Christoph Schulze ist seit 2022 beim deutschen Cyber-Defense-Spezialisten in Bochum tätig. Er leitet das Managed-SOC-Analystenteam, das 24/7 dafür sorgt, dass Cyberangriffe umgehend gestoppt werden, bevor der Schaden groß ist.
Wie sieht ein typischer Arbeitstag bei dir und deinem Team aus?
Christoph: Mein Arbeitstag startet in der Regel mit einem Blick in die Übergabe und die Nachrichten der Analystinnen und Analysten der Nachtschicht. Da unser Team rund um die Uhr arbeitet, ist es wichtig, gleich morgens zu wissen, ob es Vorfälle bei Kunden oder offene Punkte gibt. Anschließend plane ich meinen Tag, arbeite meine Aufgaben ab und bereite mich auf anstehende Meetings vor. Als Teamleiter bin ich viel im Austausch mit anderen Abteilungen wie der Entwicklung oder dem Kundenservice. Ich übernehme zudem organisatorische Funktionen und unterstütze meine Leute bei Fragen oder komplexeren Fällen. Gleichzeitig schaue ich mir selbst auch schädliche Aktionen an, die bei Kunden aufgetreten sind. Das hilft mir, Prozesse zu optimieren und neue Ideen für unser Threat Hunting – die proaktive Suche nach bisher unbekannten Bedrohungen in IT-Systemen – zu entwickeln.
Bei unseren Analystinnen und Analysten sieht der Arbeitsalltag etwas anders aus: Sie beginnen ebenfalls mit einer Schichtübergabe, bevor sie sich direkt den eingehenden Alarmen widmen. Dabei prüfen sie, ob es sich um harmlose Aktivitäten oder kritische Vorfälle handelt. Sie stehen immer im engen Austausch, um im Zweifel eine tiefergehende Analyse anzustoßen. Wichtig ist, dass jedes Ereignis zuverlässig bewertet und dokumentiert wird, damit unsere Kunden jederzeit geschützt sind. Am Ende der Schicht erfolgt dann wieder eine Übergabe. So stellen wir sicher, dass unser Managed Security Operations Center rund um die Uhr lückenlos und effektiv funktioniert.
Über welche Wege versuchen Cyberkriminelle in IT-Systeme zu gelangen? Was sind typische Aktionen von Angreifern, die ihr beobachtet?
Christoph: Cyberkriminelle nutzen vor allem Phishing, um den ersten Zugang zu einem System zu erhalten. Das geschieht über präparierte Mailanhänge, die scheinbar geschäftsrelevante Inhalte wie angebliche Gehaltstabellen enthalten. Eine andere Möglichkeit sind Links in den E-Mails, die auf gefälschte Webseiten führen und Zugangsdaten abfragen. Auffällig ist, dass viele Kampagnen sehr professionell auf bestimmte Unternehmen zugeschnitten sind. So sind sie nur schwer von legitimer Kommunikation zu unterscheiden.
Sobald ein Angreifer diesen ersten Schritt geschafft hat, wird häufig eine Backdoor installiert. Darüber können weitere Kommandos nachgeladen werden. Heute nutzen Angreifer legitime Windows-Bordmittel und Administrator-Tools, um im Netzwerk zu agieren, Daten zu exfiltrieren oder Verschlüsselungsvorgänge einzuleiten. Weil diese Aktivitäten auf den ersten Blick wie normale Prozesse wirken, ist eine Erkennung schwierig. Daher ist es wichtig, Phishing direkt zu blocken – sei es durch Sensibilisierung der Mitarbeitenden oder durch zuverlässige Sicherheitslösungen.
Wann wird dein Team aktiv? Wie läuft ein Analyse- und Responseprozess ab?
