Security Operations Center: IT-Sicherheit für Kommunen
Prävention, Detektion, Reaktion - Cybersicherheit aus einer Hand bieten Security Operations Center. Wer diesen Schutz benötigt und was ein SOC genau leisten kann, darüber sprach die Komm.ONE mit Julian Amann, Solution Manager der 8COM Cyber Security GmbH.
Die öffentliche Verwaltung muss sich vor Cyberangriffen schützen. Hierfür gibt es viele verschiedene Produkte und Dienstleistungen. Wie lassen sich diese Security-Maßnahmen bündeln?
Julian Amann: Ein Security Operations Center (SOC) bündelt die Überwachung und Auswertung von Daten aus Endgeräten, Netzwerken, Identitäten, Cloud-Diensten, Fachanwendungen und weiteren Sicherheitslösungen. Dadurch entsteht ein zentraler Überblick über die gesamte Sicherheitslage und Bedrohungen können schneller erkannt und bearbeitet werden.
Was genau leistet ein Security Operation Center?
Julian Amann: Ein Security Operations Center (SOC) überwacht die IT- und OT-Infrastruktur rund um die Uhr, erkennt Cyberangriffe frühzeitig und unterstützt bei der schnellen Reaktion im Ernstfall. Dabei basiert ein SOC auf den drei Säulen Prävention, Detektion und Reaktion.
Die Prävention umfasst Maßnahmen wie Sicherheitsberatung, Schwachstellenmanagement und Penetrationstests, um potenzielle Risiken frühzeitig zu identifizieren und zu beheben. In der Detektionsphase werden IT-Systeme, Netzwerke, Cloud-Dienste, Identitäten und weitere Datenquellen kontinuierlich überwacht. Mithilfe von 24/7-Monitoring und intelligenter Analyse können verdächtige Aktivitäten und Angriffe früh erkannt werden.
Kommt es zu einem Sicherheitsvorfall, greift die dritte Säule: die Reaktion. Dazu gehören die Alarmbearbeitung durch SOC-Analysten, Incident Response, digitale Forensik sowie Maßnahmen zur Eindämmung und Behebung des Angriffs. Ziel ist es, Schäden für die Organisation zu minimieren und die Handlungsfähigkeit schnellstmöglich wiederherzustellen. So unterstützt ein SOC den gesamten Security Lifecycle.
Benötigen auch kleine Kommunen ein SOC?
Julian Amann: Auch kleine Kommunen sind heute ein attraktives Ziel für Cyberangriffe. Dabei geraten häufig nicht die Organisationen mit dem größten finanziellen Potenzial ins Visier der Angreifer, sondern diejenigen mit dem geringsten Schutzniveau. Viele Angriffe erfolgen opportunistisch und treffen zufällige Opfer, bei denen sich mit geringem Aufwand möglichst große Wirkung erzielen lässt.
Hinzu kommt, dass Kommunen zunehmend im Fokus von Hacktivismus und geopolitisch motivierten Angriffen stehen. Ziel ist dabei nicht nur finanzieller Gewinn, sondern auch die Störung öffentlicher Dienstleistungen, die Verunsicherung von Bürgerinnen und Bürgern sowie die Destabilisierung staatlicher und demokratischer Strukturen.
Gleichzeitig fehlen gerade kleineren Kommunen häufig die personellen und finanziellen Ressourcen, um eine professionelle 24/7-Überwachung und Incident Response mit eigenen Teams sicherzustellen. Ein externes SOC kann diese Aufgaben übernehmen und die interne IT gezielt entlasten. Praxisbeispiele zeigen jedoch, dass die Folgen eines erfolgreichen Angriffs schnell Schäden in Millionenhöhe verursachen können – etwa durch Betriebsunterbrechungen, Wiederherstellungsmaßnahmen, Neuanschaffungen von IT-Systemen oder den Verlust sensibler Daten. Die Kosten für präventive Sicherheitsmaßnahmen und ein professionelles SOC liegen deutlich unter den potenziellen Folgekosten eines erfolgreichen Cyberangriffs.
Wie kann die digitale Souveränität gewährleistet werden?
Julian Ammann: Digitale Souveränität bedeutet aus unserer Sicht nicht zwangsläufig den Verzicht auf internationale Technologien, sondern die Fähigkeit, jederzeit selbstbestimmt handeln zu können. Kommunen sollten die Vorteile marktführender Sicherheitslösungen nutzen können – etwa bessere Erkennungsraten, höhere Performance oder innovative Funktionen internationaler Hersteller. Gleichzeitig muss sichergestellt sein, dass im Krisenfall ein Wechsel auf deutsche oder europäische Alternativen möglich bleibt.
Ein wichtiger Baustein dafür ist ein herstellerunabhängiger Best-of-Breed-Ansatz. Statt sich dauerhaft an einen einzelnen Anbieter zu binden, werden jeweils die Lösungen eingesetzt, die den größten Sicherheitsmehrwert bieten. Dadurch bleibt die Handlungsfähigkeit auch bei veränderten geopolitischen oder regulatorischen Rahmenbedingungen erhalten.
Gleichzeitig sollte die Leistungserbringung des SOCs vollständig aus Deutschland erbracht werden. Das Security Operations Center sollte von deutschsprachigen Analysten betrieben werden, die Datenhaltung in Deutschland erfolgen und Kunden sollten jederzeit die volle Kontrolle über ihre Logs, Incidents und Reaktionsmaßnahmen behalten.
Zusätzlich sollte das SOC nach BSI IT-Grundschutz zertifiziert sein.
Gesprächspartner zum Thema managed SOC-Sevices: Julian Amann, 8COM, https://www.8com.de/security-operations-center-soc-by-8com
Mehr zu diesem Thema erfahren Sie beim Cybersecurity-Tag der Komm.ONE am 25. Juni 2026 in der Stadthalle K3N Nürtingen. Hier geht's zum Programm und der Anmeldung.
Lesen Sie hier weiter zu den IT-Sicherheitsthemen:
... Alarmstufe Cyber für Baden-Württembergs Behörden
... IT und KI: Wie die Abwehr von Cyberangriffen gelingt
... Cybersicherheit - Mythos versus Realtiät
