Tobias Misse ist seit mehr als 15 Jahren bei G DATA CyberDefense tätig und hat im Laufe der Zeit unterschiedliche Positionen innegehabt. Angefangen hat er als studentische Hilfskraft im Support. Heute ist er als „Technical Lead Security Operations Management” ein Teil des Technical-Account-Management-Teams. Tobias‘ Tätigkeit umfasst, Unternehmen auf dem Weg in ein Managed SOC zu begleiten und bei der Umstellung zu unterstützen. Er und seine sechs Kolleginnen und Kollegen betreuen die Firmen und übernehmen im Fall von aufgedeckten Cyberangriffen die Kommunikation mit den Firmen. Tobias war der erste Mitarbeiter im Managed-Security-Operations-Center-Service und hat den Bereich mit aufgebaut.
Du begleitest unsere Managed-SOC-Kunden beim Onboarding. Was sind die ersten Schritte nach der Vertragsunterzeichnung?
Tobias: Als erstes treten wir in Kontakt mit dem Kunden. Danach vereinbaren wir ein Planungsgespräch – bei uns heißt es Kick-off. In diesem Meeting besprechen wir die gesamte Projektplanung, setzen zusammen einen Endzeitpunkt für die Integration und stellen sicher, dass alle technischen und organisatorischen Voraussetzungen auf beiden Seiten bekannt sind. Wir machen in diesem Rahmen auch klar, was unser Security Operations Center leistet und grenzen den Service zum Beispiel gegenüber Advanced-Persistent-Threat-Dienstleistungen ab. Diese erbringt die G DATA Advanced Analytics, wir machen das aber nicht. Wichtig ist auch deutlich zu machen, dass wir keine generelle Security-Beratung durchführen, die ein Kunde separat in Anspruch nehmen müsste. Wir beraten aber natürlich zu unserem Managed SOC.
Sind diese Dinge geklärt, geht es an den Projektumfang: Welche Systeme gibt es und welche sind zu schützen? Wir wollen zudem die IT-Infrastruktur und ihre Besonderheiten kennenlernen, denn jedes Unternehmen ist anders.
Wir erleben immer wieder Kunden, die Systeme haben, die wir nicht abdecken können, weil Betriebssysteme im Einsatz sind, die Microsoft schon lange nicht mehr unterstützt. Auch solche Besonderheiten müssen wir wissen, allerdings können wir in diesem Fall keinen Endpunktschutz installieren.
Welche Herausforderungen gibt es typischerweise in der Anfangsphase und wie unterstützt du unsere Kunden dabei?
Tobias: Die Herausforderungen sind oft eher organisatorischer und nicht technischer Natur. Typischerweise haben die Kunden keine Zeit, Mitarbeitende sind krank oder spontane Projekte kommen dazwischen. Ein Admin-Team, das aus drei oder vier Personen besteht und für eine Belegschaft von 500 Angestellten zuständig ist, hat sehr viele Aufgaben und für IT-Sicherheit bleiben keine Ressourcen übrig. Nicht selten ist auch die fachliche Expertise nicht vorhanden. Das sind die Gründe, warum in einem Unternehmen die Entscheidung für eine Managed-Security-Lösung gefallen ist. Die IT-Verantwortlichen wollen oder müssen Ressourcen einsparen. Dieser Umstand führt auch dazu, dass Termine im Onboarding gerissen werden, weil die vereinbarten Informationen nicht rechtzeitig zusammengetragen oder andere Aufgaben auf der Kundenseite nicht erledigt wurden, die für den Onboarding-Prozess wichtig sind. Daher versuche ich mit dem Unternehmen zusammen einen kurzen Zeitrahmen zu setzen, damit auch Verzögerungen nicht dazu führen, dass die Implementierung zu lange dauert. Wir haben auch die Möglichkeit, die Umstellung mit speziellen Tools zu unterstützen, um den Prozess für den Kunden möglichst einfach zu gestalten. Gerade in der Startphase geht es nur mit der Unterstützung des Unternehmens. Wenn diese geschafft ist, greifen unsere etablierten Prozesse.
Wie läuft das Onboarding ab?
