Managed-Service-Provider für Security sollen operationelle Risiken der Unternehmen reduzieren und die internen Teams durch umsetzbare Handlungsempfehlungen stärken. Um herauszufinden, ob sie dies wirklich können, sollte man nach Pfadfinder-Qualitäten und entsprechendem Equipment Ausschau halten. Der Weg in die Security-Zukunft führt meist durch unbekanntes Terrain, und dort braucht man eine Mischung aus Spurenleser und MacGyver.
Zu den wichtigsten Auswahlkriterien für einen Security-Dienstleister gehört dessen Fähigkeit, den ständigen Wandel beim Kunden als Normalität zu betrachten.
Es gibt komplizierte Herausforderungen, für die man eine Lösung finden muss. Ist das dann der Fall, ist das Problem Geschichte. Der Flug zum Mars etwa gehört in diese Kategorie. Wie beim Mondflug wird die Menschheit irgendwann über die nötige Technik und die passenden Vorgehensmodelle verfügen, um den Schritt zum Roten Planeten zu gehen.
Hinter dem Wunsch, IT sicher zu betreiben und Informationen zu schützen, verbergen sich ganz andere Anforderungen. Es gibt keine festen Zielkoordinaten, keinen bekannten Weg und keine berechenbare Distanz. Ständiges Weitergehen ist gefragt, weil die IT ununterbrochen neue Aufgaben übernimmt, Chancen eröffnet, aber auch neue Lasten und Mitreisende an Bord holt. Außerdem weiß niemand, wie sich die Bedrohungslage weiterentwickelt. Um auch hier im Bild zu bleiben: Es ist völlig unklar, wer sich einem mit welcher Intention zu welchem Zeitpunkt in den Weg stellen wird.
Für die Herausforderungen der ersten Kategorie braucht man einen Lösungsentwickler mit klarem Profil und exakt umrissene Qualitätsmaßstäbe für die Lösung selbst. Für den Weg ins Unbekannte dagegen sollte man einen Partner suchen, der es als seine ureigene Aufgabe betrachtet, sich selbst und sein Equipment immer wieder auf neue Anforderungen hin abzustimmen und weiterzuentwickeln. Je universaler das Werkzeugpaket und je größer die Bereitschaft, daraus immer wieder das Beste zu machen, desto geeigneter ist er der Wegbegleiter.
Verquere Anbieterwahl
Sieht man sich vor diesem Hintergrund an, wie in vielen Situationen Dienstleister ausgewählt werden, wird schnell deutlich: Die Auswahlprozesse müssten sich an Modell 2 orientieren, sind aber fast überall auf Modell 1 abgestimmt. Man stürzt sich auf einen Anbieter, der stolz sein Treibstoffrezept für den Flug zum Mars präsentiert, müsste aber nach einem kreativen Generalisten mit Schweizer Taschenmesser suchen.
Typisch ist beispielsweise folgende Vorgehensweise: Ein Handelsunternehmen stellt fest, dass sein Security Operations Center nicht effektiv arbeitet: Zu wenige Analysten, zu viele False Positives und tatsächliche Angriffe werden nicht erkannt. Um das Security-Team zu entlasten, entschließt man sich zum Outsourcing. Der Anbieter wird danach ausgewählt, ob er ähnliche Unternehmen betreut, welches Tool er nutzt und ob er die im höchsten Maße kritischen Systeme der Organisation überwachen kann. Ansonsten zählt der Preis – und beim Einstieg ins Dienstleistungsmodell schwebt dann die unausgesprochene Hoffnung im Raum, das SOC-Problem habe sich damit erledigt.
Kein halbes Jahr später kauft das Unternehmen ein anderes auf und holt sich damit nicht nur eine eigene Produktion ins Haus, sondern auch gänzlich neue Angriffsflächen, Compliance-Anforderungen und zunächst unklare Risiken. Und als Hauptgewinn für die Security sichert sich das Unternehmen zusätzlich die Aufmerksamkeit ganz neuer Gruppen von potenziellen Angreifern.
Es stellt sich heraus: Mit den neuen Anforderungen kommt der gerade erst so sorgfältig ausgewählte SOC-Anbieter nicht klar, er hat weder technische Sensoren noch die Auswertelogik noch die nötige Erfahrung für die hinzugekommenen Arbeitsfelder. Er weiß nicht einmal, welche Kontextinformationen er braucht, um im gewandelten Sicherheitsumfeld sicherheitsrelevante Vorfälle zu erkennen. Möglicherweise steht somit schon wieder ein Dienstleisterwechsel an.