Christoph: Unser SOC-Team wird aktiv, sobald ein Kundensystem verdächtiges Verhalten meldet. Die Sensoren liefern uns dann eine Vielzahl an Informationen – von Prozessketten über ausgeführte Befehle bis hin zu betroffenen Nutzern oder Dateien. Auf dieser Basis prüfen die Analystinnen und Analysten zunächst, ob es sich um ein echtes Sicherheitsereignis handelt oder nur um einen Fehlalarm. Handelt es sich tatsächlich um einen Vorfall, gehen wir tiefer in die Analyse. Dazu verbinden wir uns direkt mit dem betroffenen System, kontrollieren laufende Prozesse und Services und untersuchen verdächtige Dateien. Wird eine Bedrohungslage bestätigt, folgt die eigentliche Response. Je nach Situation isolieren wir kompromittierte Systeme, verschieben verdächtige Dateien in Quarantäne oder entfernen Angreiferartefakte. Ebenso stellen wir fälschlich blockierte Dateien wieder her, wenn sich ein Alarm als harmlos herausstellt.
Parallel halten wir den Kunden stets auf dem Laufenden und geben konkrete Handlungsempfehlungen. Das reicht von Sofortmaßnahmen bis zu längerfristigen Hinweisen, wie sich Risiken künftig reduzieren lassen. Auf diese Weise sorgen wir nicht nur dafür, dass Angriffe gestoppt werden, sondern auch, dass die Ursachen verstanden und Schwachstellen geschlossen werden.
Wie schnell reagiert ihr auf schädliche Vorfälle bei einem Kunden?
Christoph: Eine pauschale Zeitangabe ist schwer, weil die Reaktion immer von der Art und Schwere des Vorfalls abhängt. Grundsätzlich setzt die automatische Response unmittelbar ein, sobald verdächtiges Verhalten erkannt wird. Das System isoliert beispielsweise Dateien oder Prozesse, noch bevor eine Analystin oder ein Analyst eingreift. Parallel beginnt unser Team sofort mit der Analyse. Kritische Alarme haben dabei höchste Priorität. In weniger gravierenden Fällen informieren wir den Kunden meist innerhalb von 20 bis 40 Minuten mit konkreten Handlungsempfehlungen. Wenn es sich jedoch um einen ernsten Angriff handelt, wird ein System innerhalb kürzester Zeit isoliert und das Unternehmen direkt kontaktiert. Wichtig ist uns dabei die Balance: Wir reagieren schnell, aber nicht übereilt. Eine vorschnelle Maßnahme, die am Ende die Systeme des Kunden beeinträchtigt, hilft niemandem. Durch die Kombination aus automatischer Erkennung, schneller menschlicher Analyse und klarer Priorisierung stellen wir sicher, dass Vorfälle so rasch wie möglich erkannt, eingeordnet und entschärft werden.
Wie stellt ihr bei einer Reaktion auf einen Vorfall sicher, dass ihr die richtige Entscheidung getroffen habt?
Christoph: Grundsätzlich wägen wir sehr genau ab, ob wir eingreifen oder nicht – etwa, wenn es um zentrale Systeme wie den Domain Controller eines Unternehmens geht. In solchen Fällen agieren wir besonders vorsichtig und abgestimmt. Ein wichtiger Faktor ist Erfahrung. Mit jedem neuen Kunden lernen wir typische Muster kennen und entwickeln ein Gespür dafür, was normales Verhalten ist und was auf einen Angriff hindeutet. Dieses Wissen teilen wir im Team durch Dokumentationen, gemeinsame Analysen und regelmäßige Workshops. Zudem simulieren wir Angriffsszenarien in Testumgebungen, um zu trainieren, wie echte Vorfälle aussehen und welche Reaktionen angemessen sind.
Im Alltag hilft uns eine klare Priorisierung der Alarme, die von unseren Detection- und Protection-Engineers bereits mit Kritikalität und Beschreibung versehen sind. Dadurch können wir sehr schnell einschätzen, ob ein Vorfall harmlose Auffälligkeiten zeigt oder ob sofortiges Handeln nötig ist. Kritische Entscheidungen treffen wir zudem selten allein, sondern holen aktiv Rücksprache bei Kollegen ein. So stellen wir sicher, dass immer mehrere Perspektiven in die Bewertung einfließen.
Am Ende geht es darum, den Schaden für den Kunden so gering wie möglich zu halten. Lieber isolieren wir im Zweifel einmal einen Nutzerrechner zu früh, als dass ein echter Angriff ungestört weiterläuft. Diese Kombination aus Erfahrung, Teamarbeit und stetiger Weiterbildung sorgt dafür, dass unsere Reaktionen auch unter Zeitdruck gut fundiert und angemessen sind.
