9. Mai 2025 Christof Baumgartner

Cybersecurity im Wandel: Warum MDR für KMU unverzichtbar wird

Wie schützen sich Unternehmen trotz Fachkräftemangel vor Cyberangriffen? MDR-Lösungen liefern Antworten – und setzen auf KI und Expertenwissen. Fabian Freundt, Senior Solutions Engineer bei Sonicwall, sprach im Rahmen eines ITWelt.at Roundtables darüber, wie ein SOC Unternehmen vor komplexen Bedrohungen schützen und KI die Abwehr stärken kann. [...]

Fabian Freundt, Senior Solutions Engineer bei Sonicwall. (c) timeline/Rudi Handl
Fabian Freundt, Senior Solutions Engineer bei Sonicwall. (c) timeline/Rudi Handl

In einer zunehmend digitalen Geschäftswelt steigen die Anforderungen an die IT-Sicherheit für Unternehmen aller Größenordnungen. Besonders kleine und mittlere Unternehmen stehen vor der Herausforderung, mit begrenzten Ressourcen ein angemessenes Schutzniveau zu gewährleisten. Managed Detection and Response (MDR) bietet hier einen wirkungsvollen Ausweg: Als ausgelagertes Security Operations Center (SOC) übernimmt MDR die Überwachung, Analyse und Abwehr von Cyberangriffen – rund um die Uhr und durch hochqualifizierte Experten. Im Rahmen des Roundtables „Bock auf SOC“ von ITWELT.at erläuterte Fabian Freundt, Senior Solutions Engineer bei Sonicwall, die Unterschiede zwischen klassischem SOC und MDR, die Rolle von Künstlicher Intelligenz in der Cyberabwehr und wie Unternehmen der wachsenden Komplexität und dem Fachkräftemangel begegnen können.

Wie unterscheidet sich MDR von einem klassischen SOC und wie ist es in ein SOC integriert?

Managed Detection and Response (MDR) ist im Grunde genommen das ausgelagerte, also outgesourcte, Security Operations Center (SOC). Besonders für kleine und mittlere Unternehmen (KMU), die es sich finanziell oder personell nicht leisten können, ein eigenes SOC zu betreiben, stellt MDR eine attraktive Lösung dar.

Bei einem MDR-Service handelt es sich um ein gemanagtes SOC, in dem erfahrene Experten rund um die Uhr – also 24/7 – für das Unternehmen tätig sind. Sie überwachen kontinuierlich das Netzwerk, reagieren bei Angriffen oder Auffälligkeiten und leiten bei Bedarf sofort Gegenmaßnahmen ein.

Für ein KMU bedeutet MDR somit, dass es die wichtigen Schutzmechanismen eines SOC nutzen kann, ohne selbst die Infrastruktur und das entsprechende Personal vorhalten zu müssen. Die Sicherheit bleibt auf hohem Niveau, während der Aufwand für das Unternehmen gering bleibt.

Wie funktioniert die Zusammenarbeit mit einem MDR-Anbieter und der internen Sicherheitsabteilung? Welche Herausforderungen gibt es bei der Implementierung?

Zunächst ist es essenziell, das Unternehmen und seine Abläufe genau zu kennen. Die interne Sicherheitsabteilung muss gemeinsam mit dem SOC beziehungsweise dem MDR-Anbieter definieren, welche Prozesse und Abläufe existieren oder wie diese gestaltet werden müssen. Nur so ist sichergestellt, dass im Falle eines Sicherheitsvorfalls sofort und gezielt reagiert werden kann.

Fabian Freundt,
Sonicwall.
(c) timeline/Rudi Handl

Wenn diese Prozesse im Vorfeld nicht klar festgelegt und abgestimmt wurden, besteht die Gefahr, dass es im Ernstfall zu Chaos kommt und wertvolle Zeit verloren geht. Deshalb sollten Unternehmen und MDR-Anbieter gemeinsam klare Prozesse und Abläufe definieren und diese in einem sogenannten SOC-Playbook dokumentieren. Dieses Playbook dient beiden Seiten – sowohl der internen Sicherheitsabteilung als auch dem SOC – als verbindliche Orientierung und Handlungsanweisung. So kann im Ernstfall schnell und koordiniert gehandelt werden und das Risiko von Missverständnissen oder Fehlentscheidungen wird minimiert.

