BEKOM MANAGEDSicherheitsleitstelle (SOC)Erkennung, Analyse und Reaktion
BEKOM koordiniert strukturierte Sicherheitsüberwachung – bei Bedarf rund um die Uhr mit qualifizierten SOC-Partnern.
Professionelle Security Operations
IT-Sicherheit erfordert kontinuierliche Überwachung, qualifizierte Analyse und strukturierte Reaktion auf Bedrohungen. Ein Security Operations Center (SOC) bündelt diese Aufgaben als zentrale Sicherheitsleitstelle für die gesamte IT-Umgebung. BEKOM bietet diesen Service im Rahmen von BEKOM MANAGED Security & Compliance an und arbeitet dafür mit qualifizierten SOC-Partnern zusammen.
Unerkannte Sicherheitsvorfälle gefährden geschäftskritische Prozesse wie Auftragsverarbeitung und Kundendatenmanagement, während regulatorische Anforderungen wie DSGVO oder branchenspezifische Compliance-Vorgaben eine kontinuierliche Überwachung der IT-Sicherheit zur Betriebsvoraussetzung machen. Ohne qualifizierte Security Operations bleiben Bedrohungen unentdeckt, bis sie bereits operativen Schaden anrichten.
Herausforderungen im Security-Eigenbetrieb
Eine wirkungsvolle Sicherheitsüberwachung erfordert spezialisierte Analysten, strukturierte Prozesse und den laufenden Betrieb geeigneter Werkzeuge. Die meisten mittelständischen IT-Teams können diese Anforderungen nicht dauerhaft intern abdecken.
Typische Szenarien:
- Sicherheitsrelevante Ereignisse bleiben unerkannt, weil Analyse-Kapazitäten fehlen
- Vorhandene Monitoring-Werkzeuge generieren Alarme, die niemand qualifiziert bewertet
- Inzidenz-Response erfolgt ad hoc statt nach strukturierten Prozessen
- Fachkräfte für Security-Analyse sind auf dem Arbeitsmarkt kaum verfügbar
Ohne kontinuierliche Überwachung und qualifizierte Analyse bleiben Sicherheitslücken unbemerkt – nicht weil die Werkzeuge fehlen, sondern weil die Kapazität für deren Betrieb nicht vorhanden ist.
BEKOMs Ansatz: SOC-Betrieb mit qualifizierten Partnern
BEKOM koordiniert den SOC-Betrieb für Ihre IT-Umgebung und bindet dafür qualifizierte SOC-Partner ein. Die Partner betreiben die Analyseplattform und stellen die Sicherheitsanalysten. BEKOM übernimmt die Integration in Ihre bestehende IT-Landschaft und die operative Steuerung.
Leistungsumfang:
- Anbindung Ihrer IT-Systeme an die SOC-Plattform des Partners
- Abstimmung der Eskalationspfade zwischen Partner, BEKOM und Ihrem Team
- Koordination des Inzidenz-Response-Prozesses
- Laufendes Reporting und Dokumentation aller Aktivitäten
BEKOM bleibt Ihr zentraler Ansprechpartner. Der SOC-Partner liefert die spezialisierte Analysekompetenz, BEKOM steuert den Gesamtprozess und verantwortet die Qualität.
On-Premise, Cloud und hybride Umgebungen
Die Sicherheitsüberwachung ist unabhängig vom Standort Ihrer IT-Systeme. Log-Daten werden aus allen Umgebungen erfasst – ob die Systeme in Ihrer eigenen Betriebsstätte, in einer Cloud-Umgebung oder in kombinierten Szenarien betrieben werden.
Technische Integration:
- Log-Erfassung über standardisierte Schnittstellen (Syslog, API, Agent-basiert)
- Einheitliche Korrelation und Analyse über alle Umgebungen hinweg
- Standortübergreifende Sichtbarkeit in einem zentralen Dashboard
Unabhängig davon, wo Ihre IT-Systeme betrieben werden, sind sie in die Sicherheitsüberwachung eingebunden. Die Anbindung erfolgt im Rahmen des Security-Assessments.
