SOC- und MDR-Services sind für Unternehmen der Schlüssel zu schnellerer Abwehr und mehr Sicherheit. Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist, Office of the CTO bei Check Point, erläuterte im Rahmen eines ITWelt.at Roundtables, worauf es bei der Einführung eines SOC ankommt und warum Security zum echten Business Enabler wird. [...]
IT-Sicherheitsvorfälle gehören mittlerweile zur unternehmerischen Realität. Die steigende Komplexität der Angriffslandschaft und neue regulatorische Vorgaben machen es für Unternehmen zunehmend unabdingbar, ihre IT-Security-Strategien zu professionalisieren. Die Einführung eines Security Operations Centers (SOC) oder von Managed Detection and Response (MDR)-Services gilt dabei als Schlüssel, um Angriffe frühzeitig zu erkennen und wirksam abzuwehren. Doch worauf kommt es bei der Auswahl und Implementierung dieser Lösungen wirklich an? Und welche Rolle spielen Künstliche Intelligenz, Automatisierung und die Einbindung der Mitarbeitenden? Im Rahmen des Roundtables „Bock auf SOC“ von ITWELT.at erläuterte Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist, Office of the CTO bei Check Point, die aktuellen Entwicklungen im SOC-Umfeld.
Was sind aus Ihrer Sicht die wichtigsten Schritte, wenn Unternehmen einen Managed Detection and Response (MDR)-Service oder ein Security Operations Center (SOC) einführen wollen?
Zu Beginn steht immer das Verständnis für das jeweilige Unternehmen im Mittelpunkt. Es gilt zu identifizieren, welche Bereiche besonders kritisch sind und vorrangig geschützt werden müssen. Ebenso wichtig ist die Frage, an welchen Stellen automatisierte Prozesse im Falle eines Sicherheitsvorfalls greifen können.
Check Point
(c) timeline/Rudi Handl
Ein wesentlicher Vorteil eines 24/7 Security Operations Centers (SOC) ist der Zeitgewinn im Ernstfall: Sollte ein Incident eintreten, kann durch die permanente Überwachung schnell und effizient reagiert werden. Zudem stehen dem Unternehmen zusätzliche Ressourcen zur Verfügung, die nicht nur im Tagesgeschäft entlasten, sondern auch über umfangreiches Fachwissen verfügen. Dieses Know-how selbst aufzubauen, erfordert viel Zeit und kontinuierliches Training.
Hier setzt ein SOC- oder MDR-Service an, indem er Unternehmen diese Aufgaben abnimmt. Wichtig dabei ist, den Kunden und seine individuellen Use Cases genau zu verstehen. Nur so können die richtigen Abläufe definiert und im Ernstfall optimal koordiniert werden. Ziel ist es, als MDR-Lösung den Kunden im Bedarfsfall schnell und effektiv zu unterstützen.
Beim Thema MDR- und XDR-Lösungen steht die schnelle Erkennung von Bedrohungen im Vordergrund. Können Sie erläutern, welche Rolle dabei automatisierte Prozesse und die Absicherung von Hauptangriffsvektoren wie E-Mail spielen?
Ein zentraler Aspekt bei MDR- und XDR-Lösungen ist das „D“ für „Detection“ – also die Erkennung. Im Grunde befindet man sich hierbei stets einen Schritt hinter dem Angreifer, da der Vorfall bereits eingetreten ist und entsprechend reagiert werden muss. Umso wichtiger sind deshalb automatisierte Prozesse, die eine schnelle Triage ermöglichen und dabei helfen, die Quelle des Vorfalls rasch zu identifizieren, um unverzüglich Gegenmaßnahmen einzuleiten.
Aus diesem Grund legen wir einen besonderen Fokus auf das Prinzip „Prevention First“. Unser Ziel ist es, Angriffe möglichst schon im Vorfeld zu verhindern, bevor sie überhaupt entstehen können. Dabei ist es essenziell zu analysieren, in welchen Bereichen Vorfälle besonders häufig auftreten. Nach wie vor ist der Hauptangriffsvektor die E-Mail. Wenn es gelingt, hier das Risiko für Endanwender zu minimieren – etwa durch Filter, die potenziell gefährliche Nachrichten oder Links bereits vorab abfangen – reduziert sich die Angriffsfläche erheblich. Dies erleichtert nicht nur den SOC-Betrieb, sondern steigert auch die Geschwindigkeit, mit der auf andere, möglicherweise kritischere Bereiche reagiert werden kann.