Welche Rolle spielt Künstliche Intelligenz mittlerweile in einem Unternehmen besonders in Bezug auf Cybersecurity?

Meiner Meinung nach muss man KI tatsächlich mit KI bekämpfen. Denn auch Cyberkriminelle setzen verstärkt auf künstliche Intelligenz, zum Beispiel um Malware laufend zu verändern und so die Erkennung durch Firewalls oder andere Sicherheitssysteme zu erschweren.

Als Hersteller nutzen wir daher ebenfalls KI-Technologien, um solche sich ständig weiterentwickelnden Angriffe zu erkennen und abzuwehren. Natürlich bringt auch eine von uns eingesetzte „gute“ KI gewisse Herausforderungen mit sich, etwa sogenannte Blind Spots. Das bedeutet: Wenn eine neue Ransomware-Variante oder ein bisher unbekannter Zero-Day-Angriff auftaucht, kann auch unsere KI diese Bedrohung zunächst noch nicht erkennen. In anderen Fällen ist die KI jedoch in der Lage, Muster und Auffälligkeiten zu identifizieren und diese den SOC-Analysten übersichtlich darzustellen, sodass sie gezielt reagieren können.

Das Fazit ist: Im aktuellen Bedrohungsumfeld muss KI tatsächlich mit KI bekämpft werden. Nur so kann man mit der rasanten Entwicklung auf Angreiferseite Schritt halten.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Wo liegen Ihrer Meinung nach die Grenzen von KI?

KI ist keineswegs das Allheilmittel für all unsere Probleme. Wie bereits erwähnt wurde, muss eine KI mit relevanten Daten versorgt und kontinuierlich angelernt werden. Andernfalls kann es passieren, dass sie legitime Vorgänge – beispielsweise wenn ein Administrator eine größere Änderung vornimmt, von der viele Nutzer betroffen sind – fälschlicherweise als Angriff interpretiert.

Die KI muss also richtig „gefüttert“ und trainiert werden, um situationsgerecht reagieren zu können. Dazu kommt: Es besteht ein gewisses Gefahrenpotenzial, wenn durch die Funktionsweise der KI und ihre Trainingsdaten auch internes Know-how preisgegeben wird. Angreifer könnten versuchen, diese Informationen auszunutzen, um Schutzmechanismen gezielt zu umgehen.

Wir versuchen, solche Risiken so weit wie möglich zu minimieren. Dennoch sehe ich hier immer eine gewisse Einschränkung: KI kann nicht alle Entscheidungen eigenständig und fehlerfrei treffen. Der Mensch bleibt weiterhin ein unverzichtbarer Bestandteil jeder Sicherheitsstrategie.

Welche Rolle kann MDR beim Thema Fachkräftemangel spielen?

Es ist eindeutig, dass wir einen gravierenden Fachkräftemangel haben. Natürlich kann jedes Unternehmen versuchen, ein eigenes Sicherheitsteam aufzubauen. Die technischen Werkzeuge wie EDR, MDR, XDR oder SOAR stehen zur Verfügung. Das Problem entsteht jedoch oft im Mittelstand: Selbst wenn die Tools vorhanden sind, fehlt es nicht selten an ausreichend qualifizierten Mitarbeitern, um deren volles Potenzial auszuschöpfen.

Fabian Freundt,
Sonicwall.
(c) timeline/Rudi Handl

Einzelne Mitarbeitende erhalten zwar zahlreiche Informationen, sehen jedoch häufig nicht das ganzheitliche Bild. Sie erkennen die Zusammenhänge nicht und können dadurch Angriffe übersehen oder falsch interpretieren. Ohne die nötigen Kompetenzen und das spezifische Wissen ist es schwer, Sicherheitsvorfälle korrekt einzuschätzen.

Genau hier kommt MDR – Managed Detection and Response – ins Spiel. Durch die Auslagerung an einen Spezialisten gewinnt das Unternehmen Zugriff auf Experten, die in der Lage sind, komplexe Angriffsmuster zu erkennen und Zusammenhänge zu verstehen, die einem klassischen Systemadministrator möglicherweise verborgen bleiben. Das ist besonders wichtig, da nicht nur im Bereich IT-Security, sondern generell ein Mangel an Fachkräften besteht. Gerade im KMU-Bereich oder sogar in größeren Unternehmen fehlt häufig das Personal, um sich ausschließlich um IT-Sicherheit zu kümmern. Die Aufgaben reichen vom Lösen alltäglicher Anwenderprobleme über den Austausch von Hardware bis hin zu klassischen IT-Administrationsaufgaben – die IT-Sicherheit bleibt dabei oft auf der Strecke.