Was ein Managed SOC leistet
BEKOM und der SOC-Partner übernehmen drei Kernaufgaben: die laufende Überwachung, die qualifizierte Bedrohungserkennung und die strukturierte Reaktion auf Sicherheitsvorfälle. Der Umfang wird im Service-Design-Dokument verbindlich festgelegt.
Monitoring und Alerting
Log-Daten aus Ihren IT-Systemen – Firewalls, Server, Netzwerkkomponenten, Endgeräte – werden kontinuierlich erfasst und auf sicherheitsrelevante Muster geprüft. Schwellenwerte und Korrelationsregeln werden im Onboarding gemeinsam definiert.
Betriebsaufgaben:
Erfassung und Normalisierung von Log-Daten aus allen angebundenen Quellen
Automatische Korrelation von Ereignissen über Regelwerk und Anomalie-Erkennung
Generierung qualifizierter Alerts nach definierten Schwellenwerten
Filterung von Fehlalarmen durch den SOC-Partner, damit Ihr Team nur relevante Meldungen erhält
Bedrohungserkennung und Analyse
Qualifizierte Sicherheitsanalysten des SOC-Partners bewerten die Alerts und klassifizieren Bedrohungen nach Kritikalität. Die Analyse umfasst die Bestätigung oder Entkräftung eines Verdachts, die Identifikation betroffener Systeme und eine erste Einschätzung des Schadenpotenzials.
Analyseprozess:
Triage: Priorisierung eingehender Alerts nach Kritikalität und Geschäftsrelevanz
Validierung: Bestätigung oder Entkräftung des Verdachts durch qualifizierte Analysten
Kontextualisierung: Zuordnung zu betroffenen Systemen und Geschäftsprozessen
Handlungsempfehlung: Dokumentierte Empfehlung für die nächsten Schritte
Inzidenz-Response und Eskalation
Bei bestätigten Sicherheitsvorfällen greift der abgestimmte Eskalationsprozess. Die Verantwortlichkeiten sind vorab definiert: Wer analysiert, wer entscheidet, wer handelt. Eskalationspfade und Reaktionszeiten werden im Service-Design-Dokument festgelegt.
Inzidenz-Prozess:
Ersterkennung und Klassifikation durch den SOC-Partner
Eskalation an BEKOM und Ihr Team nach vereinbarter Priorität
Koordinierte Reaktion nach vorab definiertem Playbook
Abschlussbericht mit Root-Cause-Analyse und Maßnahmenempfehlung
Betriebsmodelle: SOC nach Bedarf
Nicht jede Organisation benötigt eine Sicherheitsleitstelle, die rund um die Uhr besetzt ist. BEKOM bietet deshalb abgestufte Betriebsmodelle an – vom Security-Monitoring durch BEKOM bis zur durchgehenden 24/7-Abdeckung mit SOC-Partnern. Das passende Modell wird im Security-Assessment gemeinsam ermittelt.
Security-Monitoring durch BEKOM
BEKOM überwacht Ihre IT-Umgebung während erweiterter Servicezeiten und reagiert auf sicherheitsrelevante Alerts. Log-Daten werden durchgehend erfasst – auch außerhalb der Servicezeiten. Die qualifizierte Analyse und Bewertung erfolgt durch BEKOM-Spezialisten am nächsten Werktag.
Leistungsumfang:
Monitoring und qualifizierte Alert-Bewertung während erweiterter Servicezeiten
Durchgehende Log-Erfassung, Speicherung und automatische Korrelation
Definierte Reaktionszeiten und Eskalationspfade für erkannte Bedrohungen
Regelmäßige Security-Reports mit Alert-Klassifikation und Handlungsempfehlungen
Dieses Modell eignet sich für Organisationen, die ihre bestehende Sicherheitsüberwachung durch externe Analysekompetenz ergänzen möchten – oder deren Bedrohungsprofil keine durchgehende Analysten-Besetzung erfordert.
