SOC oder MDR? Jürgen Reinhart, Solution Consultant bei WithSecure hat im Rahmen eines ITWelt.at Roundtables erklärt, wie moderne Security-Services Datenschutz, Effizienz und Business Continuity neu denken – und worauf Unternehmen jetzt achten müssen. [...]
Gerade im Bereich der Cybersicherheit stehen Unternehmen vor komplexen Entscheidungen. Klassische Security Operations Center (SOC)-Modelle werden zunehmend durch Managed Detection and Response (MDR) Angebote ergänzt oder abgelöst. Doch worin liegen die Kernunterschiede, insbesondere im Hinblick auf den Datenschutz, das Management enormer Datenvolumen und die nahtlose Integration von Sicherheitsprodukten und -teams? Jürgen Reinhart, Solution Consultant bei WithSecure, hat im Rahmen des ITWELT.at-Roundtables „Bock auf SOC“ erklärt, wie Anbieter diese Komplexität für den Mittelstand handhabbar machen und wohin sich das SOC der Zukunft entwickeln wird.
Wie unterscheiden sich klassische SOC-Modelle von modernen MDR-Angeboten insbesondere im Hinblick auf Datenschutz, Datenvolumen und die Integration von Sicherheitsprodukten und -teams?
Das klassische gemanagte SOC basiert in der Regel auf einer SIEM-Lösung: Es werden zahlreiche Log-Informationen gesammelt und ein externer Dienstleister übernimmt die Auswertung dieser Daten. Das Hauptaugenmerk liegt dabei auf der Sammlung und Analyse möglichst vieler Ereignisse aus der IT-Infrastruktur des Kunden.
WithSecure
(c) timeline/Rudi Handl
Im Gegensatz dazu verfolgt MDR (Managed Detection and Response) einen ganzheitlicheren Ansatz. Hier erhält der Kunde alles aus einer Hand: Die erforderlichen Produkte, wie EDR-Agents (Endpoint Detection and Response) auf den Endgeräten, sowie die Teams im Hintergrund – sei es vom Hersteller direkt oder in Zusammenarbeit mit einem Partner. Alles wird integriert und aufeinander abgestimmt.
Ein entscheidender Vorteil von MDR zeigt sich insbesondere beim Thema Datenschutz. Im klassischen SIEM-Ansatz werden oft sämtliche Logdaten gesammelt, wodurch schnell sehr große Datenmengen zusammenkommen. Dies birgt das Risiko, datenschutzrechtliche Vorgaben zu übersehen. Insbesondere das Sammeln übermäßig vieler Daten kann zum Problem werden – beispielsweise im Hinblick auf die Zusammenarbeit mit dem Betriebsrat oder bei internen Compliance-Prüfungen.
Bei MDR-Lösungen wird dieser Aspekt meist deutlich eleganter gelöst. Hier steht ein erfahrener Hersteller oder Partner zur Seite, der genau weiß, welche Informationen tatsächlich benötigt werden und wie diese datenschutzkonform erhoben werden. So können sich Unternehmen darauf verlassen, dass sie den Überblick behalten, keine unnötigen Daten sammeln und keine datenschutzrechtlichen Schwierigkeiten befürchten müssen.
Viele Unternehmen setzen beim Thema IT-Sicherheit stark auf die Erkennung von Angriffen. Wie wichtig ist aus Ihrer Sicht die Incident Response im Vergleich zur reinen Detection, und welche Rolle spielen dabei Incident Response Retainer im Rahmen eines modernen SOC- oder MDR-Services?
Incident Response Retainer spielen im Umfeld eines SOCs eine ganz entscheidende Rolle. Oft liegt der Fokus lediglich auf der Detection, also dem Erkennen von Vorfällen. Doch damit ist man – bildlich gesprochen – bereits einen Schritt zu spät, denn der Vorfall ist zu diesem Zeitpunkt schon eingetreten. Aus meiner Sicht ist daher das Thema Response, insbesondere die Incident Response, sogar noch bedeutsamer.
Ich vergleiche das gerne mit einem Rauch- oder Brandmelder: Die Detection funktioniert heutzutage sehr gut – Brände können frühzeitig erkannt werden. Die entscheidende Frage ist jedoch: Was passiert danach? Hier kommt die Incident Response ins Spiel, vergleichbar mit der Feuerwehr, die ausrückt, um den Brand zu löschen. Doch es macht einen großen Unterschied, ob eine kleine Dorffeuerwehr, eine große Stadtfeuerwehr oder ein hochspezialisiertes Einsatzteam – wie man es von Flughäfen kennt – zum Einsatz kommt.
