XDR und KI verändern Security Operations Center grundlegend. Was heute möglich ist, welche Herausforderungen bestehen und wie das SOC der Zukunft aussieht, hat Konstantin Berger, Solutions Engineering Manager DACH bei Trellix, im Rahmen eines ITWelt.at Roundtables verraten. [...]
Die Landschaft der Cyberbedrohungen entwickelt sich rasant, und Unternehmen stehen vor der immensen Herausforderung, ihre digitalen Assets effektiv zu schützen. Eine zentrale Rolle in dieser Abwehrstrategie spielen Security Operations Center (SOCs). Doch die schiere Menge an Sicherheitswarnungen und die Komplexität moderner IT-Infrastrukturen stellen SOC-Teams vor enorme Belastungen. In diesem Kontext rückt der Ansatz von Extended Detection and Response (XDR) immer stärker in den Fokus. Konstantin Berger, Solutions Engineering Manager DACH bei Trellix, hat im Rahmen des ITWELT.at-Roundtables „Bock auf SOC“ die strategische Positionierung von XDR im Zusammenspiel mit traditionellen SOC-Strukturen, die Potenziale und Fallstricke beim Einsatz von Künstlicher Intelligenz sowie die Möglichkeiten eines schrittweisen Einstiegs in Managed Detection and Response (MDR)-Services beleuchtet.
Wie positionieren Sie XDR (Extended Detection and Response) im Zusammenspiel mit klassischen SOC-Strukturen?
XDR, also „Extended Detection and Response“, stellt keinen Nachfolger eines SOC dar, sondern ist vielmehr ein essenzieller Bestandteil moderner SOC-Architekturen. Häufig wird XDR als eine Art „Superheld“ angesehen, der ins SOC einzieht und mit einem Schlag für mehr Sicherheit und Transparenz sorgt. In der Realität folgt auf diese Erwartungshaltung jedoch oft Ernüchterung, da XDR nicht automatisch all diese Versprechen erfüllt.
Zentral ist, dass man das eigene Unternehmen und die Funktionsweise des SOC genau versteht. Es gilt zu klären, welche Werte geschützt werden müssen und welche Angriffsvektoren relevant sind. XDR ist keine bloße Weiterentwicklung von EDR (Endpoint Detection and Response), sondern steht für „extended“ – also erweitert. Das bedeutet, XDR integriert zahlreiche verschiedene Sicherheitsvektoren: Endpunkte, Netzwerke, E-Mail, Data Protection und Identity Management – um nur einige zu nennen.
Diese diversen Quellen werden im XDR korreliert und übersichtlich dargestellt. Dabei geht es nicht darum, einfach ein weiteres Dashboard im SOC zu schaffen, das nur zusätzliche Alarme produziert. Vielmehr muss XDR die wirklich relevanten Warnungen herausfiltern und die SOC-Mitarbeitenden darauf fokussieren, worauf es im Ernstfall ankommt. Genau für diese konsolidierte, priorisierte Übersicht steht das „X“ in XDR.
Inwiefern hilft XDR dabei, die wachsende Flut an Alarmen und Events im SOC-Alltag zu bewältigen, gerade vor dem Hintergrund knapper personeller Ressourcen und einer immer komplexer werdenden Bedrohungslage?
Die Datenflut ist eines der zentralen Themen im Kontext von SOCs. Je mehr Angriffsvektoren ich in ein SOC integriere, desto mehr Tools setze ich ein, was wiederum zu einer stetig wachsenden Anzahl an Events und Warnmeldungen führt. Hier befinden wir uns in einem Paradoxon: Einerseits nehmen die Angriffe, Events und Alarme ständig zu, andererseits stehen immer weniger Analysten zur Verfügung – willkommen in der Realität des Jahres 2025.
Wie kann man dieser Herausforderung begegnen? XDR liefert hier einen entscheidenden Mehrwert, indem es Sichtbarkeit über alle Plattformen und Sicherheitsvektoren hinweg schafft. Wenn sich ein SOC-Mitarbeitender mit unterschiedlichsten Sachverhalten beschäftigen muss, braucht er ein Tool, das Informationen sammelt, sinnvoll aufbereitet und in den richtigen Kontext setzt.
