[datensicherheit.de, 08.07.2025] „Managed Detection and Response“ (MDR) sei der neue Hype der IT-Sicherheitsbranche: „Kaum ein Systemhaus, das nicht plötzlich MDR im Portfolio hat. Was sich hinter diesem Label verbirgt, ist oft enttäuschend – vollautomatisierte EDR- oder XDR-Lösungen mit dem Etikett ,Managed’, das in Wahrheit kaum mehr bedeutet, als dass ein Dienstleister Herstellerlösungen lizensiert – nicht aber selbst Verantwortung übernimmt.“ Frank Pütz, CEO bei indevis, beleuchtet in seinem aktuellen Kommentar die Tücken hinter diesem MDR-Label und zeigt auf, wie wirksam der Schutz ist und worauf Unternehmen achten sollten.

Foto: Indevis

Frank Pütz: Wer seine Grenzen realistisch einschätzt, schützt das Unternehmen besser und schafft die Basis für gezielte externe Unterstützung!

MDR-Abo – oft eine KMU-Illusion vom günstigen Schutz

Viele Unternehmen aus dem Mittelstand glaubten oder hofften, sie hätten mit einem preiswerten MDR-Abo ihre Cyberabwehr modernisiert. Pütz moniert: „In Wirklichkeit haben sie sich eine gut verpackte Illusion eingekauft. Denn eine Vielzahl an MDR-Angeboten enden dort, wo echte Bedrohung beginnt.“

• Cyberangriffe erfolgten nicht nach Drehbuch – sie entwickelten sich dynamisch, nutzten komplexe Schwachstellen und forderten situationsabhängige Entscheidungen. Genau hierzu brauche es Erfahrung, Kontextwissen und analytisches Urteilsvermögen, kurz: Security-Expertise von echten Menschen.

Nur diese könnten mithilfe moderner SIEM- und SOAR-Technologie aus einem Alert-Feuerwerk ein handlungsrelevantes Lagebild ableiten. „Wer darauf verzichtet, betreibt keine Cyberabwehr, sondern Ticketverwaltung“, so Pütz. Er führt aus: „Mit einer MDR-Lösung wird schlichtweg zu kurz gesprungen. Optimalen, individuell angepassten Schutz gibt es nur mit einem echten SOC-Service.“

Intransparenz bei MDR-Lösungen auf Basis proprietärer Technologien

Noch kritischer werde es, wenn die MDR-Lösung auf proprietären Technologien basiert, die weder einen Überblick über Erkennungsregeln böten noch flexible Anbindungen aller möglichen (auch „Cloud“-) Anwendungen erlaubten. „Wer sich ausschließlich auf ein solches System verlässt, verliert Sichtbarkeit und hat meist keine Möglichkeit, selbst steuernd einzugreifen“, warnt Pütz.

• Auch das Thema Datenhaltung falle weitestgehend unter „Transparenz“: In den meisten Fällen würden die Logdaten im außereuropäischen Ausland gehostet – „eine Speicherung in Deutschland bieten die wenigsten Lösungen“.

Regelmäßig gebe es Fälle, in denen Kunden im Ernstfall allein gelassen würden. Pütz berichtet aus der Praxis: „Dann muss ein IT-Leiter um drei Uhr nachts mit einem englischsprachigen Call-Center in Indien über den andauernden Cyberangriff auf das Unternehmensnetzwerk sprechen, während die Hacker längst Fakten schaffen.“ Genau deshalb setzten seriöse Anbieter auf einen richtigen SOC-Service („Security Operations Center“), am besten mit einer zugrundeliegenden MDR-Technologie, mit echten Analysten aus einem eigenen „Cyber Defense Center“ in Deutschland, in der Zeitzone des Kunden und mit unmittelbarer Reaktionsfähigkeit und klarer Verantwortung.