Welche Rolle spielt Künstliche Intelligenz bei eurer Arbeit? Könnte KI euch generell ersetzen?
Christoph: Künstliche Intelligenz spielt für uns eine wichtige Rolle - vor allem in der Analyse großer Datenmengen. Systeme auf KI-Basis können Muster sehr schnell erkennen, wiederkehrende Fehlalarme identifizieren und so das Analystenteam entlasten. Gerade bei tausenden Vorfällen am Tag ist das ein großer Vorteil. Es trennt die Spreu vom Weizen und hilft uns, die wirklich kritischen Fälle schneller zu erkennen.
Trotzdem ist Künstliche Intelligenz kein Ersatz für menschliche Analystinnen und Analysten, sondern eine sinnvolle Ergänzung. Angriffe laufen selten nach Schema F ab, und gerade Ausreißer oder neue Angriffstechniken lassen sich nur durch Erfahrung, Kontextwissen und Flexibilität sicher einschätzen. Deshalb behalten Menschen immer die Kontrolle, prüfen KI-Einschätzungen und treffen letztlich die Entscheidungen.
Im Alltag nutzen wir KI punktuell als Sparringspartner, etwa um Informationen gebündelt darzustellen oder Denkanstöße für das Analystenteam zu bekommen – selbstverständlich ohne Kundendaten einzuspeisen. Für die eigentliche Response bleibt aber der Mensch unverzichtbar, weil jede Maßnahme individuell zum Kunden und zur Situation passen muss. Langfristig wird KI uns also vor allem dabei unterstützen, die Masse an Daten effizienter zu bewältigen und Alert-Fatigue (Ermüdung aufgrund zu vieler Alarme) vorzubeugen. Die Verantwortung, Angriffe richtig einzuordnen und angemessen zu reagieren, liegt aber weiterhin klar bei der Analystin oder beim Analysten.
Gibt es einen Kundenfall, der dir besonders in Erinnerung geblieben ist?
Christoph: Besonders in Erinnerung geblieben ist mir ein Fall rund um eine frisch bekannt gewordene SharePoint-Sicherheitslücke. Angreifer konnten darüber Backdoors auf Servern platzieren und so die Kontrolle übernehmen. Nur wenige Stunden nach der öffentlichen Bekanntmachung erhielten wir bei einem Kunden tatsächlich einen Alarm: Eine entsprechende Datei war abgelegt worden. Da unser Analystenteam bereits eine Erkennung vorbereitet hatte, konnten wir sofort reagieren, die Datei in Quarantäne verschieben und die betroffenen Systeme isolieren. Noch in derselben Nacht informierten wir den Kunden telefonisch und leiteten gemeinsam weitere Schritte ein. Eine forensische Analyse bestätigte später, dass kein Schaden entstanden war. Ein Beispiel dafür, wie wichtig schnelle Reaktion und enge Zusammenarbeit sind.
Ein zweiter Fall zeigt die andere Seite der Medaille: An Heiligabend hatte ein Kunde einen Penetrationstest angesetzt, ohne uns vorab zu informieren. Wir erkannten den Angriff, isolierten das System und versuchten erfolglos den Kunden zu erreichen – eine Rückmeldung kam erst nach mehreren Tagen. Der Test war zwar harmlos, aber er verdeutlichte, wie riskant fehlende Erreichbarkeit sein kann. Insbesondere dann, wenn Fragen zu klären sind und der Kunde bei der Response mithelfen muss. Wäre es ein echter Angriff gewesen, hätte niemand reagieren können. Für uns war das ein prägnantes Beispiel dafür, wie wichtig nicht nur Technik, sondern auch Awareness und klare Prozesse sind.
Müsst ihr häufig außerhalb der Geschäftszeiten aktiv werden? Wie funktioniert in diesen Fällen der Kontakt zum Kunden?
Christoph: Für uns gibt es keine klassischen „außerhalb der Geschäftszeiten“. Kundensysteme laufen rund um die Uhr und damit auch unsere Überwachung. Entsprechend bekommen wir jederzeit Alarme – von automatisierten Schwachstellenscans über Backup-Vorgänge bis hin zu bestätigten Angriffen.
