Herkömmliche Security Operations Center (SOC) stehen vor zahlreichen Herausforderungen. Neben dem globalen Fachkräftemangel zählen dazu vor allem die wachsende Menge und Komplexität von Sicherheitsdaten. Dazu gehört ebenso die Notwendigkeit, Bedrohungen schneller und genauer zu erkennen, zu analysieren und auf sie zu reagieren. Traditionelle Tools und Technologien sind dazu nicht mehr in der Lage.
Mit der neuen MDR-Generation wandelt sich in der IT-Security der Umgang mit Daten grundlegend. Große Datenmengen werden unabhängig von Datentyp und -format zentral in einem Data Lake gespeichert.
(Bild: peterschreiber.media - stock.adobe.com)
Um Bedrohungen schneller zu erkennen und auf sie zu reagieren, steigen viele Unternehmen daher inzwischen auf MDR/XDR-Lösungen um, mit denen sich die Zeitspanne zwischen der Erkennung von Bedrohungen sowie der Reaktion darauf verkürzen lässt. Das hilft den Sicherheitsverantwortlichen, ihre Cyber-Abwehr zu stärken und die Risiken zu reduzieren.
Solche Verbesserungen sind dringend notwendig. Die Bedrohungslandschaft entwickelt sich so schnell, dass sich die wachsenden Gefahren nicht mehr überwinden, sondern nur noch eindämmen lassen. Ein großes Problem für die Sicherheitsverantwortlichen ist nach wie vor Ransomware. Weitere Risiken bestehen in Betrugsversuchen sowie in der Notwendigkeit, sich in einer immer komplexeren Gesetzeslandschaft zurechtzufinden. Betrug sowie Angriffe auf kritische Infrastrukturen gehören aktuell zu den größten Gefahren. Phishing-Attacken, die mithilfe von Social Engineering auf die Finanzabteilungen von Unternehmen abzielen, waren schon immer eine große Herausforderung. Aber durch den Einsatz von künstlicher Intelligenz (K) werden sie immer raffinierter und skalierbarer. Selbst für das geschulte Auge ist es schwer, eine Phishing-E-Mail von einer „echten“ Mail zu unterscheiden. Den Unternehmen wird zunehmend bewusst, dass sich Investitionen in die Sicherheitsinfrastruktur und Maßnahmen zur Erkennung von und die Reaktion auf Bedrohungen auszahlen. Die größte Herausforderung besteht jedoch darin, mit dem rasanten Tempo des technologischen Wandels Schritt zu halten.
Die Grenzen herkömmlicher SOCs
Im SOC manifestiert sich dies in den Bemühungen der Sicherheitsteams, ihre Abläufe und Abwehrmaßnahmen so schnell wie möglich an den technologischen Wandel anzupassen. Der Standardprozess für ein traditionelles internes SOC oder ein ausgelagertes Security-Management besteht darin, mithilfe einer Vielzahl von Tools und Technologien Anomalien zu erkennen und zu untersuchen. Allerdings erfolgt das isoliert vom Kontext der Vorfälle. Damit besteht die Gefahr, dass das Gesamtbild eines Angriffs unvollständig ist und Bedrohungen übersehen werden. Zudem kostet es viel Zeit, falsche Alarme von True Positives zu unterscheiden.
Der Bedarf an einem zukunftssicheren Modell, das sich flexibel an die Bedrohungslandschaft anpasst, ist wahrscheinlich einer der Hauptgründe für die zunehmende Verbreitung von MDR-Diensten der neuen Generation. Sie werden häufig von XDR-Plattformen unterstützt. Auf diese Weise lässt sich eine unbegrenzte Menge an Daten automatisch erfassen, normalisieren, anreichern und mit anderen Geschäftsdaten in Beziehung setzen. So entsteht ein Gesamtbild, das die Erkennung von Anomalien, die Implementierung von Sicherheitsmaßnahmen und die Analyse der wichtigsten Bedrohungen beschleunigt.
Notwendigkeit eines datengesteuerten Ansatzes
Mit der neuen MDR-Generation wandelt sich der Umgang mit Daten grundlegend. Große Datenmengen werden unabhängig von Datentyp und -format aufgenommen und zentral in einem Data Lake gespeichert. All diese Informationen lassen sich für die Erkennung, Kontextualisierung und Visualisierung nutzen. Im Gegensatz zur herkömmlichen SIEM-Technologie zahlen die Kunden bei diesem Ansatz nicht mehr je nach Menge der Daten, die sie an ihren Sicherheitsanbieter weiterleiten, sondern nach der Zahl der zu schützenden Assets. Dadurch müssen sie sich nicht mehr auf bestimmte Datensätze beschränken und riskieren, relevante Informationen zu verpassen. Es steht eine große Menge an detaillierten Daten zur Verfügung, die sich mithilfe von KI korrelieren und in einen Zusammenhang bringen lassen. Das bedeutet auch, dass die Sicherheitsexperten die Alerts nicht mehr einzeln analysieren und an den Kunden weiterleiten. Sie gehen vielmehr einen Schritt zurück und betrachten jeden Vorfall im Kontext des Angriffs.