Tobias: Nach dem Kick-off weiß der Kunde, welche Informationen wir von ihm benötigen – etwa zur Systemlandschaft, zur Schutzbedarfsbewertung seiner Systeme und zur telefonischen Erreichbarkeit. Die Nennung eines Kontaktes ist beim Servicelevel G7 verpflichtend. Die Daten stellt uns das Unternehmen idealerweise innerhalb weniger Tage zur Verfügung.
Sobald wir die Informationen haben, folgt ein zweiter Termin: Wir prüfen die Angaben, klären offene Punkte und übergeben das Kunden-Portal an unsere Ansprechpartner. Dabei stellen wir sicher, dass die technischen Voraussetzungen für den Betrieb erfüllt sind. Anschließend helfen wir bei der Installation der ersten Agenten, testen die Funktionalität und lassen den Kunden den vollständigen Roll-out durchführen.
Im besten Fall ist das Onboarding nach etwa 1,5 Monaten abgeschlossen. In Ausnahmefällen kann es aber auch deutlich länger dauern. Zum Abschluss erstellen wir einen Bericht mit den definierten und erreichten Zielen sowie eventuellen Abweichungen oder Ausnahmen. Damit ist der Onboarding-Prozess abgeschlossen.
Gibt es bestimmte Best Practices oder Tipps, die du neuen Kunden mit auf den Weg gibst?
Tobias: Klassische Erfolgsmodelle gibt es in dem Sinne nicht. Wir fragen ab, ob bestimmte Anwendungen im Einsatz sind und nutzen darauf abgestimmte Konfigurationsprofile – das sind aber eher interne Best Practices, die wir auf unserer Seite anwenden. Wenn ein Kunde zum Beispiel von Anwendung A auf B wechseln möchte, unterstützen wir natürlich, aber es handelt sich dabei nicht um verpflichtende Vorgaben.
Was ich als wichtigsten Tipp mitgeben kann: Kommunikation ist entscheidend. Im Managed Service geht es nicht wie früher im Lizenzgeschäft darum, einfach eine Software bereitzustellen und abzuwarten. Hier funktioniert alles über Zusammenarbeit und Vertrauen. Daher gilt: Sprechenden Menschen kann geholfen werden. Ob telefonisch, per Mail oder über regelmäßige Abstimmungstermine – wichtig ist, dass der Kunde so kommuniziert, wie es für ihn am besten passt. Manche rufen einfach direkt an, andere sammeln Themen und klären sie gebündelt. Beides ist vollkommen in Ordnung. Hauptsache, wir bleiben im Dialog.
Wie lange dauert es in der Regel, bis ein Kunde vollständig ongeboarded ist und das Managed SOC optimal nutzt?
Tobias: Ein Pilotkunde hat es auf einer unserer Roadshows sehr treffend formuliert. Als er gefragt wurde, wie hoch der Aufwand während des Onboardings und danach sei, sagte dieser sinngemäß: Im Onboarding gab es intensive Abstimmungen, auch etwa einen Monat danach noch regelmäßig, um Prozesse abzugleichen, die G DATA noch nicht kannte. Danach pendelt es sich auf etwa einen Austausch pro Monat ein. Nach einem Monat Feinschliff läuft es in der Regel reibungslos.
Natürlich ändert sich IT-Infrastruktur ständig. Neue Projekte, Erweiterungen wie zusätzliche Monitorings oder Plugins können Auffälligkeiten erzeugen, die wir wahrnehmen. Wir hinterfragen dann gezielt, ob bestimmte Änderungen so beabsichtigt waren oder potenziell sicherheitskritisch sind. Ein Beispiel: Eine Konfigurationsanpassung fürs Monitoring kann unbeabsichtigt eine Sicherheitslücke öffnen. Solche Dinge decken wir auf und sprechen sie aktiv an.
Das ist auch der Unterschied zu klassischen Virenschutzlösungen: Wir sehen deutlich mehr und fragen nach, wenn Konfigurationen von Sicherheitsstandards abweichen. Gelegentlich bedeutet das für den Kunden, Rücksprache mit Herstellern zu halten, um die beste Lösung zu finden. Dieser kontinuierliche, sicherheitsorientierte Dialog gehört zum Service und passiert oft implizit – einfach, weil wir hinschauen.