Erst mit diesem Kontext kann zuverlässig beurteilt werden, ob ein Alarm tatsächlich relevant ist und weiterverfolgt werden muss oder ob es sich um einen Fehlalarm (False Positive) handelt. XDR macht es möglich, schnell und gezielt zu reagieren – und genau diese Geschwindigkeit ist entscheidend, um im Ernstfall effektiv und rechtzeitig handeln zu können.
Viele Unternehmen setzen große Hoffnungen in den Einsatz von Künstlicher Intelligenz im Security Operations Center (SOC). Wo sehen Sie die größten Chancen, aber auch die häufigsten Missverständnisse bei der Implementierung von KI im SOC?
Die Implementierung von Künstlicher Intelligenz bringt zweifellos große Chancen, aber auch Risiken mit sich. Wird KI falsch implementiert, kann sie mit einem hyperaktiven Praktikanten verglichen werden: Sie ist äußerst motiviert und arbeitet sehr schnell, aber sie benötigt eine klare Anleitung. Zunächst muss ihr die „Welt erklärt“ und sie muss mit qualitativ hochwertigen Daten gefüttert werden, damit sie versteht, was im Unternehmen passiert und welche Prozesse wie ablaufen sollen – und ebenso, was vermieden werden soll.
Trellix.
(c) timeline/Rudi Handl
Ein häufiger Trugschluss ist, einfach einen Chatbot als Unterstützung für SOC-Mitarbeiter einzusetzen. Dabei muss man jedoch bedenken, dass dies nicht immer effizient ist: Die Mitarbeitenden müssten Zeit investieren, um Fragen zu formulieren, Antworten zu verifizieren und diese weiterzuverarbeiten. In vielen Fällen dient KI hier lediglich als Unterstützung bei der Recherche – sie ersetzt jedoch keine fundierte Analyse.
Ein CISO eines größeren Unternehmens hat es treffend formuliert: „Meine Mitarbeiter sollen nicht chatten, sie sollen arbeiten. Sie sollen Alarme analysieren und proaktiv handeln.“ Hier stimme ich ihm zu. Richtig eingesetzt, bringt KI vor allem dann einen Mehrwert, wenn sie relevante Zusammenhänge erkennt und die richtigen Daten korreliert. Beispielsweise kann sie prüfen, wenn ein Buchhaltungsmitarbeiter plötzlich ungewöhnliche Systemberechtigungen erhält oder Serververbindungen aufnimmt – Aufgaben, die sonst ein SOC-Analyst in seinem Tagesgeschäft übernehmen würde. Erst wenn die KI solche Muster eigenständig erkennt und verarbeitet, steigt ihr tatsächlicher Nutzen im SOC-Betrieb deutlich.
Ein weiterer wichtiger Punkt ist die Dokumentationspflicht im SOC-Umfeld. Jeder Vorfall muss sauber dokumentiert werden. Hier bringt KI echten Mehrwert, wenn sie beispielsweise auf Knopfdruck komplette, strukturierte Incident-Reports mit allen relevanten Informationen erstellen und sogar automatisch eine verständliche E-Mail an den Kunden generieren kann. Solche Automatisierungen helfen, Prozesse zu beschleunigen und Fehler zu vermeiden – vorausgesetzt, die KI wurde richtig trainiert und implementiert.
Der Hype um Künstliche Intelligenz und Automatisierung im SOC ist groß. Wo liegen Ihrer Erfahrung nach aktuell die realen Möglichkeiten und Grenzen von KI-gestützter Automatisierung im SOC?
Der Einsatz von Künstlicher Intelligenz und Automatisierung klingt oft nach dem sprichwörtlichen „heiligen Gral“. Es ist verführerisch, sich vorzustellen, was damit alles möglich wäre – doch die damit einhergehenden Gefahren sind keineswegs zu unterschätzen. Bis wir tatsächlich an dem Punkt sind, KI und Automation als echte Gefahr zu begreifen, wird allerdings noch einige Zeit und viele Entwicklungsschritte vergehen.