Wie integriert Check Point KI-Technologien in seine Sicherheitslösungen und welche Rolle spielt dabei das Vertrauen in die Qualität und Transparenz der eingesetzten KI-Modelle?
Grundsätzlich setzen wir bei Check Point bereits seit über zehn Jahren Künstliche Intelligenz ein. Unsere „ThreatCloud AI“, eine zentrale Wissensdatenbank, analysiert kontinuierlich Angriffe aus unterschiedlichen Bereichen – etwa aus dem Netzwerk-, Endpoint-, E-Mail- und Mobilbereich – und trifft dabei täglich rund vier Milliarden eigenständige Entscheidungen. Das bedeutet, viele Angriffe werden bereits erkannt und abgewehrt, bevor sie den Kunden oder Endanwender überhaupt erreichen.
Gerade bei der enormen Menge an Daten ist es für menschliche Analysten schlicht unmöglich, in dieser Geschwindigkeit zu reagieren. Deshalb kommen im Backend verschiedenste KI-Technologien zum Einsatz, deren Aufgabe es ist, den Kunden zu schützen, ohne dass dieser wissen muss, wie die Schutzmechanismen im Detail funktionieren. Es handelt sich hier um ein ständiges Katz-und-Maus-Spiel: Angreifer entwickeln laufend neue KI-gestützte Angriffsmethoden, und es ist unsere Aufgabe als Anbieter, mit modernen Technologien gegenzusteuern. In diesem Zusammenhang ist es entscheidend, dass Unternehmen dem Hersteller vertrauen können und dieser sich regelmäßig unabhängig testen lässt. Denn jeder kann heutzutage behaupten, KI einzusetzen – tatsächlich ist eine KI aber immer nur so gut wie das Training, das ihr zugrunde liegt.
Ein weiterer wichtiger Aspekt ist der Einsatz von KI im operativen Bereich. Hier fungiert KI als „zusätzlicher Security-Mitarbeiter“ im Unternehmen: Sie unterstützt bei der Datenaufbereitung, bei der Analyse von Vorfällen oder auch bei der Erstellung von Management-Reports. Gerade Letzteres ist wichtig, um technische Sachverhalte so aufzubereiten, dass auch das Management sie nachvollziehen kann – inklusive der Darstellung, ob bereits alle Gegenmaßnahmen getroffen wurden oder noch Handlungsbedarf besteht.
Schließlich ist festzuhalten, dass in nahezu jedem Unternehmen mittlerweile künstliche Intelligenz in irgendeiner Form genutzt wird. Mitarbeitende verwenden beispielsweise Tools wie ChatGPT oder ähnliche Anwendungen. Daher muss sichergestellt werden, dass keine sensiblen Unternehmensdaten nach außen gelangen. Hierfür braucht es Sichtbarkeit im Unternehmen und erweiterte Sicherheitsmaßnahmen, die über einen klassischen SOC hinausgehen. So wird verhindert, dass vertrauliche Projektnamen oder interne Informationen unbeabsichtigt in generative KI-Tools eingegeben werden.
Künstliche Intelligenz gilt vielfach als Schlüsseltechnologie der Zukunft, insbesondere in der Cybersicherheit. Wie bewerten Sie die tatsächlichen Möglichkeiten und Grenzen von KI im Security-Umfeld?
Ich denke, es ist wichtig, unabhängig von der Technologie – und KI ist aktuell zweifellos das Topthema –, stets ein realistisches Bild zu bewahren und die jeweilige Technologie kontinuierlich zu testen. Wir alle haben beispielsweise in den Medien die Diskussion um „Deeppseek“ verfolgt. Dabei wurde schnell hinterfragt, ob ChatGPT tatsächlich so schlecht ist, wie zunächst vermutet. Nach weiteren Tests stellte sich jedoch heraus, dass die Situation differenzierter zu betrachten ist und natürlich auch hier Grenzen existieren.
Check Point
(c) timeline/Rudi Handl
Grundsätzlich gilt: Jede Technologie sollte auf ihre tatsächliche Leistungsfähigkeit und ihre Schwachstellen hin geprüft werden. Jeder Ansatz hat seine Vor- und Nachteile, und diese gilt es bei der Anwendung zu berücksichtigen. Der Nutzen von KI hängt letztlich stark vom jeweiligen Use Case ab. Der Vergleich mit einem Lehrer verdeutlicht dies gut: Je besser das Training – also je besser „der Lehrer“ –, desto mehr kann man von der KI erwarten. Gut trainierte Modelle erzielen bessere Ergebnisse und entwickeln sich stetig weiter.