Gibt es ein besonderes Erlebnis mit einem Managed-SOC-Kunden, das dir besonders in Erinnerung geblieben ist?
Tobias: Natürlich gibt es viele Erlebnisse, die mir in Erinnerung geblieben sind. Das erste Onboarding war besonders – mit diesem Kunden arbeiten wir bis heute regelmäßig zusammen. Auch kleinere Projekte, wie die Zusammenarbeit mit einem spezialisierten Buchhändler stechen heraus.
Ein Fall, an den ich mich erinnere, ist der eines IT-Admins, der aus Budgetgründen nur einen Teil seiner Systeme – die wichtigsten Server – mit unserem Managed SOC absichern konnte. Der Rest lief weiter mit einer einfachen Endpoint Protection. Kurz darauf forderte die Geschäftsführung einen Penetrationstest. Der Admin informierte mich darüber und ich sagte ihm direkt, dass der Test aus Sicht des Angreifers erfolgreich sein wird. Die ungeschützten Systeme würden ein leichtes Ziel darstellen. Und so kam es auch – im Bericht des Pentesters stand als wichtigste Empfehlung: „Implementieren Sie einen SOC-Service.“
Der Pentest bestätigte im Grunde nur, was wir bereits wussten. Der Admin fragte scherzhaft, ob man sich das Geld nicht hätte sparen können. Leider nein – ohne diesen Beleg wäre vermutlich kein zusätzliches Budget freigegeben worden. Am Ende konnte er den Schutz dann umfassend ausrollen.
Die Quintessenz: Eine Teilabdeckung bringt nur bedingt Sicherheit. Ohne vollständige Sicht auf alle Systeme fehlt uns die Möglichkeit, frühzeitig zu reagieren oder einen Angreifer effektiv zu isolieren. Das hat sich in diesem Fall sehr deutlich gezeigt.
Was unterscheidet deiner Meinung nach unser Managed SOC von anderen Angeboten auf dem Markt? Was macht uns besonders?
Tobias: Wenn man ehrlich ist, machen viele Anbieter auf der technischen Ebene sehr ähnliche Dinge – ob nun mit Fokus auf Endpoint, Netzwerk oder Firewall. Was uns wirklich unterscheidet, ist der menschliche Faktor: Mit uns kann man reden und das macht einen echten Unterschied. Ich habe es schon gesagt – sprechenden Menschen kann geholfen werden. Sobald ein Kunde näher an den Hersteller ran möchte, wird es bei vielen Anbietern oft schwierig.
Ein gutes Beispiel war mein Gespräch mit einem Kollegen eines anderen Unternehmens auf einem Event. Besonders eindrücklich fand ich dabei seinen Satz: „Ich werde niemals mit einem Entwickler bei uns sprechen – das ist für mich unerreichbar.“ Genau das ist der Punkt, an dem ich dachte: Bei uns ist das anders. Wir haben kurze Wege, direkten Draht zu unseren Entwicklern, diskutieren auch mal konstruktiv und ziehen am gleichen Strang. Als inhabergeführtes Unternehmen holen wir das Beste aus den Mitteln heraus, die wir haben – gemeinsam. Auch zum Analystenteam haben wir einen direkten Kontakt. Von dieser engen Vernetzung profitieren unsere Kunden. Haben die ein technisches Problem oder Wünsche, können wir schauen, ob wir es lösen oder erfüllen können.
Als deutsches Unternehmen unterliegen wir zudem der deutschen Datenschutzgesetzgebung. Das ist ein Qualitätsmerkmal und bei vielen Anbietern nicht der Fall. Ein anderer Punkt ist mir noch sehr wichtig: Wir unterscheiden beim Service nicht zwischen kleinen und großen Kunden. Alle haben einen Anspruch auf eine gute und dem gewählten Servicelevel entsprechende Betreuung. Andere Dienstleister fokussieren sich nur auf Großunternehmen und haben kein Interesse an kleineren Firmen.
Jemand überlegt, Managed SOC für sein Unternehmen anzuschaffen. Was sind aus deiner Sicht die wichtigsten Argumente für die Entscheidung?