Was MDR wirklich leisten sollte – aber nur ein SOC bieten kann

MDR sei kein Lizenzprodukt, sondern ein Sicherheitsversprechen. „Anbieter, die es ernst meinen, liefern mehr als Technik und stylische Dashboards: Nämlich Verlässlichkeit, Transparenz und echte Unterstützung im Ernstfall“ Alles Andere sei gefährlich und verantwortungslos.

• Denn im Zweifel hafteten Geschäftsführer, „wenn die IT-Infrastruktur ihres Unternehmens bei einem erfolgreichen Cyberangriff nicht ausreichend geschützt war“. Betriebe sollten sich daher genau ansehen, was hinter dem Label „MDR“ tatsächlich steckt – und ob sie nicht in Wirklichkeit einen richtigen SOC-Service benötigten. „Nur so wird aus einem Buzzword eine echte Sicherheitsstrategie“, unterstreicht Pütz.

Wer seine IT-Systeme heute zuverlässig schützen will, brauche mehr als klassische Schutzmechanismen. „Es geht um ganzheitliche Wachsamkeit, schnelle Reaktionsfähigkeit und die ehrliche Einschätzung der eigenen Ressourcen.“ Die folgenden sechs Punkte sollen laut Pütz zeigen, worauf Unternehmen insbesondere achten sollten:

Indevis-Tipps zur Stärkung der Cyberabwehr

1. Sichtbarkeit maximieren!
   Je mehr IT-Komponenten ins Monitoring integriert werden, inklusive individueller Anwendungen und OT/IoT-Umgebungen, desto weniger blinde Flecken blieben bei der Überwachung und desto früher ließen sich Bedrohungen erkennen.
2. Top-Notch-Technologie nutzen – am besten mit integriertem „Security Information and Event Management“ (SIEM)!
   „Nicht mehrfach in Systeme investieren! Warum nur MDR-Services mit eingeschränktem Umfang nutzen, wenn es SOC-Services mit integriertem SIEM gibt?“
3. Flexibilität mitdenken!
   Eine gute Sicherheitslösung wachse bei IT-Integration nach Zukäufen oder bei zunehmender IoT-Nutzung mit.
4. Alarmbereitschaft rund um die Uhr sicherstellen!
   Cyberangriffe passierten oft außerhalb der Bürozeiten. Unternehmen benötigten entweder ein internes 24/7-Monitoring oder einen verlässlichen externen Dienstleister.
5. Notfall-Support vorab klären!
   Im Ernstfall zähle jede Minute und ein erfahrener Partner könne die nötige Stütze sein, um auch unter Stress Entscheidungen zu treffen. „Stichwort ,Incident Response Retainer’ – nur wer rechtzeitig ausreichend Ressourcen vorsorgt, kann im Notfall auf sofortige Unterstützung von Spezialisten vertrauen.“
6. Ehrlich hinsichtlich eigener Kapazitäten sein!
   „Wer seine Grenzen realistisch einschätzt, schützt das Unternehmen besser und schafft die Basis für gezielte externe Unterstützung“, gibt Pütz abschließend zu bedenken.

Weitere Informationen zum Thema:

indevis
Sicherheit in einer vernetzten Welt / indevis – unser Unternehmen

datensicherheit.de, 09.08.2022
SOCs: Mangel an Fachleuten setzt sich fort / Erkenntnisse aus der aktuellen Umfrage des SANS Institutes zu Herausforderungen und Trends in SOCs

datensicherheit.de, 13.10.2021
Studie zur Vielzahl von Security-Lösungen: Ein Drittel deutscher SOCs überfordert / Laut Studie von Trend Micro wird Outsourcing von Detection und Response vorangetrieben

[datensicherheit.de, 09.08.2022] Das SANS Institute, nach eigenen Angaben weltweit führender Anbieter von Cyber-Sicherheitsschulungen und -zertifizierungen, hat die Ergebnisse seiner Umfrage 2022 zu Trends in sogenannten Cybersecurity Operation Centern (SOCs) veröffentlicht. Insgesamt nahmen demnach 519 Informationssicherheits-Fachleute an dieser Umfrage teil. Ergebnisse zeigten, dass zwar die Gesamtanzahl der Cyber-Attacken und IT-Sicherheitsvorfälle im Vergleich zum Vorjahr – 2021 – geringer gewesen sei, die Probleme beim Fachkräftemangel jedoch blieben.