Angriffsfälle: Schnellere und umfassendere Untersuchung von Vorfällen
Mit diesem Ansatz lassen sich nicht nur mehr Anomalien erkennen. Es sind auch gründlichere Untersuchungen möglich. Darüber hinaus liefert das Dashboard einer MDR-Lösung der nächsten Generation neue Funktionen wie das dynamische Risiko-Management sowie Berichte über das Sicherheitsverhalten der Mitarbeiter. Dadurch können die Teams, die einen Prozess verwalten, schnell herausfinden, ob es sich tatsächlich um einen kriminellen Angriff oder lediglich um den Anwendungsfehler eines Nutzers handelt. Sie sehen sofort, ob nur ein Computer oder mehrere betroffen sind. Und sie können beurteilen, wie ernst die jeweilige Attacke ist. Auch gescheiterte Angriffe werden angezeigt. Denn der Versuch, eine Schwachstelle auszunutzen, ist immer mit dem Risiko verbunden, dass der Angreifer seine Attacke zu einem späteren Zeitpunkt wiederholen wird. Durch die Analyse großer Mengen an unterschiedlichen Daten lassen sich also Anomalien und Schwachstellen proaktiv erkennen.
Mehrwert durch den Einsatz eines Data Lakes
Das Vorhalten eines Data Lakes beschleunigt aber nicht nur die schnellere Erkennung von Sicherheitsvorfällen und die Reaktionen darauf. Der umfangreiche Datenspeicher lässt sich auch für andere Zwecke nutzen – etwa, um wichtige Erkenntnisse aus Bereichen außerhalb des Sicherheitsbetriebs zu gewinnen. Ein Security-Team könnte beispielsweise anhand des Daten-Pools herausfinden, wie viele USB-Sticks im Unternehmen im Einsatz sind oder wie viele Top-Manager in einem bestimmten Zeitraum Phishing-Mails erhalten haben.
Anforderungen an MDR der nächsten Generation
Der innovative Sicherheitsansatz auf Basis einer schlüsselfertigen MDR-Lösung ermöglicht es Unternehmen unabhängig von ihrer Größe, ihre interne Security zu verbessern. Durch bessere verwertbare Erkenntnisse und ein hohes Maß an Transparenz können sich die Experten darauf konzentrieren, die Bedrohungslandschaft, die neuesten Entwicklungen in der Sicherheitstechnologie und den jeweiligen geschäftlichen Kontext ihrer Kunden besser zu verstehen. Dadurch lässt sich die Komplexität einer effektiven Gefahrenerkennung und -reaktion reduzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um wirklich effektiv zu sein, sollten Unternehmen MDR durch zusätzliche Dienste und Programme ergänzen, die die Widerstandsfähigkeit erhöhen – und offensive und defensive Sicherheitstests sollten ein wesentlicher Bestandteil davon sein.
Die wirksamste Art und Weise, die offensive Sicherheit in ein internes oder ausgelagertes SOC zu integrieren, besteht in der Implementierung eines sogenannten Purple-Team-Programms. Bei diesem kooperativen Ansatz arbeiten die Teams für die defensive und die offensive Sicherheit (blaues und rotes Team) zusammen, um die Reaktionen auf potenzielle Sicherheitsverletzungen zu üben und die Sicherheitskontrollen auf ihre Wirksamkeit zu prüfen. Während das blaue Team für MDR zuständig ist und in der Regel aus Mitarbeitern des Sicherheitsdienstleisters besteht, führt das rote Team offensive Security-Tests durch. Bei den gemeinsamen Übungen eines Purple Teams lassen sich Erkenntnisse gewinnen, die weit über herkömmliche Reports hinausgehen und auf diese Weise die Abwehr deutlich verbessern.
Fazit
Die Bedeutung des Zusammenhangs, in dem ein Angriff steht, ist nicht zu unterschätzen. Die Sicherheitsteams müssen nicht mehr Alert für Alert bearbeiten, sondern sie erhalten ein Gesamtbild, das einen Kontext liefert – über Abteilungs- und Ländergrenzen sowie Zeitzonen hinweg. Das bedeutet, sie können ihre Abwehrmaßnahmen schneller und gezielter umsetzen als traditionelle SOCs. Auf diese Weise versetzen sie ihr Unternehmen in die Lage, die Risiken und Auswirkungen von Sicherheitsverletzungen zu minimieren.
Mit der Auflösung der Perimetersicherheit, dem Aufkommen immer neuer Kontrollen und wachsenden Angriffsflächen steht heute mehr auf dem Spiel als je zuvor. Ein datengesteuerter Ansatz, der fortschrittliche Analysen von einer einzigen Plattform aus liefert, ist eine überzeugende Antwort auf die neuen Herausforderungen.
Über den Autor: Olivier Vareilhes ist Senior Director DACH bei Kudelski Security.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/ca/98/ca981bd9ff1a8c9641595774d79829ea/0125795002v2.jpeg "Alex Goller ist Cloud Solutions Architect EMEA bei Illumio und stellt fest, dass die Sichtbarkeit n Sachen Cybersicherheit nie größer war als jetzt – zugleich aber auch die Klarheit nie geringer! (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/fb/d5/fbd536153648e8539c31e91bb51dafb9/0127147008v2.jpeg "Dynamisches Risk-Management ist ein kontinuierlicher Prozess zur Identifizierung, Bewertung und Steuerung von Risiken, deren Umstände sich schnell ändern und weiterentwickeln können. (Bild: Elnur - stock.adobe.com)")