Im Gespräch: Daniel Graßer (Plusserver) & Alexander Werkmann (IBM) Neues Security Operations Center von Plusserver und IBM

Anbieter zum Thema

Vogel IT-Medien GmbH

Cohesity GmbH

IBM Deutschland GmbH

Plusserver ist ein führender deutscher Anbieter von Cloud Services. Gemeinsam mit IBM erweitert das Unternehmen mit über 2.000 Kunden das Angebot nun um ein Managed Security Operations Center (SOC) und setzt dabei unter anderem auf QRadar von IBM als Security Information and Event Management (SIEM)-Lösung. Im exklusiven Gespräch erläutern Alexander Werkmann, Director, Technology Leader Security IBM DACH und Daniel Graßer, Senior Director of Security Services, Plusserver, die Hintergründe.

Security-Insider: Welche Vorteile bietet ein Managed SOC für Unternehmen?

Graßer: Als deutscher Cloud Provider legen wir einen starken Fokus auf Cloud-Sicherheit. Während unsere Kunden sich auf die Entwicklung neuer Geschäftsmodelle oder auf ihre digitale Transformation konzentrieren, übernehmen wir die Verantwortung für den Cloud-basierten IT-Betrieb. Dazu gehören umfassende Maßnahmen und Lösungen rund um die Datensicherheit, vollumfängliche Cloud-Security bis hin zu unserem Security Operations Center as a Service (SOC) Angebot. Mit SOC as a Service bieten wir unseren Kunden Sicherheit und schonen gleichzeitig ihre Ressourcen. Plusserver kümmert sich um die Verwaltung aller Dienste. Dazu gehört die Bereitstellung der SIEM-Plattform und Log-Collectoren (IBM QRadar), die Anbindung definierter IT-Systeme (z. B. EDR-Plattform, Firewalls), die automatisierte Korrelation von Events, die 1st- und 2nd-Level-Analyse von Sicherheitsevents und die Unterstützung des Kunden im Bedrohungsfall. Auch Wartung, Hochverfügbarkeit und Optimierung der SIEM-Plattform und die Erstellung von Berichten sind Teil des Angebots.

Security-Insider: Wie genau arbeitet Ihre SOC-Lösung?

Graßer: Die heutige Bedrohungslandschaft erfordert Transparenz, Automatisierung und kontextbezogene Erkenntnisse mit einem robusten, offenen Ansatz. Die Lösung analysiert die IT-Umgebung der Kunden mit State-of-the-Art-Technologie, schafft Transparenz und erkennt Abhängigkeiten, die auf zielgerichtete Angriffe wie Ransomware oder Malware hinweisen können – rund um die Uhr, wenn die Kunden dies wünschen. Durch das Sammeln, Korrelieren und Auswerten von Meldungen, Alarmen und Logfiles verschiedener Geräte, Netzkomponenten, Anwendungen und Security-Systemen in Echtzeit werden Angriffe, außergewöhnliche Muster oder gefährliche Trends sichtbar. Auf Basis dieser Analyse lässt sich die Bedrohungslage in der Infrastruktur sowie der Cloud gezielter bewerten, und Unternehmen können bei Bedarf passende Gegenmaßnahmen einleiten.

Security-Insider: Machen Sie sich auch die Vorteile von KI zu Nutze?

Graßer: Natürlich – das ist für die schnelle Anreicherung, Korrelation und Untersuchung von Bedrohungen unumgänglich. Wir nutzen speziell entwickelte KI-Lösungen und vorgefertigte Playbooks, einschließlich Ursachenanalyse und MITRE ATT&CK zur Klassifizierung und Beschreibung von Cyberangriffen sowie Cyber-Kill-Chain-Mapping zur Visualisierung der Angriffe. So werden verwertbare Erkenntnisse über die wichtigsten Bedrohungen gewonnen und versteckte Bedrohungen im Netzwerk erkannt, bevor es zu spät ist. Zusätzlich hilft ein SOC as a Service dabei, die Transparenz über das Sicherheitslevel zu verbessern und zu dokumentieren sowie Compliance-Vorgaben einzuhalten.

Werkmann: Künstliche Intelligenz ist auch im Bereich der IT-Sicherheit eines der Trend-Themen – sowohl bei den gutwilligen als auch bei den böswilligen Akteuren. So werden Phishing Mails durch den Einsatz von künstlicher Intelligenz glaubhafter und sehen vertrauenswürdiger aus. Dem entgegen steht der Einsatz von KI und Machine Learning auf Unternehmensseite, mit deren Hilfe die IT-Teams die große Masse an Daten vorfiltern. So kann beispielsweise ein Analyst im Security Operations Center (SOC) die Log-Daten wesentlich schneller überprüfen, wenn eine KI alle als sicher eingestuften Logs bereits herausgefiltert hat. Dennoch wird eine KI den Analysten – egal ob im eigenen SOC oder in einem Service-Angebot wie bei Plusserver – kaum ersetzen können. Denn am Ende muss immer der Mensch einschätzen, was für das Unternehmen eine Gefahr darstellt.

Security-Insider: Welche Technologien stehen beim Erkennen von Angriffen durch Ransomware und Malware außerdem im Fokus?