24/7-Betrieb mit SOC-Partnern
Für Organisationen mit erhöhtem Schutzbedarf bindet BEKOM qualifizierte SOC-Partner ein, die ein dediziertes Analysten-Team für den durchgehenden Betrieb stellen. Sicherheitsrelevante Ereignisse werden rund um die Uhr bewertet – auch nachts, an Wochenenden und Feiertagen. BEKOM koordiniert die Integration und bleibt Ihr zentraler Ansprechpartner.
Leistungsumfang:
Durchgehende Überwachung und Analyse durch qualifizierte Analysten des SOC-Partners
Definierte Reaktionszeiten für alle Prioritätsstufen, unabhängig von Tageszeit und Wochentag
Koordinierte Eskalation über BEKOM – ein Ansprechpartner für Ihr Team, unabhängig vom ausführenden Analysten
Regelmäßige Abstimmung zwischen SOC-Partner, BEKOM und Ihrem Sicherheitsteam
Dieses Modell richtet sich an Organisationen mit regulatorischen Anforderungen an die Überwachung (z. B. KRITIS, ISO 27001) oder mit geschäftskritischen Systemen, die außerhalb regulärer Arbeitszeiten betrieben werden.
BEKOM als zentraler Ansprechpartner
BEKOM koordiniert den gesamten SOC-Betrieb und steuert die Zusammenarbeit zwischen SOC-Partner und Ihrem IT-Team. Unabhängig davon, ob BEKOM direkt überwacht oder ein SOC-Partner die Analyse übernimmt: BEKOM bleibt Ihr einziger Ansprechpartner. Die Aufgabenverteilung wird im Service-Design-Dokument als RACI-Matrix verbindlich festgelegt.
Steuerung und Koordination (BEKOM):
Integration Ihrer IT-Systeme in die SOC-Plattform und laufende Anbindung neuer Log-Quellen
Koordination zwischen SOC-Partner und Ihrem IT-Team, einschließlich Eskalationssteuerung
Operative Steuerung, Qualitätskontrolle und regelmäßiges Reporting an Ihr Team
Kommunikation bei Sicherheitsvorfällen – BEKOM informiert und eskaliert, der Partner analysiert
Analyse und Betrieb (SOC-Partner):
- Betrieb der Analyseplattform (SIEM, Korrelation, Dashboards) und Pflege der Erkennungsregeln
- Qualifizierte Sicherheitsanalyse, Triage und erste Inzidenz-Response
- Threat-Intelligence-Updates und kontinuierliche Anpassung der Erkennungslogik
Kostentreiber im Vergleich: SOC-Eigenbetrieb vs. Managed SOC
Der Aufbau und Betrieb eines internen SOC erfordert Investitionen in Personal, Technologie und Prozesse. BEKOM ermöglicht den Zugang zu vollständigen SOC-Leistungen über planbare monatliche Kosten – statt Vorab-Investitionen und laufender variabler Aufwände.
SOC-Eigenbetrieb: laufende Kostentreiber
- Personalkosten: Qualifizierte SOC-Analysten gehören zu den gefragtesten IT-Spezialisten – für einen 24/7-Betrieb sind mindestens fünf bis sechs Vollzeit-Analysten erforderlich, zuzüglich Teamleitung und Schichtplanung
- Technologiekosten: SIEM-Plattformen, Log-Management, Korrelations-Engines und Threat-Intelligence-Feeds verursachen laufende Lizenz- und Betriebskosten
- Prozesskosten: Inzidenz-Response-Playbooks, Eskalationsprozesse und Dokumentationsstandards müssen entwickelt, gepflegt und regelmäßig getestet werden
- Infrastrukturkosten: Server, Storage und Netzwerk für die Analyseplattform und die langfristige Log-Speicherung
Managed SOC: planbare Kosten mit BEKOM
- Monatspauschale statt variabler Aufwände für Personal, Lizenzen und Infrastruktur – der SOC-Umfang ist im Service-Design-Dokument festgelegt
- Skalierbarkeit: Leistungsumfang anpassbar vom Security-Monitoring durch BEKOM bis zum durchgehenden 24/7-Betrieb mit SOC-Partnern
- Kein Aufbau eigener SOC-Infrastruktur, kein eigener Schichtbetrieb und keine eigene SIEM-Plattform erforderlich
- Transparente Kostenstruktur: Im Security-Assessment erstellt BEKOM ein konkretes Betriebskonzept mit nachvollziehbarer Kalkulation
BEKOM bietet Zugang zu vollständigen SOC-Leistungen über eine planbare Monatspauschale. Im Security-Assessment erfasst BEKOM Ihre konkreten Anforderungen und erstellt ein Betriebskonzept, das Leistungsumfang, SLA-Stufen und Kostenstruktur für Ihr gewähltes Betriebsmodell transparent darstellt.