Gerade im SOC-Umfeld (Security Operations Center) zeigt sich das sehr deutlich. Wir arbeiten mit Playbooks, also vordefinierten Handlungsanleitungen für verschiedene Sicherheitsvorfälle. Diese Playbooks beginnen wir zu automatisieren – und hierfür ist der Einsatz von KI tatsächlich äußerst sinnvoll. So können durch Automatisierung und KI wertvolle Freiräume geschaffen und viele Prozesse effizienter und smarter gestaltet werden.
Allerdings ist Automatisierung im SOC nie abgeschlossen. Sobald ein Playbook automatisiert wurde, warten schon zahlreiche weitere Aufgaben darauf, abgebildet und optimiert zu werden; ständig entstehen durch die tägliche Arbeit der Analysten neue Anwendungsfälle und Playbooks. Das Ziel von vollständiger Automatisierung wird man daher im SOC nie erreichen – ein „Fertig“ gibt es schlicht nicht. Stattdessen entdeckt man permanent neue Angriffspunkte, Vektoren und Verbesserungsmöglichkeiten.
Genau hier wird uns KI zukünftig noch stärker unterstützen. Allerdings liegt noch ein weiter Weg vor uns. Erst im Zusammenspiel mit anderen Herstellern und kontinuierlicher Weiterentwicklung werden wir einen Punkt erreichen, an dem die Risiken klarer werden und wir gezielt gegensteuern können. Bis dahin bleibt KI ein enorm hilfreiches, aber auch herausforderndes Werkzeug, dessen Potenziale wie Risiken gleichermaßen beachtet werden müssen.
Viele Unternehmen interessieren sich für MDR-Services (Managed Detection and Response), sind jedoch unsicher, ob sie direkt den Sprung zu einem umfassenden Outsourcing wagen sollen. Wie sieht aus Ihrer Sicht ein sinnvoller, schrittweiser Einstieg in MDR aus?
MDR-Services (Managed Detection and Response) sind zweifellos attraktiv und für viele Unternehmen ein vielversprechender Weg, die eigene Security zu stärken. Dennoch kann sich nicht jedes Unternehmen von Anfang an diese umfassenden Services leisten oder ist sofort bereit, diesen Schritt zu gehen. Es handelt sich um eine Reise, die individuell und schrittweise verläuft.
Trellix.
(c) timeline/Rudi Handl
Ich empfehle Unternehmen, zunächst bei sich selbst anzufangen – insbesondere mit der Prozessoptimierung. Automatisierung und KI wurden bereits angesprochen, doch zunächst sollte analysiert werden, wie der eigene SOC derzeit arbeitet und wie die zuständigen Security-Mitarbeitenden aufgestellt sind. Es geht darum, herauszufinden, was optimiert, ergänzt oder konsolidiert werden kann. Vielleicht betreibt ein Unternehmen aktuell sieben verschiedene Dashboards – durch den Einsatz von XDR (Extended Detection and Response) ließe sich diese Zahl womöglich auf zwei oder sogar nur eines reduzieren, das ein zentrales Event Management ermöglicht und Übersicht schafft.
Gleichzeitig muss ein Unternehmen MDR-Services nicht sofort als kompletten 24×7-Dienst einkaufen. Häufig beginnt die Reise mit einer 8×5-Abdeckung, bei der zunächst nur ein Teil der Verantwortung extern übernommen wird. Dies ist ein sinnvolles Vorgehen, um Schritt für Schritt die passende Balance zwischen Eigenverantwortung und Outsourcing zu finden.
Zudem besteht die Möglichkeit, bestimmte Aufgaben – etwa die Detection – auszulagern, während man die Response weiterhin selbst im Haus behält. Die Verantwortung muss also nicht vollständig abgegeben werden, sondern kann flexibel verteilt werden. Dadurch profitieren Unternehmen von professioneller Unterstützung, behalten aber weiterhin die Kontrolle über zentrale Bereiche – und können nachts mit dem beruhigenden Wissen schlafen, dass im Hintergrund immer jemand wachsam ist und unterstützt.
Immer mehr Unternehmen setzen auf Open XDR, um der wachsenden Komplexität in ihren Security-Architekturen zu begegnen. Wie hilft ein offener, herstellerübergreifender XDR-Ansatz dabei, IT-Silos aufzubrechen, Transparenz zu schaffen und die Zusammenarbeit im SOC zu verbessern?