Einstellung, Bindung und Fluktuation zentrale Herausforderungen für Umfrage-Teilnehmer in ihrem SOC

Die Umfrage-Teilnehmer sähen deshalb auch das Einstellen, das Binden und die Fluktuation als zentrale Herausforderungen ihrer Tätigkeit in einem SOC. Die wichtigsten Punkte für die Umfrageteilnehmer in puncto „Security Operations“ seien „Detection/Monitoring“, „Vulnerability Assessments“, „Incident Response“ und „Alert Triage“ sowie „Alert Escalation“, wobei die Fähigkeiten zwischen internem Personal und ausgelagerten Kräften gleich verteilt seien.

Die wichtigsten SOC-Herausforderungen im Überblick:

• Hoher Personalbedarf
• Mangel an qualifiziertem Personal
• Mangel an Automatisierung und Orchestrierung
• Mangel an Managementunterstützung

Insgesamt schienen die Teilnehmer der Umfrage mit ihrem Arbeitsumfeld besser zurechtzukommen. Die in der Umfrage verwendete Definition eines SOC sei nach wie vor konzeptionell und basiere auf den Fähigkeiten, welche für die geschäftsspezifischen Ziele einer Organisation erforderlich seien, wie die beiden Studienautoren betonen.

Weitere Informationen zum Thema:

SANS
SANS 2022 SOC Survey

SANS, 18.05.2022
SANS 2022 SOC Survey / Speakers: Christopher Crowley, Barbara Filkins, Andrew Riggs (Devo), Curtis Tse (Penfield.AI)

[datensicherheit.de, 30.06.2022] Fast drei von vier Unternehmen (70 Prozent) sollen Schwierigkeiten haben, „mit der Menge an Warnungen, die von ihren Sicherheitsanalysetools generiert werden, Schritt zu halten“. Dies wirke sich in einem Mangel an Ressourcen für wichtige strategische Aufgaben aus und führe dazu, dass sich Organisationen Prozessautomatisierung und Outsourcing zuwendeten – dies zeige die von kaspersky in Auftrag gegeben aktuelle ESG-Studie „SOC Modernization and the Role of XDR“.

In jedem 3. Unternehmen durch Warnungen überlastete Cyber-Sicherheitsteams ohne Ressourcen für Strategie- und Prozessoptimierung

Zusätzlich zu der Menge an Warnmeldungen stelle jedoch auch die Vielfalt derselben für mehr als zwei Drittel (67%) der in einem „Security Operations Center“ (SOC) Beschäftigten eine Herausforderung dar. Beide Faktoren erschwerten es SOC-Analysten, sich auf komplexere und wichtigere Aufgaben zu konzentrieren.

In jedem dritten Unternehmen (34%) hätten durch Warnungen und Notfall-Sicherheitsprobleme überlastete Cyber-Sicherheitsteams nicht genug Zeit, sich mit Strategie- und Prozessoptimierungen zu beschäftigen.

Unternehmen führen Zustand nicht auf Personalmangel zurück

Die Studie zeige zudem, „dass Unternehmen diesen Zustand jedoch nicht auf einen Personalmangel zurückführen“: 83 Prozent seien der Meinung, dass ihr SOC über genügend Mitarbeiter verfüge, um ein Unternehmen ihrer Größe effektiv zu schützen. Allerdings glaubten sie, dass es notwendig wäre, Prozesse zu automatisieren und externe Dienste in Anspruch zu nehmen.

Mehr als die Hälfte der Befragten (55%) sehe den Hauptgrund für die Nutzung von „Managed Services“ darin, ihrem Personal mehr Raum zu geben, „um sich auf strategischere Initiativen zu konzentrieren, anstatt Zeit mit Security-Operation-Aufgaben zu verbringen“.