Verwandte Themen: Komplementär zu Managed SOC stehen Managed SIEM für die Log-Korrelations-Plattform und Managed Vulnerability für laufendes Schwachstellen-Management. Die Open-Source-Detection-Schicht behandelt Intrusion Detection & Prevention; für KRITIS-spezifische Einführung siehe das Szenario OPNsense für KRITIS.
Häufige Fragen zum Managed SOC
Betreibt BEKOM ein eigenes SOC?
BEKOM betreibt die Sicherheitsüberwachung in zwei Stufen: Im Security-Monitoring übernimmt BEKOM direkt die Überwachung und Alert-Bewertung Ihrer angebundenen Systeme während erweiterter Servicezeiten. Für den durchgehenden 24/7-Betrieb arbeitet BEKOM mit qualifizierten SOC-Partnern zusammen, die das Analysten-Team und die Analyseplattform stellen. BEKOM bleibt in beiden Modellen Ihr zentraler Ansprechpartner und koordiniert den gesamten Prozess.
Wer sind die SOC-Partner und wie werden sie ausgewählt?
BEKOM arbeitet mit SOC-Partnern zusammen, die nachgewiesene Qualifikationen im Security-Betrieb vorweisen – etwa ISO-27001-Zertifizierung, BSI-Qualifizierung oder vergleichbare Nachweise. Die Partner werden nach definierten Kriterien ausgewählt: Analysekompetenz, Reaktionsfähigkeit, Datenschutzstandards und vertragliche Rahmenbedingungen. Die Auswahl wird im Rahmen des Security-Assessments mit Ihrem Team abgestimmt. BEKOM prüft und dokumentiert die Partner-Qualifikation vor Vertragsabschluss.
Wo werden unsere Log-Daten gespeichert?
Die Speicherorte der Log-Daten werden im Service-Design-Dokument verbindlich festgelegt. BEKOM vereinbart die DSGVO-konforme Verarbeitung vertraglich mit dem SOC-Partner. Abhängig vom gewählten Partner und Betriebsmodell erfolgt die Speicherung in deutschen Rechenzentren oder in Rechenzentren innerhalb der EU. Der Speicherort ist transparent und vertraglich fixiert. Sie behalten die Kontrolle über die Speicherdauer und den Zugriff auf Ihre Log-Daten.
Braucht unsere Organisation ein 24/7-SOC?
Nicht jede Organisation benötigt eine durchgehende Überwachung. Der 24/7-Betrieb ist dann relevant, wenn regulatorische Anforderungen dies vorgeben, geschäftskritische Systeme außerhalb regulärer Arbeitszeiten betrieben werden oder das Bedrohungsprofil eine ständige Analyse erfordert. Das Security-Monitoring durch BEKOM deckt viele Szenarien bereits ab. Im Security-Assessment ermittelt BEKOM gemeinsam mit Ihrem Team, welches Betriebsmodell zu Ihren konkreten Anforderungen und Ihrem Schutzbedarf passt.
Was kostet ein Managed SOC im Vergleich zum Eigenbetrieb?