Wenn ein Vorfall kritisch ist, informieren wir den Kunden zunächst schriftlich und greifen dann zum Telefon. Dafür gibt es bei jedem Unternehmen hinterlegte Notfallkontakte, die so lange angerufen werden, bis wir jemanden erreichen. In der Regel funktioniert das sehr zuverlässig – die erwähnte Ausnahme an Heiligabend war ein Sonderfall. Wichtig ist dabei, dass wir die meisten akuten Maßnahmen selbst umsetzen können, auch wenn der Kunde kurzfristig nicht erreichbar ist. Systeme werden isoliert, schädliche Dateien in Quarantäne verschoben oder Prozesse beendet. Das Unternehmen erhält anschließend eine Zusammenfassung und konkrete Handlungsempfehlungen. So stellen wir sicher, dass ein Angriff jederzeit gestoppt werden kann, egal ob werktags, nachts oder am Wochenende.
Hast du Tipps für IT-Admins, was sie tun könnten, um mit einfachen Maßnahmen die Sicherheit in ihrem Netzwerk zu verbessern?
Christoph: Die wirkungsvollste Maßnahme beginnt nicht in der Firewall, sondern beim Menschen. Schulungen und regelmäßige Phishing-Simulationen reduzieren den häufigsten Angriffsvektor deutlich. Parallel sollten IT-Verantwortliche darauf achten, dass nur wirklich benötigte Systeme aus dem Internet heraus erreichbar sind. Komponenten, die keinen externen Zugriff brauchen, gehören hinter interne Netze oder VPNs.
Technisch ist das Patch-Management zentral. Kritische Sicherheitsupdates sollten zeitnah eingespielt werden, weil öffentlich gewordene Schwachstellen schnell von Angreifern automatisiert ausgenutzt werden. Ergänzend dazu erhöhen Passwortmanager und Multi-Faktor-Authentifizierung den Schutz vor dem Ausspionieren von Zugangsdaten für Dienste erheblich.
Im Betrieb zahlt sich eine strikte Vergabe der Nutzerechte aus. Dazu gehören: Adminrechte nur für tatsächlich berechtigte Personen, Sitzungen und Prozesse mit erhöhten Rechten sofort beenden, wenn sie nicht mehr benötigt werden und möglichst kurzlebige Admin-Sessions erzwingen. So reduzierten IT-Verantwortliche die Angriffsfläche.
Schließlich sollten Backups, Netzwerksegmentierung und verhaltensbasierte Erkennung, zum Beispiel unser Managed Security Operations Center zur Standardausstattung gehören. Regelmäßige Tests, gemeinsame Übungen und klare Notfallkontakte runden das Maßnahmenpaket ab und sorgen dafür, dass technische Vorkehrungen im Ernstfall auch wirksam eingesetzt werden.
Wie oft seid ihr auf aktive Mitarbeit des Kunden angewiesen, um Vorfälle aufzulösen?
Christoph: In den meisten Fällen können wir Vorfälle selbstständig analysieren und eindämmen. Auf aktive Mitarbeit der Kunden sind wir nur selten angewiesen. Meistens dann, wenn wir Handlungsempfehlungen verschicken und eine Rückmeldung brauchen, ob diese wahrgenommen und umgesetzt wurden. Das ist das Minimum, auf das wir uns verlassen müssen, um sicherzustellen, dass alle Beteiligten den gleichen Stand haben. Darüber hinaus gibt es einzelne Situationen, in denen wir die Unterstützung des Kunden benötigen. Etwa wenn wir klären müssen, ob bestimmte Tools – wie Netzwerk-Scanner – legitim im Einsatz sind oder ob es sich um ein mögliches Angreiferwerkzeug handelt. Auch kann es vorkommen, dass wir verdächtige Dateien anfordern, um unsere Erkennungssysteme weiter zu verbessern.
Zwei Artikel gab es schon in der Blog-Reihe „Köpfe hinter Managed SOC“. Den Start machte Andy Felbinger mit Fragen und Antworten rund um den Vertrieb. Danach sprach Tobias Misse über das Onboarding. Für den nächsten Artikel werde ich die Seite wechseln und spreche mit einem Kunden. Seien Sie gespannt!