Zukunftssicher bei Unwägbarkeiten
Es soll Firmen geben, da unterrichtet die Geschäftsführung die Security frühzeitig über geplante Expansionen sowie neue Geschäftsfelder und bindet sie in kurzfristige wie langfristige Change-Prozesse ein, damit die Sicherheitsspezialisten diese organisatorisch und technisch begleiten. Der Normalfall ist das nicht. Häufig kommen selbst tiefgreifende Änderungen der Geschäftstätigkeit fast aus dem Nichts über einen CISO und seine Teams. Aber auch, wenn die Einbindung der Security gut ist, ändert sich manches Business rasant.
Man bräuchte einen Dienstleister, der bei Umbrüchen oder tiefgreifenden Change-Prozessen nicht hilflos die Achseln zuckt, sondern der die Security auch unter solchen Umständen mitgestaltet. Dazu muss er Beratungs-, Analyse- und Ausführungskapazitäten bereitstellen – und den erwähnten universellen Werkzeugkasten, aus dem sich die Tools für eine möglichst hohe Bandbreite von sicherheitsbezogenen Aufgaben schnell und pragmatisch zusammenstellen lassen. Außerdem muss er in der Lage sein, auf alle sicherheitsrelevanten Informationen beim Kunden ohne langes Neu-Entwickeln von Schnittstellen und Anlegen von Repositories zuzugreifen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Data Lake als Veränderungs-freundliche Basis
Eine gute Grundlage für derartige Flexibilität ist es, die Erhebung und Vorhaltung Security-relevanter Daten zumindest teilweise vom aktuellen Analyseziel zu entkoppeln. Bei klassischen SIEM-Systemen etwa legt das Security-Team frühzeitig fest, welche Informationen aus welchen Quellen permanent erhoben werden sollen. Diese werden dann fortwährend zueinander in Beziehung gesetzt, um beispielsweise mehrstufige Angriffe sichtbar zu machen. Damit die korrelierende „Engine“ des Systems nicht überlastet wird und die Analysten nicht in irrelevanten Datenmengen untergehen, beschränkt sich der Daten-Input von vornherein meist auf Systeme und Datenbestände, die bereits als kritisch eingestuft wurden.
Ändert sich die Risikoeinstufung, müssen in diesem Fall Datenquellen und Auswertung angepasst werden. Die doppelte Beschränkung, die in diesem Konzept steckt – sie betrifft das Ausgangs-Datenmaterial und die Auswertungslogik zugleich – macht das System unflexibel, beschränkt die Reichweite forensischer Untersuchungen und erschwert es, Risiken mittels kreativer neuer Anfragen an die erhobenen Informationen aufzudecken. Es gibt keinen umfassend nutzbaren Pool an sicherheitsrelevanten Informationen, sondern es bleibt bei mühsam und schwach verknüpften Informations-Silos.
Anbieter wie Obrela gehen stattdessen den Weg, potenziell Sicherheits- und Compliance-relevante Daten auch unabhängig vom konkreten Security-Use-Case normalisiert in ihrer Security Data Lake-Plattform zu aggregieren. Damit ist es möglich, kontinuierlich anhand der geänderten Bedingungen im Bereich der Bedrohungslage und der Risiken, Regelwerke und Szenarien anzupassen, zu erweitern und zu optimieren. Und das, ohne dabei ständig neue Projekte anstoßen zu müssen.
Die zentrale Frage: „Was will ich erkennen?“, muss somit nicht zu einem bestimmten Zeitpunkt abschließend oder vorausschauend geklärt werden, um Kosten zu sparen. Außerdem ist es einfach, die Ergebnisse einer Analyse mit weiteren Informationen aus dem Data Lake oder weiteren Unternehmensinformationen anzureichern.
Dieses Konzept erlaubt es, Anforderungen aus den sicherheitsrelevanten angrenzenden Bereichen flexibel einzubinden und damit eine unternehmensweite Risikoposition nahezu in Echtzeit abzubilden:
Vulnerability Management: Wo ist ein Unternehmen besonders verwundbar? Die Antwort auf diese Frage hängt nicht nur davon ab, ob vorhandene Produktiv- und Sicherheitssysteme überhaupt Lücken aufweisen. Welche Ressourcen ein Security-Team auf die Behebung von Schwachstellen ansetzen muss, berechnet sich auch nach der Risikolage und dem Kontext, in dem betroffene Systeme stehen. Der oben beschriebene umfassende Datenbestand erleichtert es ungemein, hier zügig die richtigen Entscheidungen zu treffen.
