das Treiben nur durch eine Glasscheibe vom nebenan gelegenen Konferenzraum. Übrigens: Die Arbeitsstationen der SOC-Spezialisten laufen alle noch unter Windows XP.
Die entspannte Atmosphäre im kleinen Team mag so gar nicht zur Aufgabe des Centers passen. Immerhin beschützt das SOC an 365 Tagen rund um die Uhr die Netzwerke von Großkunden und Behörden, darunter 92 der Top-500-Unternehmen der Welt. Konkrete Kundennamen verrät Symantec auch auf Nachfrage allerdings keine. Nur, dass sich unter den Schutzbedürftigen zu einem Drittel Banken und Versicherungen befinden. Bekannt ist immerhin, dass zu den Kunden der Managed Security Services (MSS) etwa der Logistikdienstleister DHL oder eBay gehören. Im Rahmen von MSS gibt es verschiedene Dienstleistungen wie Penetration-Testing und Security Monitoring Services – letztere wird vom SOC betreut. Wenn man berücksichtigt, dass Firmen wie Atos, BT, IBM, RSA und Verisign ähnliche Dienste anbieten, wird klar, dass offenbar in der Firmenwelt großer Bedarf nach externen Sicherheitsdienstleistungen besteht.
Auf einem separaten Bildschirm läuft der Fernsehsender BBC World News. Wie Martin Dipper unterstreicht, dient das aber keineswegs der Zerstreuung der Mitarbeiter. Dipper ist der Leiter des SOC in London und erklärt in nüchternen Worten alle Funktionen des Centers und des Fernsehers: Im SOC will man sich frühzeitig über Ereignisse informieren, die die IT-Sicherheit beeinflussen. Dazu gehören auch Ereignisse wie der Tod von Prominenten. Nach dem Ableben von Michael Jackson beispielsweise, rollten sehr schnell Spam- und Schädlings-Wellen mit passendem Betreff und Inhalt. Aber auch Politiker-Gipfeltreffen führen regelmäßig zu Cyber-Attacken, die laut Symantec sogar Energieversorger am Veranstaltungsort in Alarmbereitschaft versetzen.