Werkmann: Laut unserem eigenen, aktuellen IBM Security X-Force Threat Intelligence Index war Ransomware mit 17 Prozent der Angriffe auf Platz zwei der häufigsten Angriffsarten. Solche Angriffe, bei denen Unternehmensdaten verschlüsselt werden und auf dieser Basis dann ein Erpressungsversuch erfolgt, laufen immer schneller ab. Betrug die Zeit zwischen dem ersten Zugriff und der Bereitstellung der Ransomware 2019 noch zwei Monate, waren es 2022 nur noch knapp vier Tage. Entsprechend groß ist das Risiko für Unternehmen. Abhilfe schafft eine leistungsfähige SIEM-Lösung, mit deren Hilfe sie Angriffe noch schneller entdecken und sie bestenfalls rechtzeitig abwehren können.

Graßer: Ein solches SIEM bildet den Kern unseres SOC as a Service. Dabei handelt es sich um ein softwarebasiertes Technologiekonzept, mit dem ein ganzheitlicher Blick auf die IT-Sicherheit möglich wird. SIEM stellt eine Kombination aus Security Information Management (SIM) und Security Event Management (SEM) dar. Wie oben beschrieben werden hier Meldungen, Alarme und Logfiles aus der gesamten IT-Infrastruktur gesammelt und analysiert. Dazu gehören auch angebundene Security-Lösungen wie ein EDR (Endpoint Detection & Response) oder ein Vulnerability Scanner, der die Unternehmensinfrastruktur regelmäßig auf Sicherheitslücken überprüft. Das ist nach COVID-19 mit der gestiegenen Zahl der Endgeräte eine überaus wichtige Maßnahme. Besonders hervorheben möchte ich den Vulnerability Scanner, der die Unternehmensinfrastruktur regelmäßig auf Sicherheitslücken überprüft.

Security-Insider: Wie unterstützt ein SOC bei der Einhaltung von Compliance-Vorgaben oder dem IT-Sicherheitsgesetz 2.0?

Graßer: Ein Managed SOC kann Unternehmen dabei helfen, verschiedene Compliance-Anforderungen wie PCI-DSS, GDPR, HIPAA, ISO 27001, NIST und andere branchenspezifische Vorschriften zu erfüllen, natürlich auch die des IT-Sicherheitsgesetz 2.0. Log Management und Incident Response sind inzwischen oft Teil der regulatorischen Vorgaben und lassen sich einfacher und schneller mit einem Managed SOC umsetzen, weil der Aufbau einer eigenen Architektur dafür entfällt.

Security-Insider: Was muss ein Unternehmen bei der Wahl eines SOC-Betreibers beachten und was sind die ersten Schritte?

Werkmann: Grundsätzlich kann ein Managed SOC für alle Unternehmen – egal wie groß oder aus welcher Branche – eine gute Lösung sein. Vor allem seit Inkrafttreten des IT-Sicherheitsgesetz 2.0, das den Bereich der KRITIS und die Anforderungen an deren Sicherheitskonzepte deutlich ausgeweitet hat, können sie die IT-Sicherheit über ein Managed-Service-Angebot schnell herstellen oder zumindest die richtigen Voraussetzungen schaffen.

Graßer: Ob und in welcher Form ein Managed SOC für ein Unternehmen in Frage kommt, hängt von vielen Faktoren ab. Wir betrachten beispielsweise den Reifegrad der Systeme beim Kunden und entscheiden individuell, welche Instanzen wir über das SIEM schützen wollen. Außerdem sollten Unternehmen prüfen, wie viel Security-Erfahrung im Angebot steckt und ob das System einem offenen Konzept folgt. Denn nur dann funktioniert eine Anbindung reibungslos.

Security-Insider: Ihr Angebot basiert auf einer Lösung von IBM – was sind die Gründe dafür?

Graßer: IBM verfügt über 30 Jahre Erfahrung am Security-Markt. Diese Expertise und das offene Konzept von QRadar versprechen IT-Sicherheit auf aktuellem Stand Es existieren beispielsweise bereits über 1.500 Anleitungen für Implementierungen im sogenannten Device Support Module Guide (DSM), und das Tool arbeitet problemlos mit anderen Security-Assets wie Splunk SIEM oder Google Chronicle zusammen. Auch bei der Inbetriebnahme profitieren wir von der offenen Plattformarchitektur, da sich QRadar binnen weniger Stunden aufsetzen lässt. Besonders im Ernstfall wissen unsere Security-Experten diese Schnelligkeit zu schätzen.

Security-Insider: IT-Sicherheit im Jahr 2025: Worauf müssen wir uns einstellen?

Werkmann: Die Bedrohungslage wird sich auch in den kommenden Jahren nicht entspannen. Vor allem im Hinblick auf die zunehmende Akzeptanz der Cloud seitens der Unternehmen gewinnen Themen wie Authentifizierung und Verschlüsselung an Bedeutung.

Graßer: Beides sind Aufgaben, die ein Managed SOC optimal erfüllen kann. Zudem profitieren die Unternehmen von der umfassenden Expertise. Und nicht zuletzt haben Unternehmen mit einem Partner auch gleich Unterstützung zu Hand, sollte es doch einmal zu einem Angriff kommen.

(ID:49777177)