Inhalt
Immer schnellere und raffiniertere Cyberangriffe machen eigentlich für jedes Unternehmen ein Security Operations Center (SOC) zur Pflicht. Doch das überfordert die meisten Firmen und sie begeben sich daher auf die Suche nach einem externen Partner. Wir klären die Frage, worauf es bei der Anbieterwahl ankommt und welche Kriterien für kleine, mittelständische und große Unternehmen wichtig sind.
Das Outsourcing von IT-Sicherheitsdienstleistungen wird für immer mehr Unternehmen zu einer notwendigen Strategie, um Reaktionszeiten auf Angriffe zu verkürzen und interne Ressourcen vor dem Hintergrund des Fachkräftemangels zu optimieren. Ein Managed Detection & Response Service (MDR) mit einem professionell geführten Security Operations Center verbessert die Cybersicherheit insbesondere durch eine 24×7-Überwachung mit schneller Angriffserkennung und -abwehr. Im Folgenden finden Unternehmen unterschiedlicher Größe wichtige Kriterien für die Auswahl eines geeigneten Angebots:
Kleine Unternehmen: Basis-Schutz mit Monitoring aus der Cloud
Kleinere Unternehmen verfügen oft nicht über eine eigene IT-Sicherheitsabteilung und sind daher auf externe Partner angewiesen. Im Rahmen eines MDR-Angebots sorgt ein 24×7-Monitoring dafür, dass Alarme rund um die Uhr überwacht werden, um Bedrohungen sofort zu erkennen und abzuwehren. Denn bei Ransomware-Angriffen vergehen oft nur wenige Stunden zwischen dem ersten Eindringen und der vollständigen Verschlüsselung der IT-Infrastruktur mit anschließender Lösegeldforderung. Erfolgt der Angriff gezielt nachts oder am Wochenende, was immer häufiger der Fall ist, ist der finanzielle Schaden aufgrund der langen Reaktionszeit kaum noch zu begrenzen.
Als weitere Bausteine sollte das MDR-Angebot auch eine kontinuierliche Bedrohungsanalyse(Threat Intelligence)und die Entwicklung eines strukturierten Reaktionsplans beinhalten. Dadurch können die Risiken nochmals deutlich reduziert werden. Last but not least sollten Sicherheitsdienstleistungen so flexibel sein, dass sie mit dem Unternehmen mitwachsen können. Rahmenverträge mit festgelegten Reaktionszeiten bieten finanzielle Planungssicherheit und Kostenkontrolle.
Der effizienteste Weg zu einem umfassenden MDR-Service für kleinere Unternehmen führt in der Regel über die Cloud. Beim Cloud-basierten MDR-Service werden Angriffserkennung und Reaktion vollständig ausgelagert, am einfachsten und unabhängigsten in eine Microsoft-Cloud. Dies ist relativ kurzfristig möglich, aber der Nutzer muss die Lösung in seine Umgebung integrieren.
Mittlere Unternehmen: Flexibilität und Expertise kombinieren
Für mittelständische Unternehmen sind häufig hybride Sicherheitsmodelle attraktiv, da sie interne und externe Ressourcen kombinieren. Eine solche On Premises MDR-Lösung bildet das 24×7-Monitoring beim Dienstleister ab, während die Datenhaltung beim Kunden verbleibt. Im Sicherheitsfall informieren die externen Analysten den Kunden und leiten entsprechende Maßnahmen je nach Vereinbarung eigenständig, auf Empfehlung oder nach Rücksprache ein.
Aufgrund der höheren Komplexität sollten die Unternehmen bei der Anbieterauswahl auf eine klare Rollenverteilung zwischen dem internem IT-Team und dem externem Dienstleister achten, um von einer möglichst hohen Effizienz und schnellen Reaktionszeiten zu profitieren. Ein wichtiger Anhaltspunkt sind auch Zertifizierungen und Nachweise über Qualifikationen wie ISO 27001, SOC 2 oder TISAX. Dies gilt insbesondere, wenn kritische IT-Systeme betroffen sind.
In Bezug auf die angebotenen Lösungen sollten alle Sicherheitstechnologien und -werkzeuge auf dem neuesten Stand sein. Die beiden wichtigsten Bausteine eines modernen Security Operations Centers für MDR sind: Endpoint Detection & Response (DER) zur signaturbasierten Erkennung von bedrohlichem Verhalten, ein SIEM (Security Information and Event Management) zur Protokollverarbeitung und regelbasierten Angriffserkennung sowie ein NDR-System (Network Detection & Response) zur Analyse des Netzwerkverkehrs. Darüber hinaus hilft ein proaktives Threat Hunting, Bedrohungen frühzeitig zu erkennen, bevor sie Schaden anrichten können.