Ein Incident Response Retainer, wie wir ihn beispielsweise bei unserem MDR-Service standardmäßig bereitstellen, ist deshalb unerlässlich. Wir sind überzeugt, dass reine Automatisierung – etwa das automatische Isolieren eines Hosts – in vielen Fällen nicht ausreicht. Häufig steht vielmehr die Business Continuity im Vordergrund: Der Geschäftsbetrieb unserer Kunden muss weiterlaufen. Wir können nicht einfach „die Feuerwehr sein“, die alles lahmlegt; vielmehr müssen wir dafür sorgen, dass die digitalen Geschäftsprozesse, wenn möglich, auch während eines Angriffs aufrechterhalten werden.
Hier kommt ein erfahrenes Incident Response Team ins Spiel – Profis, die genau wissen, wie sie in kritischen Situationen ruhig, überlegt und effektiv handeln. Viele Unternehmen erleben einen schwerwiegenden Cyberangriff nur selten, ähnlich wie die meisten Menschen zum Glück nie einen Hausbrand durchmachen. Deshalb ist es umso wichtiger, auf Menschen im Hintergrund zu setzen, die in solchen Ausnahmesituationen schnell, souverän und zielorientiert agieren. Vollständige Automatisierung ist in diesem Bereich noch lange nicht möglich – es sind die erfahrenen Experten, die den entscheidenden Unterschied machen.
Wie hat sich aus Ihrer Sicht die Rolle von KI-Technologien im Endgeräteschutz und in MDR-Services entwickelt?
Wir sind nun seit 35 Jahren am Markt und haben bereits vor etwa 20 Jahren bei unserem Endgeräteschutz – damals noch klassische Virenscanner – verhaltensbasierte Mechanismen eingeführt, die als Vorstufen heutiger KI-Technologien gelten. Schon damals war absehbar, dass rein signaturbasierte Ansätze künftig nicht mehr ausreichen würden. Die Entwicklung und Verbreitung von Ransomware-Attacken haben dies deutlich bestätigt: Plötzlich war es entscheidend, neue Muster und Bedrohungen schnell erkennen zu können.
WithSecure
(c) timeline/Rudi Handl
Diese Innovationsbereitschaft setzt sich bis heute fort und prägt auch unsere MDR-Services. Durch den Einsatz moderner KI-Technologien sind wir heute in der Lage, das Geschehen in den Kundenumgebungen noch besser zu verstehen und potenzielle neue Angriffsszenarien frühzeitig zu identifizieren. Dabei gilt jedoch immer: Die Ergebnisse der KI müssen von Analysten überprüft und final bewertet werden. Eine gesunde Skepsis ist unerlässlich – es braucht stets eine sinnvolle Kombination aus Mensch und Maschine. Letztlich muss ein Experte entscheiden, ob eine als verdächtig eingestufte Aktivität tatsächlich einen Angriff darstellt.
Das ist insbesondere vor dem Hintergrund der Business Continuity von großer Bedeutung: Der Geschäftsbetrieb unserer Kunden muss jederzeit aufrechterhalten werden. Eine Fehlentscheidung der KI, die zu einem „False Positive“ führt, darf nicht dazu führen, dass der Betrieb lahmgelegt wird. Genau deshalb kommt es auf das optimale Zusammenspiel beider Welten – Mensch und Maschine – an.
Ein weiterer Nutzen der KI zeigt sich bei der Aufbereitung technischer Informationen. Gerade in Österreich arbeiten wir mit vielen mittelständischen Unternehmen, in denen nicht immer tiefgehendes Security-Know-how vorhanden ist. Es ist deshalb enorm wichtig, komplexe technische Details in eine leicht verständliche, klare und handlungsorientierte Form zu bringen. Hier hilft uns KI dabei, Informationen so aufzubereiten, dass sie auch für IT-Techniker, Lehrlinge oder managementnahe Mitarbeitende nachvollziehbar sind – unabhängig vom jeweiligen IT-Wissen.
So unterstützen wir Unternehmen dabei, fundierte und schnelle Entscheidungen zu treffen. Die von uns gesammelten, millionenfachen Informationen werden zielgerichtet aufbereitet, sodass die nächsten erforderlichen Schritte sofort ersichtlich sind. Damit leisten wir einen wertvollen Beitrag, die Sicherheit und Handlungsfähigkeit unserer Kunden stetig zu verbessern.
Welche Risiken sehen Sie im Umgang mit KI-Tools?