Audit Management: Mit neuen Business-Anforderungen ändern sich immer auch die Sicherheitsanforderungen. Dies erfordert neue Assessments und zieht entsprechende Audits nach sich. Kommen der Dienstleister, seine Tools und der Informationsbestand dieser Dynamik entgegen, verlieren plötzlich auftauchende neue „Requirements“ ihren Schrecken.
Identity und Access Management: Jede Weiterentwicklung von Business-Prozessen verursacht Rollenwechsel oder erweiterte/veränderte Zugriffsberechtigungen bei den Mitarbeitern. Ein zuverlässiger Zugriff auf Identitäten, Rechte und den jeweiligen Kontext ermöglicht es, Berechtigungen kontinuierlich den tatsächlichen Verhältnissen anzupassen und damit zugleich maximale Sicherheit und Arbeitsfähigkeit herzustellen.
Compliance und Privacy Management: Fast alle Compliance-Anforderungen laufen auf den Nachweis hinaus, eigene Risiken und Risiken für weitere Betroffene in einem Arbeitsfeld angemessen einzuschätzen und geeignete Maßnahmen für ihre Eingrenzung zu treffen. Wenn sich eine Organisation weiterentwickelt, können sich diese Anforderungen ändern. Auch hier sind der Zugriff auf Security-relevante Informationen und die Flexibilität der internen Teams und Dienstleister entscheidend dafür, wie schnell sich ein Unternehmen in einem veränderten Compliance-Rahmen zurechtfindet. Dies betrifft auch Aktivitäten, bei denen der Schutz personenbezogener Daten in den Fokus gerät: Eine Synchronisation der Anstrengungen der Security-Teams mit denen der Datenschützer im Unternehmen, bringt beide Bereiche voran und spart gleichzeitig Ressourcen.
Policy Management: Alle oben beschriebenen Prozesse ziehen zwangsläufig Anpassungen bei den Sicherheitsrichtlinien nach sich. Auch hier sollte ein Dienstleister unterstützen, indem er Regelungsbedarf aufzeigt, mit Daten unterfüttert und Empfehlungen gibt.
Fazit
Zu den wichtigsten Auswahlkriterien für einen Security-Dienstleister gehört dessen Fähigkeit, den ständigen Wandel beim Kunden als Normalität zu betrachten. Er muss dies nicht nur zusichern können – genau so wichtig ist es, dass die Plattform mit dem Werkzeugarsenal dies ermöglicht und dauerhaft absichert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/ea/c0ea15d2614c54a6da1e18299428cc95/0128851547v2.jpeg "Im Rückblick auf 2025 verzeichnete der KEV-Katalog der CISA einen alarmierenden Anstieg von 20 Prozent ausgenutzten Schwachstellen, was die dringende Notwendigkeit für Unternehmen weltweit verdeutlicht, Sicherheitslücken aktiv zu priorisieren. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/d7/afd75f951f4396db9cdb419b378b5699/0128927763v2.jpeg "Das BKA und die ZIT fahnden nach dem Anführer von Black Basta, einer der aktivsten Ransomware-Gruppen der Welt. (Bild: arrow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/e8/72e8ce3f4b573d059393e5a5991e9e2f/0128518662v2.jpeg "Phishing nutzt psychologische Trigger und bleibt trotz Technik gefährlich. Vernetzte Abwehr mit Micro-Trainings, einfachen Meldemechanismen und E-Mail-Authentifizierung senkt Risiken. (Bild: © mk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/06/78/0678ce1dceed0f9a6205f464fd5a33da/0125974706v1.jpeg "Windows Server 2025 bringt zahlreiche neue Gruppenrichtlinien für Sicherheit, Updates, Energiesparmodus, SMB over QUIC und mehr – zentral steuerbar per Admin Center. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/49/f0/49f0dcf29f3c7961c16d8f24bf5cd8dd/0128852664v2.jpeg "Nutzen Cyberkriminelle die kritische Sicherheitslücke in HPE OneView erfolgreich aus, sind sie in der Lage, Zugriff auf Systemressourcen zu erlangen und schädliche Änderungen vorzunehmen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/94/8a/948a5edd42fe80e9ebea60a60ec4af59/0128868821v2.jpeg "Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e1/45/e1456e639977c33af9d802ea88e22c1f/0127747819v2.jpeg "Datengetriebenes Risikomanagement: Durch die Auswertung und Verknüpfung von Sicherheits- und Prozessdaten erhalten Finanzinstitute ein klares Lagebild und können Risiken frühzeitig erkennen. (Bild: © SKIMP Art - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/0a/f80a85081c5dc7af43ea305d2c069393/0124351245v1.jpeg "Wie sich Unternehmen aus der Finanzbranche optimal auf DORA vorbereiten können. (Bild: BritCats Studio - stock.adobe.com)")