Die konkreten Kosten hängen vom Leistungsumfang ab: Anzahl angebundener Systeme, gewähltes Betriebsmodell (Security-Monitoring oder 24/7 mit Partner), SLA-Stufe und Reporting-Anforderungen. Ein internes SOC mit 24/7-Besetzung erfordert typischerweise Personalkosten für fünf bis sechs Analysten, SIEM-Lizenzen und laufende Prozesskosten. BEKOM bietet stattdessen eine planbare Monatspauschale. Im Security-Assessment erstellt BEKOM ein konkretes Betriebskonzept mit transparenter Kostenstruktur für Ihre Anforderungen.
Wie läuft die Übernahme bestehender Security-Systeme ab?
BEKOM startet mit einem strukturierten Security-Assessment: Erfassung der vorhandenen Security-Werkzeuge, Log-Quellen und bestehenden Prozesse. Auf dieser Basis entsteht ein Übernahmeplan, der die Integration in die SOC-Plattform des Partners, die Konfiguration der Eskalationspfade und die Abstimmung der SLAs umfasst. Das interne Team wird in die Übergabe eingebunden und erhält eine vollständige Übergabe-Dokumentation.
Können wir vom Security-Monitoring später auf 24/7 wechseln?
Der Wechsel zwischen Betriebsmodellen ist möglich und vertraglich vorgesehen. BEKOM koordiniert die Einbindung des SOC-Partners und die Erweiterung des Service-Umfangs. Die technische Integration – Log-Quellen, Korrelationsregeln, Eskalationspfade – bleibt bestehen und wird nicht neu aufgebaut. Der Partner übernimmt die erweiterten Analysezeiten auf Basis der vorhandenen Konfiguration. Die Umstellung wird im Change-Management-Prozess durchgeführt und dokumentiert.
Welche Transparenz erhalten wir über die SOC-Aktivitäten?
BEKOM stellt regelmäßige Security-Reports bereit: Anzahl und Klassifikation der analysierten Alerts, Inzidenz-Übersichten, Reaktionszeiten und Bedrohungstrends über definierte Berichtszeiträume. Die Berichtsfrequenz und der Detailgrad werden im Service-Design-Dokument vereinbart. Bei Sicherheitsvorfällen erhalten Sie Status-Updates während der laufenden Bearbeitung und einen dokumentierten Abschlussbericht mit Maßnahmenempfehlung. Zusätzlich haben Sie Zugang zur Monitoring-Oberfläche für den Echtzeit-Überblick über alle überwachten Systeme.
Nächster Schritt: Security-Assessment anfragen
Der Einstieg beginnt mit einem Security-Assessment: Erfassung Ihrer IT-Umgebung, Analyse des Schutzbedarfs und Empfehlung für das passende SOC-Betriebsmodell.
Das Security Operations Assessment verschafft Klarheit über den aktuellen Ist-Zustand Ihrer Sicherheitsüberwachung und identifiziert Lücken in der Bedrohungserkennung. Sie erhalten eine konkrete Bestandsaufnahme vorhandener Monitoring-Werkzeuge, eine Architektur-Empfehlung für die SOC-Integration und ein detailliertes Service-Design für den strukturierten Betriebsumfang der Sicherheitsleitstelle.
Assessment anfragen
Kontaktieren Sie BEKOM für ein unverbindliches Security-Assessment. Gemeinsam mit Ihrem IT-Team erfassen wir den Ist-Zustand Ihrer Sicherheitsüberwachung und identifizieren konkrete Handlungsfelder.
SOC-Konzept erstellen
Auf Basis des Assessments entsteht ein konkretes Betriebskonzept: Empfohlenes SOC-Modell, Umfang der Log-Anbindung, SLA-Stufen und transparente Kostenstruktur – als Entscheidungsgrundlage für Ihr Team.
Betrieb aufnehmen
Nach Ihrer Freigabe koordiniert BEKOM die Anbindung Ihrer IT-Systeme an die SOC-Plattform, die Konfiguration der Eskalationspfade und den Start der Sicherheitsüberwachung nach den vereinbarten Prozessen.