Große Unternehmen: Spezialisierung und Tiefe
Große Unternehmen benötigen spezialisierte Sicherheitsdienstleistungen, die auf komplexe Infrastrukturen und hochsensible Daten zugeschnitten sind. Wichtigste Auswahlkriterien sind hier die technologische Integration bestehender Systeme wie EDR, SIEM und NDR sowie die Sicherstellung der Datenhoheit. Denn in der Regel möchte das Unternehmen die Kontrolle über seine sensiblen Daten behalten.
Je größer das Unternehmen, desto mehr kommt die Zusammenarbeit mit dem Dienstleister einer strategischen Partnerschaft gleich. Das ist auch sinnvoll, denn langfristige Kooperationen mit spezialisierten Anbietern ermöglichen auch die kontinuierliche Verbesserung der IT-Resilienz, die laufende Anpassung an neue Bedrohungen und den Anschluss an technologische Innovationen wie KI-basierte Methoden zur Angriffserkennung und -abwehr. Auch der Lösungsbereich Incident Response und Forensik sollte nicht in einem ganzheitlichen MDR-Angebot fehlen. Denn eine eingehende Angriffsanalyse birgt wichtige Erkenntnisse zur Stärkung der Cyberabwehr.
Organisatorisch lassen sich diese Anforderungen entweder mit einer On-Premises-Lösung oder mit einem Co-Managed SOC abbilden. Bei letzterem gewährt der Kunde dem Dienstleister Zugriff auf seine eigenen Systeme. Der Hauptunterschied zur On-Premises-Lösung besteht darin, wem das System gehört, wo die Daten liegen und welches Zugriffsmaß der Dienstleister hat.
Weitere Auswahlkriterien
Ob ein Anbieter tatsächlich in der Lage ist, ein echtes 24×7-Monitoring abzubilden, lässt sich leicht an der Anzahl der Mitarbeiter und Kunden ablesen. Bei beispielsweise ist mit nur fünf Analysten ein effizientes Drei-Schicht-Modell kaum realisierbar. Sind viele Analytiker pro Kunde vorhanden, ist dies ein Zeichen für eine gute Alarmbearbeitung. Bei wenigen Analysten pro Kunde können die Reaktionszeiten unnötig lang sein. Wirklich kurze Reaktionszeiten können nur bei einem Dreischichtbetrieb erreicht werden oder wenn der Anbieter Analysten in verschiedenen Zeitzonen einsetzt, die sich nahtlos abwechseln(Follow-the-Sun-Prinzip). Ein Bereitschaftsmonitoring kann dagegen nur „garantierte“, d.h. vergleichsweise lange Reaktionszeiten bieten.
Insbesondere bei schnell eskalierenden Angriffen wie Ransomware kann eine sofortige Reaktion durch einen Analysten entscheidend sein. Daher spielt auch der Automatisierungsgrad der Alarmverarbeitung eine wichtige Rolle. Je höher er ist, desto effizienter können die Ressourcen des SOC genutzt werden. Wichtig ist auch, dass die Sensoren qualitativ hochwertige Alarme erzeugen. Denn Fehlalarme können zu Fehlentscheidungen führen und die Effizienz erheblich beeinträchtigen.
Die wichtigsten Werkzeuge eines SOC sind EDR, SIEM und NDR. In der Regel liegen diese Systeme ganz oder teilweise beim Kunden vor. Ein Dienstleister sollte deshalb über ein ausreichendes Maß an Integrationskompetenz verfügen, damit die einzelnen Funktionen optimal für die Bedrohungserkennung und -reaktion genutzt werden können. Auch die Kompatibilität mit SOAR-Lösungen spielt eine Rolle, da viele Anbieter auf bestimmte Produkte spezialisiert sind.
Fazit
Ein professioneller MDR-Dienstleister kann Unternehmen jeder Größe helfen, einen hohen Schutzstandard zu erreichen, ohne die internen Ressourcen zu überlasten. Die Auswahl des richtigen Anbieters und Angebots erfordert jedoch eine intensive Auseinandersetzung mit der Frage, welche Dienste benötigt werden und welches Betriebsmodell zum Unternehmen passt. Wie effizient das externe SOC arbeitet, lässt sich anhand der Mitarbeiterkapazität, dem Automatisierungsgrad und dem Integrationsknowhow des Anbieters einschätzen.
Sie möchten sich im Detail zu diesem Thema informieren? Dann empfehlen wir Ihnen den ausführlichen Artikel aus der iX, Ausgabe 10/2024 (kostenpflichtig bei heise+). Die begleitende Martkübersicht führt sehr differenziert 30 ausgewählte Anbieter von MDR- und SOC-Services auf. SECUINFRA wird als einer von 30 ausgewählten Anbietern ausführlich vorgestellt. Das Unternehmen erfüllt nahezu alle Kriterien, die im Beitrag als besonders wichtig hervorgehoben sind.