Natürlich wird es immer Grenzen geben, doch auch diese werden mit der Weiterentwicklung der Technologie immer wieder neu ausgelotet oder sogar überwunden. Deshalb sollte man sich heute noch nicht ausschließlich auf KI verlassen, sondern geeignete Leitplanken (sogenannte „Guardrails“) einführen, die einen sicheren Rahmen vorgeben.
Gerade im Bereich Security bleibt es ein ständiges Katz-und-Maus-Spiel: Sobald irgendwo neue Grenzen gesetzt werden, versuchen Angreifer, diese zu überwinden oder auszuhebeln. Es handelt sich um einen kontinuierlichen Wettlauf mit der Zeit – und genau hier kann KI helfen, indem sie dazu beiträgt, den Zeitfaktor zugunsten der Verteidiger zu nutzen.
Viele Unternehmen befinden sich in ganz unterschiedlichen Stadien, was ihre IT-Sicherheitsstrategien angeht. Wie gelingt es aus Ihrer Sicht, sowohl Einsteiger als auch fortgeschrittene Firmen gezielt zu unterstützen?
Ich denke, man sollte das gesamte Thema als eine Art Reise betrachten, auf der sich jeder Kunde an einem unterschiedlichen Punkt befindet. Manche Unternehmen stehen noch ganz am Anfang, verfügen vielleicht über keinerlei eigene Ressourcen, möchten aber zeitnah ein effektives Frühwarnsystem gegen Bedrohungen etablieren. Andere sind schon weiter und bemühen sich, ihre Mitarbeitenden verstärkt einzubinden.
Die aktive Einbeziehung der Mitarbeitenden stellt nicht nur eine Wertschätzung dar, sondern fördert auch deren Verantwortungsbewusstsein und kontinuierliches Lernen. Als Hersteller sehen wir es deshalb als unsere Aufgabe, unseren Kunden Möglichkeiten an die Hand zu geben, sich selbst weiterzuentwickeln und neues Wissen aufzubauen. Hier können moderne KI-Tools einen wesentlichen Beitrag leisten: Die Nutzer müssen die jeweilige Lösung nicht bis ins Detail kennen, sondern können gezielt Fragen stellen. War es früher – ich erinnere mich an meinen eigenen Einstieg in die Security vor etwa 25 Jahren – erforderlich, ein ganzwöchiges Training zu absolvieren, so genügt heute oft ein fachkundig geführter Dialog mit einem Chatbot. Prompting, also die Fähigkeit, die richtigen Fragen an KI-Tools zu stellen, wird zunehmend zur Schlüsselkompetenz.
Diese Weiterentwicklung ermöglicht es den Kunden, neue Fähigkeiten im eigenen Haus aufzubauen und dem Fachkräftemangel aktiv entgegenzuwirken. So können auch Mitarbeitende ohne spezielles Security-Know-how ab Tag eins Stück für Stück in das Thema hineingewachsen und kontinuierlich weitergebildet werden. Einerseits lassen sich damit Unternehmen unterstützen, denen Ressourcen fehlen. Andererseits profitieren auch jene, die ihr eigenes Security-Team gezielt ausbauen wollen – speziell Mitarbeitende, die sich im Bereich IT-Sicherheit weiterqualifizieren möchten.
Neben der kontinuierlichen Entwicklung der Mitarbeitenden bleibt auch der Einsatz von Präventionsmaßnahmen ein zentrales Thema. Durch die gezielte Optimierung besonders alarmträchtiger Bereiche im SOC, etwa durch den Einsatz moderner Schutztechnologien und das Justieren einzelner Stellschrauben, lassen sich die Anzahl der Alarme reduzieren und die Mitarbeitenden sowie gegebenenfalls externe SOC-Teams entlasten.
Wie gehen Sie bei der Bestandsaufnahme und Risikobewertung neuer Kunden konkret vor?
Auch hier möchte ich wieder auf das Bild der „Reise“ zurückkommen. Im Prinzip verstehen wir uns als Reiseleiter, die den Kunden an die Hand nehmen. Am Anfang steht stets eine genaue Bestandsaufnahme: Wo steht das Unternehmen aktuell? Welche Lösungen sind bereits im Einsatz? Wie hoch war der bisherige Stellenwert von Security? Und vor allem: Aus welchem Grund sucht der Kunde nun nach einer MDR-, SOC-, XDR- oder einer anderen spezifischen Sicherheitslösung?