Open XDR ist definitiv ein vielversprechender Ansatz, um der zunehmenden Komplexität im Bereich der IT-Security zu begegnen – und ich bin überzeugt, dass immer mehr Unternehmen langfristig genau diesen Weg einschlagen werden. Kern dieses Ansatzes ist das Aufbrechen von Silos: Open XDR-Plattformen ermöglichen eine herstellerübergreifende Integration und helfen dabei, die Vielzahl an isolierten Lösungen im Unternehmen zu vernetzen.
Auch wir bei Trellix verfolgen diesen offenen Ansatz konsequent. Unsere XDR-Plattform ist so konzipiert, dass wir nicht nur unsere eigenen Lösungen, sondern auch Produkte anderer Marktteilnehmer einbinden können. Das bedeutet: Wir verschließen uns nicht, sondern setzen gezielt auf Interoperabilität, weil wir genau wissen, wie vielfältig und heterogen die Herstellerlandschaft in unseren Kundenumgebungen ist. Ziel ist es, Silos aufzulösen und die Anzahl der einzelnen Dashboards – gerade im SOC-Bereich – nachhaltig zu reduzieren.
In der Praxis sieht man häufig, dass im SOC verschiedene Teams für Themen wie Netzwerk, E-Mail, Data Protection oder Endpoint zuständig sind. Dadurch entstehen Informationslücken, denn oft vergeht wertvolle Zeit, bis alle Beteiligten erkannt haben, dass mehrere Events miteinander zusammenhängen. Ein Open XDR-Ansatz hilft dabei, diese Informationen zu korrelieren, Transparenz zu schaffen und Zusammenhänge schneller und besser zu erkennen.
Vergleicht man die gesamte Security-Landschaft eines Unternehmens mit einem Orchester, dann ist klar: Sie ist komplex und diese Komplexität lässt sich nicht wegreden. Es wäre falsch zu glauben, dass ein einzelnes Tool die Arbeit drastisch vereinfacht. Vielmehr braucht es einen Dirigenten, der die verschiedenen Instrumente – sprich: Vektoren und Events – koordiniert. Open XDR übernimmt genau diese Funktion, indem es als Plattform agiert, die Informationen sammelt, strukturiert und gezielt auch Response-Maßnahmen anstößt.
Unterstützt durch KI und Automatisierung kann Open XDR die Komplexität zwar nicht vollständig eliminieren, aber sie wird deutlich greifbarer, überschaubarer und besser beherrschbar.
Wie sieht aus Ihrer Sicht das Security Operations Center der Zukunft aus ?
Meine Prognose für das Security Operations Center (SOC) der Zukunft ist, dass es nicht unbedingt größer, sondern vor allem smarter und hybrider sein wird. Der hybride Ansatz wird dabei auf mehreren Ebenen realisiert:
Einerseits werden Künstliche Intelligenz (KI) und Automatisierung weiter an Bedeutung gewinnen und viele Prozesse im SOC vollständig automatisieren können – natürlich stets unter menschlicher Kontrolle und mit einem prüfenden Auge. Andererseits werden auch Managed Detection and Response (MDR) Services flexibler und dynamischer gestaltet, sodass Unternehmen je nach Bedarf und aktueller Bedrohungslage schnell und flexibel auf verschiedene Services zugreifen können.
Ein weiteres Merkmal des SOCs der Zukunft werden hochdynamische Dashboards sein, die sich automatisch an das jeweilige Angriffsszenario und die Anforderungen derjenigen anpassen, die aktuell damit arbeiten. Hier spielt KI eine zentrale Rolle, um die Reaktionsfähigkeit und Effektivität weiter zu steigern.
Entscheidend ist jedoch nicht nur die Technologie selbst, sondern ebenso das Nutzererlebnis: Erst wenn Analysten in der Lage sind, ihre Tools effektiv zu nutzen und diese sie je nach Situation tagtäglich unterstützen, entfaltet das SOC der Zukunft sein volles Potenzial. Das smarte, adaptive und anwenderfreundliche SOC wird die Grundlage für eine erfolgreiche Sicherheitsstrategie von morgen bilden.
Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.
Be the first to comment