In solchen Situationen bieten Managed Service Provider (MSP) und MDR-Lösungen einen entscheidenden Mehrwert und sind ein großer Schritt nach vorn für die Unternehmenssicherheit. Gleichzeitig kann Künstliche Intelligenz – sofern man die Security dennoch intern betreiben möchte – zusätzliche Unterstützung bieten, etwa durch Assistenzsysteme, die Routineaufgaben erleichtern.

Als Hersteller stellen wir die passenden Lösungen bereit, damit Unternehmen die Möglichkeit haben, ihre Security auszulagern und so ein gutes Gefühl zu haben – in dem Wissen, dass sie nachts ruhig schlafen und nach dem Wochenende ins Büro kommen können, ohne unliebsame Überraschungen erleben zu müssen.

Wie können sich Unternehmen der wachsenden Komplexität und den steigenden Anforderungen in der IT-Sicherheit stellen?

Es gibt hier mehrere Aspekte, die berücksichtigt werden müssen. Zum einen nimmt die Komplexität der IT-Landschaften und Bedrohungen stetig zu. Das bedeutet, Unternehmen benötigen Unterstützung, um diesen Herausforderungen wirksam zu begegnen – sei es durch den Einsatz von Künstlicher Intelligenz oder andere moderne Ansätze.

Ein zentraler Punkt ist die Automatisierung: In der Zukunft wird es unabdingbar sein, möglichst viele Prozesse zu automatisieren. Ohne Automatisierung laufen wir Gefahr, dass wir mit einer steigenden Anzahl von Kunden und Systemen schlichtweg nicht mehr Schritt halten und die Anforderungen nicht mehr abdecken können.

Um die Komplexität zu reduzieren, ist es besonders wichtig, Angriffe und Bedrohungen so früh wie möglich zu erkennen und direkt am Perimeter abzuwehren – idealerweise bereits 80 bis 90 Prozent aller Gefahren. So können wir unsere Ressourcen darauf konzentrieren, die wenigen, aber dafür besonders kritischen Fälle gezielt zu analysieren und zu bearbeiten.

Wenn wir diesen Ansatz nicht verfolgen, besteht die Gefahr, dass uns die Komplexität irgendwann über den Kopf wächst und niemand mehr in der Lage ist, die Situation zu überblicken und zu steuern. Schlussendlich würde das zu einem erheblichen Chaos führen. Deshalb ist es essenziell, Komplexität durch vorausschauende Maßnahmen und den gezielten Einsatz von Automatisierungstools frühzeitig zu verringern – so bleibt die Arbeitsbelastung für Unternehmen und ihre Mitarbeiter handhabbar.

Wie sieht die Zukunft des SOC aus?

Ich bin überzeugt, dass sich die Rolle der SOC-Analysten von der klassischen Log-Analyse hin zu echten Incident Managern entwickeln muss. Das bedeutet, sie müssen in der Lage sein, bereits im Vorfeld potenzielle Sicherheitsvorfälle zu erkennen und proaktiv gegenzusteuern.

Durch KI-gestützte Automatisierung werden zunehmend standardisierte Aufgaben automatisch erledigt. Die SOC-Analysten können sich dadurch stärker auf präventive und strategische Tätigkeiten konzentrieren.

Besonders im Fokus stehen hierbei Endpoints, da sie weiterhin das Hauptziel von Angreifern bleiben. Allerdings nimmt auch das Identity Management eine immer größere Bedeutung ein – viele Angriffe erfolgen mittlerweile über diesen Weg, beispielsweise per E-Mail. Deshalb ist es wichtig, auch in diesem Bereich die KI gezielt zu trainieren, um Angriffsvektoren frühzeitig zu erkennen und zu schützen.

Letztlich kann dieser Wandel nur in enger Zusammenarbeit zwischen Mensch und Maschine gelingen: Die Mitarbeiter werden durch Automatisierung von Routinetätigkeiten entlastet und können sich verstärkt auf präventive und analytische Aufgaben konzentrieren. Das erhöht die Effektivität der gesamten Sicherheitsorganisation und stärkt den Schutz vor modernen Bedrohungen.

Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*