Gerade die Nutzung von KI durch klassische Endanwender stellt häufig das größte Risiko dar. Unsere Auswertungen und die Zusammenarbeit mit Kunden zeigen klar: Der Umgang mit KI-Tools aller Art erfolgt meist noch sehr unbedacht. Vielen Unternehmen fehlt es derzeit an klaren Spielregeln und Richtlinien, wie mit diesen leistungsstarken Werkzeugen umzugehen ist. Das liegt auch daran, dass wir uns diesbezüglich noch am Anfang einer Lernkurve befinden – vergleichbar mit dem Schreibenlernen in der Schule. Es ist eine Fähigkeit, die erst entwickelt werden muss.
Wir unterstützen unsere Kunden dabei, Risiken zu identifizieren – etwa wenn Mitarbeitende selbstständig und unbewusst sensible oder unzureichend geprüfte Prompts in KI-Systeme eingeben. Oft werden „fertige“ Prompts oder Codeschnipsel einfach übernommen und in Chat- oder Code-Fenster eingefügt, ohne dass sich die Benutzer tatsächlich bewusst sind, was genau sie damit auslösen oder preisgeben. Nur wenige verstehen wirklich, was in einem komplexen Prompt enthalten ist – meistens fehlt das tiefere technische Verständnis.
Mittlerweile beobachten wir bereits erste Versuche von gezielten Angriffen oder Social-Engineering-Aktionen, bei denen KI genutzt wird, um Nutzer zu täuschen – zum Beispiel, um Geschäftsführern Überweisungen auf fremde Konten abzuluchsen. Das Ziel ist stets, jemanden zu manipulieren und zu unerwünschten Handlungen zu bewegen. Wenn Endnutzer nicht genau wissen, was sie tun oder worauf sie achten müssen, geraten sie schnell in solche Fallen.
Hier sehen wir einen zentralen Punkt, an dem wir unsere Kunden gezielt unterstützen wollen: Gemeinsam mit ihnen Spielregeln und Richtlinien für den Umgang mit KI aufzustellen und das nötige Bewusstsein (Awareness) zu schaffen. Die sinnvolle Nutzung von KI soll dabei keineswegs verhindert werden – es braucht aber klare Leitlinien, vergleichbar mit einem ausgewogenen Medienkonsum. Wie zu viel Fernsehen niemandem guttut, gilt auch für neue Technologien: In angemessener Dosierung und mit den richtigen Regeln bietet KI großen Mehrwert, ohne dabei Sicherheitsrisiken hervorzurufen.
Der Fachkräftemangel stellt die gesamte IT-Security-Branche vor große Herausforderungen – wie gehen Sie als MDR-Anbieter mit dieser Problematik um?
Das Personalproblem betrifft uns als Hersteller und MDR- (Managed Detection and Response-) Service-Anbieter genauso wie unsere Endkunden und Partner. Es mangelt in der gesamten Branche an ausreichend Fachkräften. Wir betreiben unseren MDR-Service bereits seit sieben Jahren und versuchen natürlich stetig zu skalieren, mehr Kunden zu betreuen und neue Talente an Bord zu holen. Doch irgendwann stößt dieses Wachstumsmodell an seine Grenzen – es ist nicht möglich, unbegrenzt weiter zu skalieren, indem man immer mehr Mitarbeiter einstellt.
Was ist also zu tun? Ein Umdenken ist gefragt. Genauso wie die Feuerwehr nicht zu jedem Brand ausrücken kann, sondern auf Prävention und Brandschutz setzt, müssen wir im Bereich der IT-Security wesentlich stärker auf Prävention achten. Es ist entscheidend, die so genannte „Cyberhygiene“ in Unternehmen zu fördern und Kunden schon im Vorfeld zu unterstützen – nicht nur im Bereich Detection und Response, also am „Ende“ der Angriffskette, wenn der Vorfall bereits eingetreten ist.
Unser Anspruch sollte es sein, Kunden frühzeitig an die Hand zu nehmen, bei der Identifikation und Schließung von Schwachstellen und der Reduzierung der Angriffsfläche zu helfen. Das nützt nicht nur den Kunden selbst, sondern auch uns als Dienstleister, da wir nicht an unsere Kapazitätsgrenzen stoßen.
Die Bäume wachsen nicht in den Himmel – wir müssen alle gemeinsam darauf achten, uns nicht zu überfordern und nicht in eine Problemspirale zu geraten. Daher ist es unerlässlich, viel früher im Prozess anzusetzen. MDR alleine greift hier zu kurz: Es geht darum, den gesamten Security-Lifecycle – etwa entlang des NIST-Frameworks – ganzheitlich zu betrachten. Der oft zitierte Begriff des „360°-Schutzes“ trifft es eigentlich ganz gut, auch wenn er häufig als Marketingphrase verwendet wird. IT-Security ist kein abgeschlossenes Projekt, sondern ein fortlaufender Prozess, der immer wieder neu beginnt.