Tobias: Fehlendes Fachpersonal und nicht vorhandenes Fachwissen sind wichtige Punkte für eine Anschaffung eines Managed SOC. Oft können IT-Verantwortliche in Firmen die Aufgabe IT-Sicherheit nicht allein stemmen. Zudem ist es aus meiner Sicht sehr sinnvoll, einen Anbieter mit eigener Plattform und insbesondere eigener Threat Intelligence zu wählen. Ein Beispiel zeigt, warum: Ein Unternehmen entschied sich gegen unsere Lösung und wurde später Ziel eines Angriffs über eine bekannte Sicherheitslücke in Microsoft Exchange. Die Angreifer installierten zunächst einen Bitcoin Miner – scheinbar harmlos, aber oft ein erstes Anzeichen für etwas Größeres. Der gewählte Anbieter erkannte zwar den Miner, konnte ihn aber nicht in den Kontext setzen. Wir wussten dagegen aufgrund unserer Threat Intelligence, dass der Miner von einer bestimmten Angreifergruppe stammt und diese Lücke für weitere Attacken ausgenutzt wird. Letztlich wurde der Unternehmenszugang an andere Kriminelle weiterverkauft, Firmendaten ausgeleitet und alles verschlüsselt.
Der Fall zeigt: Wer nur fremde Signaturen nutzt, versteht oft nicht die volle Bedeutung einer Erkennung. Eigene Plattformen mit eigener Threat Intelligence bieten nicht nur bessere Einblicke, sondern auch die Möglichkeit zum direkten Austausch – was gerade bei Sicherheitsvorfällen entscheidend ist. Vertrauen spielt dabei eine zentrale Rolle.
Gibt es häufig „Sonderwünsche“ von Kunden? Wie geht ihr damit um?
Tobias: Feature-Wünsche fließen bei uns über den Feedback-Prozess ein und werden individuell bewertet. Wichtig ist dabei die Unterscheidung: Was ist ein echter Sonderwunsch? Manche Kunden wollten etwa Updates nicht online beziehen. Das haben wir technisch gelöst, weil es das betreffende Projekt vorangebracht hat.
Andere Wünsche, etwa bestimmte Netzwerksegmente nicht durch uns überwachen zu lassen, akzeptieren wir ebenfalls, dokumentieren das aber klar im Projektreport. Solche Entscheidungen senken die Servicequalität, was dem Kunden bewusst sein muss.
Technische Sonderwünsche prüfen wir immer: Ist das umsetzbar, sinnvoll und vielleicht auch für andere Kunden nutzbar? Im Idealfall entwickeln wir generische Lösungen, die skalierbar sind. Unser Ziel bleibt, eine Plattform zu haben, die möglichst vielen Kundenanforderungen gerecht wird – aber mit Augenmaß.
Was ist, wenn ein Kunde bereits mit einem Systemhaus zusammenarbeitet? Bezieht ihr dann jemanden vom Systemhaus mit in das Onboarding ein?
Tobias: Ob und wie wir ein Systemhaus einbeziehen, hängt stark davon ab, welche Rolle der Partner hat und ob der Kunde das möchte. Ein klassischer Reseller, der nur Lizenzen verkauft, spielt im Onboarding keine große Rolle. Bei einem Managed Service Provider ist das anders: Wir liefern den Service, aber der direkte Kundenkontakt läuft über das Systemhaus. Es gibt verschiedene Modelle: Vom reinen Lizenzhändler mit zwei Mitarbeitenden bis zum Systemhaus, das auch Patchmanagement übernimmt. In solchen Fällen stimmen wir uns gezielt mit dem Systemhaus ab, etwa zur Verteilung unseres Agents. Ob wir mit einem Systemhaus zusammenarbeiten, hängt also vom Einzelfall und dessen Rolle im IT-Betrieb des Kunden ab.
Das war der zweite Teil unserer Blogreihe „Die Köpfe hinter Managed SOC“. Im ersten Artikel dieser Serie gab Andy Felbinger, Head of Sales Deutschland bei G DATA CyberDefense, einen Einblick in die Arbeit seines Teams. Im dritten Beitrag geht es um das Analystenteam.