Ein wesentlicher Aspekt ist dabei, die potenziellen Gefahrenquellen im jeweiligen Unternehmen zu erkennen. Aus Sicht eines Angreifers ist die Firewall meist kein attraktives Ziel mehr, da diese in den meisten Unternehmen bereits seit Jahrzehnten kontinuierlich weiterentwickelt und gehärtet wurde. Stattdessen versuchen Angreifer häufig, die Endanwender auszutricksen und sie zu bestimmten Handlungen zu verleiten, um so einen Weg ins Unternehmen zu finden.
Daraus ergibt sich, dass Sicherheitsmaßnahmen nicht nur auf technischer Ebene, sondern immer auch in Kombination mit den Nutzern umgesetzt werden müssen. Der Endanwender sitzt letztlich vor der Lösung und ist Teil der Sicherheitskette. Unsere Aufgabe ist es daher, die Kunden ganzheitlich auf ihrer Reise zu begleiten und gemeinsam zu prüfen, wie bestehende Technologien weiter optimiert werden können. Oft gibt es Stellschrauben, mit denen die vorhandenen Lösungen bereits verbessert werden können. In manchen Fällen kann es aber auch notwendig sein, zusätzliche Lösungen zu integrieren, um das Risiko weiter zu minimieren.
Gleichzeitig ist es entscheidend, stets ein Bewusstsein für die aktuellen Bedrohungen im Internet zu haben. Unser Team aus mehr als 250 Threat-Researchern arbeitet täglich im Darknet, um „die Hacker zu hacken“ und frühzeitig neue Angriffsvektoren zu identifizieren. Dieses Wissen bringen wir in die Zusammenarbeit mit unseren Kunden ein. Der Kunde selbst verfügt in aller Regel nicht über diese tiefe Einblick – deshalb vertraut er auf unsere Expertise. Wir begleiten ihn als verlässlicher Partner auf seiner individuellen Sicherheitsreise.
Wie sehen sie die Zukunft des SOC?
Ich glaube, eines der großen Vorurteile gegenüber Security in Unternehmen ist, dass sie häufig als „Business-Verhinderer“ und weniger als „Business Enabler“ wahrgenommen wird. Glücklicherweise werden derzeit neue regulatorische Vorgaben eingeführt, die in diesem Bereich viel verändern werden. Diese Regulatorien sorgen nicht nur dafür, dass Unternehmen verstärkt Interesse an SOC-Lösungen haben, sondern verpflichten sie auch zur Umsetzung entsprechender Maßnahmen. Das wird in Unternehmen für einen grundlegenden Wandel sorgen.
Mit diesen Veränderungen entstehen zudem neue Use Cases, die zeigen, wie und wo sich Schutzmaßnahmen am effektivsten implementieren lassen. Gleichzeitig wird es notwendig sein, die Geschwindigkeit der Reaktion weiter zu verbessern, da immer mehr, bisher weniger beachtete Angriffsvektoren ausgenutzt werden. Ein Beispiel ist der Bereich der mobilen Endgeräte—man denke nur an die mittlerweile allgegenwärtigen betrügerischen SMS, wie etwa von scheinbaren Paketdiensten. Dies ist besonders kritisch, da sich Angriffe häufig an den Endanwender richten, der in der Regel nicht über das nötige Know-how oder spezielle Trainings im Bereich Security verfügt. Die Mitarbeitenden sind Experten auf ihren jeweiligen Gebieten, aber IT-Sicherheit ist meistens nicht ihr Schwerpunkt.
Daher ist es wichtig, Security als Enabler zu betrachten, der das Unternehmen aktiv unterstützt und schützt. Proaktivität spielt dabei eine zentrale Rolle: Um Risiken frühzeitig zu minimieren, muss man „seinen Feind kennen“—also wissen, welche Informationen über das eigene Unternehmen öffentlich verfügbar und potenziell ausnutzbar sind. Nur so lassen sich Risiken bereits im Vorfeld eingrenzen und die Sicherheitslandschaft kontinuierlich optimieren.
Den vollständigen Roundtable „Bock auf SOC“ gibt es hier zum nachsehen.
Be the first to comment