Unternehmen zu Automatisierungslösungen und externen Experten geraten

„Anstatt proaktiv nach komplexen Bedrohungen und ,Evasive Threats‘ in der Infrastruktur zu suchen, können SOC-Analysten derzeit nur auf Notfälle reagieren“, erläutert Yuliya Andreeva, „Senior Product Manager“ bei kaspersky, und führt weiter aus:

„Die Reduzierung der Anzahl an Warnungen, die Automatisierung ihrer Konsolidierung und Korrelation in Vorfallketten sowie die Verkürzung der Gesamtreaktionszeit sollten für Unternehmen im Mittelpunkt stehen, um die Leistungsfähigkeit ihres SOC zu verbessern.“ Dies könnten sie durch entsprechende Automatisierungslösungen und externe Experten erreichen.

Empfehlungen für Unternehmen zur Optimierung der SOC-Vorgänge:

Organisieren von Arbeitsschichten im SOC, um eine Überlastung des Personals zu vermeiden. „Die Hauptaufgaben wie Überwachung, Untersuchung, IT-Architektur und -Engineering, Verwaltung und SOC-Management auf alle Mitarbeiter verteilen.“

Einen umfassenden Threat-Intelligence-Service nutzen, welcher die Integration maschinenlesbarer „Intelligence“ in vorhandene Sicherheitskontrollen, wie beispielweise ein SIEM-System, ermöglicht. „Dadurch kann der anfängliche Triage-Prozess automatisiert und genügend Kontext generiert werden, um zu entscheiden, ob eine Warnung sofort untersucht werden soll.“

Um das SOC von routinemäßigen Triage-Aufgaben für Warnungen zu befreien, können Unternehmen auf bewährte Managed-Detection-and-Response-Dienste setzen. „Kaspersky Managed Detection and Response“ z.B. kombiniere KI-basierte Erkennungstechnologien mit umfassender Expertise in der Bedrohungssuche und der Vorfallreaktion von professionellen Einheiten, darunter das „Kaspersky Global Research & Analysis Team“ (GReAT).

Weitere Informationen zum Thema:

kaspersky, Juni 2022
ESG Research Report, SOC Modernization and the Role of XDR / Learn what’s driving the latest SOC automation trends and how you can benefit

[datensicherheit.de, 24.04.2018] ThreatQuotient, Anbieter einer Threat-Intelligence-Plattform, hat die Lösung ThreatQ Investigations vorgestellt. Die Branchenneuheit liefert den ersten virtuellen Kontrollraum für Cybersicherheit. ThreatQ Investigations versetzt Unternehmen in die Lage, Bedrohungen teamübergreifend zu analysieren, ein einheitliches Verständnis herzustellen und die Reaktionen zu koordinieren. Der Verlauf von Untersuchungen wird in einer gemeinsamen Umgebung in Echtzeit visualisiert, sodass die Teams Bedrohungen besser verstehen und vorhersehen und ihre Reaktionen aufeinander abstimmen können.

Ordnung zwischen isoliert agierenden Teams

Basierend auf dem Hauptprodukt ThreatQ erlaubt ThreatQ Investigations den effizienten Austausch und Ordnung zwischen isoliert arbeiten Teams. Ohne die Lösung können Erkenntnisse und Aufgaben nur schwer austauscht werden. Dabei ergänzt Investigations die Threat-Intelligence-Plattform ThreatQ und bietet die Möglichkeit Aufgaben zu verteilen.