Man kann sich nicht nur auf einen Bereich konzentrieren und glauben, dort perfekt abgesichert zu sein – die hundertprozentige Garantie gibt es nie. Aber wir können mit ganzheitlichen Maßnahmen und präventiver Unterstützung schon sehr viel erreichen und gemeinsam mit unseren Kunden die Risiken deutlich minimieren.
Viele mittelständische Unternehmen kämpfen mit immer komplexeren IT-Landschaften und einem hohen Konsolidierungsdruck. Wie unterstützen Sie Ihre Kunden und Partner dabei, diese Komplexität zu bewältigen?
Wir beobachten, dass insbesondere viele unserer Kunden im Mittelstand täglich mit immer komplexeren IT-Landschaften konfrontiert sind. Sie müssen eine Vielzahl heterogener Systeme betreiben und managen – häufig auch dann, wenn sie dies gar nicht wollen. Klar ist: Der Wunsch nach Konsolidierung ist überall präsent, oft besteht sogar die Notwendigkeit dazu.
Auch wir als Hersteller, die lange im klassischen Produktgeschäft tätig waren, haben erkannt: Das Produkt allein ist nur ein Werkzeug. Es bringt wenig, jemandem ein Werkzeug in die Hand zu geben, der nicht weiß, wie er es richtig einsetzen soll. Deshalb haben wir schon vor Jahren begonnen, ergänzende Services rund um unsere Produkte zu entwickeln. Ziel war es, die Komplexität für Endkunden spürbar zu reduzieren.
Dabei ging es uns nicht nur um die Endkunden selbst, sondern auch um die Partner und Reseller, mit denen wir zusammenarbeiten. Gerade dort stellen die Vielzahl an Produkten und Herstellern eine enorme Herausforderung dar. Unser Ansatz ist es daher, mittelständische Kunden bestmöglich zu unterstützen, indem wir ihnen Produkt und Service als integrierte Lösung anbieten. Dabei geht es nicht allein um den MDR-Service als Managed SOC, sondern um die gesamte Kette von Maßnahmen, die rund um das Thema Cyberhygiene notwendig sind.
Mit dieser Kombination möchten wir unseren Kunden einen Großteil der Komplexität abnehmen, sodass sie sich entspannt zurücklehnen können. Den Hauptteil der Arbeit übernehmen wir – und wenn wir Informationen benötigen, kommen wir proaktiv auf den Kunden zu, stellen die richtigen Fragen und unterstützen gezielt. Die Sorge, etwas nicht zu wissen oder nicht zu können, nimmt ab. Sollte ein Problem auftauchen, binden wir den Kunden ein und helfen, die Situation schnell zu bewältigen.
So gelingt es uns, die wachsende Komplexität für unsere Kunden zu verringern und auch die Angst davor deutlich zu mindern.
Wie sehen Sie die zukünftige Entwicklung des SOC?
Der Ausblick in die Zukunft ist relativ klar: Wir befinden uns mitten in einer Phase großer geopolitischer Veränderungen. Schon seit vielen Jahren, insbesondere als rein europäischer Hersteller aus Finnland, beobachten wir ein wachsendes Interesse unserer Kunden am Thema „digitale Souveränität“. Konkret bedeutet das: Kunden fragen verstärkt nach europäischen Sicherheitsprodukten und einer europäischen Datenhaltung. Die DSGVO ist dabei nur ein Baustein – viele Aspekte gehen weit darüber hinaus.
Ein zentrales Thema in diesem Zusammenhang sind Identitäten und der Umgang mit personenbezogenen Daten. In zahlreichen Kundengesprächen hören wir immer wieder Bedenken, dass ein SOC sehr viele Informationen sammelt und potenziell umfassende Auswertungen möglich sind. Hier besteht häufig noch viel Unwissenheit, aber auch ein erheblicher Aufwand darin, transparent zu machen, welche Daten tatsächlich erfasst werden und zu welchem Zweck.
Unser Ansatz ist es, unseren Kunden zu vermitteln: Es besteht kein Grund zur Sorge. Wir handeln verantwortungsbewusst und stellen sämtliche notwendigen Unterlagen bereit, damit jederzeit eine Überprüfung möglich ist. Diese Transparenz ist entscheidend, denn Kunden werden zunehmend kritischer und sensibler, insbesondere was europäische Produkte und Datenschutzstandards betrifft.
Ich bin überzeugt, dass wir in naher Zukunft einen deutlichen Trend in Richtung europäischer Lösungen und digitaler Souveränität erleben werden. Die Anforderungen und Erwartungen der Kunden in diesem Bereich werden weiter steigen – und auch wir werden diesen Weg konsequent mitgehen.
Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.
Be the first to comment