Inside a Global SOC

Wie funktioniert eigentlich ein globales Security Operations Center (SOC) in der Praxis – und was bringt ein Managed Detection and Response (MDR)-Dienst einem realen Unternehmen? Das LSZ-Webinar "Inside a Global SOC" gab eindrucksvolle Antworten. Gemeinsam mit Security-Experte Michael Veit (Sophos), IT-Leiter Ingomar Schmickl (St. Anna Kinderkrebsforschung) und Moderator Wolfgang Rosenkranz (CERT.at) wurde ein praxisnaher Blick auf die Realität in der Cybersicherheit geworfen – fundiert und mit echten Beispielen.

„Früher konnte man warten, bis es irgendwo brennt – heute muss man prüfen, ob jemand mit Zündhölzern ins Unternehmen gekommen ist“, brachte Wolfgang Rosenkranz, Leiter von CERT.at, die Problematik auf den Punkt. Unternehmen sehen sich heute zunehmend komplexen Bedrohungen ausgesetzt, die oft lange unentdeckt bleiben. Besonders gefährlich: Ransomware, Phishing und Schwachstellen – sogar in Sicherheitsprodukten selbst.

Zudem wirken Faktoren wie Personalmangel, Budgetdruck und steigende regulatorische Anforderungen als zusätzliche Stressoren auf interne IT-Security-Teams. Wer nicht reagiert, riskiert den Ernstfall – mit fatalen Folgen für Betrieb, Reputation und im schlimmsten Fall das Überleben des Unternehmens.

Michael Veit, Security Evangelist bei Sophos, gewährte exklusive Einblicke in die Arbeitsweise eines globalen SOC. Sophos betreibt derzeit eines der größten MDR-Ökosysteme weltweit mit über 28.000 Kund:innen. Die Idee: Unternehmen werden nicht allein gelassen, sondern durch ein Team aus Analyst:innen rund um die Uhr unterstützt – auch außerhalb der Bürozeiten, wenn die meisten Angriffe stattfinden.

Dabei geht es nicht nur um Reaktion, sondern auch um proaktive Bedrohungssuche (Threat Hunting), die sich am MITRE ATT&CK Framework orientiert. Ein modernes SOC erkennt Anomalien frühzeitig – etwa, wenn sich ein Benutzer aus zwei Ländern gleichzeitig anmeldet („Impossible Travel“) oder interne Geräte verdächtige Aktivitäten zeigen. Besonders perfide: 80–90 % der Angriffe starten laut Microsoft von nicht verwalteten Geräten – etwa IoT, OT oder fremden Endgeräten.

Warum entscheidet sich ein kleines, spendenfinanziertes Forschungsinstitut für einen externen MDR-Dienst? Ingomar Schmickl, Head of IT bei der St. Anna Kinderkrebsforschung, lieferte eine klare Antwort: „Wir wollen ruhig schlafen – das ist mit einem kleinen Team ohne Security-Expert:innen inhouse anders gar nicht möglich.“

Trotz begrenztem Budget war für ihn schnell klar: Selbst ein internes SOC wäre mit hohen Fixkosten (oft 3 Mio. Euro pro Jahr) und personellem Aufwand schlicht nicht realisierbar. Die Entscheidung für einen externen MDR-Anbieter war daher eine bewusste Investition in Sicherheit – zum Schutz sensibler Forschungs- und Patient:innendaten. „Es gibt wenige False Positives – das zeigt uns: Da sitzen echte Menschen, die wissen, was sie tun.“

Auch die Rolle von Künstlicher Intelligenz wurde beleuchtet. Zwar sei KI exzellent darin, Muster zu erkennen oder Anomalien zu melden, doch für echte Entscheidungen brauche es Erfahrung. Sophos kombiniert daher maschinelles Lernen mit menschlicher Analyse – etwa bei der Erkennung der ersten Schritte von Hackern im Unternehmen oder bei proaktiven Maßnahmen nach Bekanntwerden neuer Zero-Day-Schwachstellen.

Das Webinar lieferte eindrucksvoll den Beweis: Moderne Cybersicherheit ist kein reines Technikthema mehr. Vielmehr geht es um kontinuierliches Monitoring, proaktive Verteidigung und kluge Ressourcenverteilung. Ein globales SOC mit MDR-Service ist für viele Unternehmen – ob groß oder klein – die realistischste und effektivste Antwort auf eine immer professionellere Bedrohungslage.

Oder, wie es Ingomar Schmickl so treffend formulierte: „Wir sind nicht Zielscheibe Nummer eins – aber auch nicht mehr unsichtbar. Und Sicherheit heißt auch Verantwortung.“

Tipp: Wer tiefer einsteigen möchte, trifft Sophos und andere IT-Security-Expert:innen beim Cybercrime Forum am 12. Juni in Wien.