MTTD und MTTR im Zentrum des Interesses

Die Sicherheitsbranche versucht laufend, die mittlere Erkennungszeit (Mean-Time-to-Detection, MTTD) und die mittlere Reaktionszeit (Mean-Time-to-Respond, MTTR) durch Automatisierung zu verkürzen. Schnelles Handeln allein genügt jedoch noch nicht: Vielmehr kommt es darauf an, die richtigen Maßnahmen schneller als je zuvor zu treffen. Zwar können Unternehmen heute Millionen von Datenpunkten zu Bedrohungen priorisieren und in Kontext setzen, doch fällt es ihnen immer noch schwer zu entscheiden, welche Informationen die wichtigsten sind, und die geeigneten Reaktionen zu bestimmen. Handlungsfähigkeit setzt voraus, dass die Mitarbeiter und Teams ein Ereignis, eine Bedrohung oder Gefahrensituation gemeinsam analysieren und verstehen, damit sie dann ihre Reaktionen zuverlässig koordinieren und automatisieren können. Bisher war es jedoch schwierig, schnell ein gemeinsames Verständnis einer Situation herzustellen. Die Lösung ThreatQ Investigations beseitigt dieses Problem, indem sie die gesamte gegebene Situation auf einer einheitlichen visuellen Oberfläche darstellt und dabei auch zeigt, welche Maßnahmen wann und von wem getroffen wurden.

„Wenn verschiedene Analytiker und Teams alle an parallelen Aufgaben arbeiten, werden nicht selten wichtige Gemeinsamkeiten übersehen. Mit ThreatQ Investigations kann jeder Mitwirkende an einer Untersuchung automatisch sehen, wie sich die Aktionen der anderen auf seine eigene Arbeit auswirken und sie ergänzen“, erklärt Leon Ward, VP of Product Management, ThreatQuotient. „ThreatQ Investigations führt Bedrohungsdaten, Beweismaterial, Benutzer und Aktionen in einer einheitlichen, gemeinsamen Umgebung zusammen. Dieses einzigartige Interface fördert die Zusammenarbeit zwischen sämtlichen Parteien, die in den Untersuchungsprozess eingebunden sind.“

Verschärft werden die Probleme bei Sicherheitsoperationen dadurch, dass die Securityteams heute oft stark verteilt sind. ThreatQ Investigations erleichtert die unternehmensweite Kooperation, lässt den einzelnen Mitarbeitern aber zugleich die Freiheit, Theorien zu testen, um sie auf Genauigkeit und Relevanz zu prüfen, bevor sie sie mit der Gruppe austauschen. Von ThreatQ Investigations profitieren sowohl die technischen Mitarbeiter, die die Analysen durchführen, als auch die Entscheider, die auf die Ergebnisse angewiesen sind. Incident-Responder, Malware-Forscher, SOC-Analytiker und Untersuchungsleiter gewinnen mehr Kontrolle, können die richtigen Schritte zur richtigen Zeit einleiten und den gesamten Sicherheitsbetrieb beschleunigen.

„So wie viele Unternehmen sucht auch NTT Security laufend nach neuen und besseren Wegen, um Daten aus verschiedenen Quellen zu erfassen, sie mit eigener Threat Intelligence zu korrelieren und zu analysieren und sie dann zum proaktiven Schutz vor den tagtäglichen realen Bedrohungen zu nutzen“, so Jeremy Scott, Director, Global Threat Research, Global Threat Intelligence Center (GTIC), NTT Security. „ThreatQ Investigations befähigt unser Team nicht nur, Untersuchungen zu koordinieren und zu dokumentieren, sondern auch große Datenmengen visuell zu überblicken. Dies steigert die Effektivität unseres Teams und unserer Analyseprozesse, sodass wir unseren Kunden letztlich eine bessere Erkennung und bessere Erkenntnisse zu Bedrohungen bieten können.“

ThreatQ Investigations nutzt die bestehenden Funktionen der ThreatQ-Plattform und ermöglicht es, Wissen zu gewinnen und auszutauschen. Zu den Anwendungsfällen von ThreatQ Investigations gehören: Erwartungssituationen, in denen die Lösung hilft, neue Bedrohungen schneller zu verstehen, um die Abwehr proaktiv verstärken zu können; Reaktionssituationen, in denen ThreatQ dazu beiträgt, schneller als bisher die richtigen Maßnahmen zu bestimmen und entsprechend zu handeln; und nachträgliche Analysen, um zu erkennen, was künftig besser gemacht werden kann.

Weitere Informationen tum Thema:

ThreatQ Investigations
The industry’s first cybersecurity situation room