Aufgrund des vielfach ausgesprochenen Fachkräftemangel, der steigender Komplexität oder der Relevanz regulatorischer Auflagen denken viele Organisationen aktiv darüber nach, Information-Security-Services komplett oder in Teilen extern zu beziehen. Diese Serie beleuchtet notwendige Voraussetzung und Fragestellungen auf Seiten des Auftraggebers, liefert Handlungsempfehlungen und Checklisteninhalte für eine Providerauswahl und die Ideen für Phasen nach dem Go-Live.
Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten.
Darüber hinaus sind, je nach Organisation, in branchenspezifischen, gesetzlichen bzw. regulatorischen Auflagen (z. B. Kapitel 5 der überarbeiteten BAIT) oder Controls der ISO/IEC 27001 dahingehende Maßnahmen gefordert, ohne die Begriffe SIEM oder SOC explizit zu nennen. Neben der bloßen Existenz fordern die Auflagen und Controls, eine angemessene Dokumentation sowie einen iterativen Prozess zur Qualitätssicherung.
Eine Herausforderung – ein Tool?
Entgegen vielfach getroffener Annahmen reicht es nicht aus, „mal eben schnell“ eines der zahlreichen SIEM-Produkte am Markt mit dem „Standard Usecases“ und einiger „KI-basierter, funktionaler Erweiterungen“ zu installieren und die generierten Informationen „einfach abzuarbeiten“. Die individuelle Anwendung spezifischer Usecases sollte angepasst an die individuellen Risiken, Anforderungen und Ziele der Organisation und Branche erfolgten und ebenfalls einer stetigen Qualitätssicherung unterliegen. Die entsprechenden Weichen dafür sollten vor der Implementierung von Tools und Services gestellt, der zeitliche und damit auch finanzielle Aufwand nicht unterschätzt werden.
Bedrohungs- und risiko-orientiertes Vorgehen
MITRE stellt mit dem ATTACK-Navigator ein Online-Tool zur Verfügung, das einfachere Bedrohungen bis hin zu Advanced Persistant Threats (APTs) gegen die Bausteine des ATTACK-Frameworks mappt. Letzteres hat sich in den vergangenen Jahren zu einer Art Standard bei der bedrohungsorientierten Ausrichtung der Informationssicherheit entwickelt, das auch konkrete Hinweise zu Detektionsmechanismen und Mitigation liefert.
Das risiko- und bedrohungsorientierte Anwenden auf die spezifischen Ziele der Organisation und die Betrachtung der individuellen Service- und Systemlandschaft stellen einen nicht zu unterschätzenden Aufwand dar, selbst in kleinen und mittleren Unternehmen. Aufgrund der daraus resultierenden Komplexität und dem, laut übereinstimmenden Informationen aus Wirtschaftsverbänden und Politik, wachsenden „Fachkräftemangel“ gehen Organisationen verstärkt dazu über, entsprechende Fähigkeiten von Managed Security Service Providern (MSSP) komplett oder in Teilen zu beziehen.
Pros und Cons
Es gibt eine Vielzahl an Pros and Cons in Bezug auf die Auslagerung von Information-Security-Services, hier ein Auszug:
Pros einer Auslagerung
Mögliches, kurzfristiges Einsparpotential. Interne SIEM/SOC-Implementierung und Betrieb bedürfen den massiven Einsatz von Zeit- und Finanzressourcen. Jede SOC-Rolle muss 5-fach besetzt werden. [*]
Zurückgreifen auf vorhandenes, nachweislich ausgebildetes und qualifiziertes Personal 24x7x365 ab Tag 1 der Leistungserbringung
Vorhandene Skalierungsmodelle und Flexibilität nutzen
Existierende Vernetzung mit (anderen) CERTs, Rascher Zugriff auf aktuelle TI-Feeds, IoCs, …
Initiale und fortwährende Diskussions- und Abstimmungsrunden bez. Schichtdienst, Schichtplänen und Zulagen können umgangen werden
Professioneller, effektiver und effizienter Umgang mit allen Arten von Sicherheitsereignissen
Tiefgreifende, fortlaufende und branchenspezifische Kenntnis aktueller ggf. globaler Bedrohungen
Fokussierung des Auftraggebers auf sein Kerngeschäft
Klare Trennung von Verantwortungen
Serviceelemente sind via SLA und KPI schriftlich fixiert und werden qualitätsgesichert
Unabhängigkeit vom möglicherweise vorhandenen Silodenken und „politischem Einfluss“ in der Organisation des Auftraggebers
[*]: Annahme: Eine 8x5 SOC-Position entspricht einem Full-Time-Equivalent (FTE), zur Sicherstellung einer 24x7 Abdeckung werden daher ca. 5 FTEs benötigt, die Berechnung im Detail:
8760 Stunden pro Jahr (365 Tage * 24 Stunden)
2080 Arbeitsstunden pro Jahr (52 Wochen * 40 Stunden)
8760/2080 = ca. 4.2 FTEs + geplante und ungeplante Abwesenheiten
Cons einer Auslagerung
Mangelnde Kenntnisse des MSSP in der Branche und der individuellen Unternehmenskultur
Gaps bei der individuellen Wahrnehmung des Kunden, Wertigkeit wird ggf. auf eine Customer- oder Contract-ID reduziert
Stures Anwenden standardisierter Service- und Vorgehensmodelle
Gewinnmaximierung steht auf Seiten des MSSP im Vordergrund
Mangel an dedizierten Spezialisten, z. B. Fachkräften mit tiefgreifenden Branchenkenntnissen
Mangel an „Insiderwissen“ in der Organisation des Auftraggebers
Technical Account-Manager je nach Auslastung nicht greifbar
Fortwährendes Risiko, dass vertraglich zugesicherte Eigenschaften nicht eingehalten werden (können)
Lineare Skalierung der Einsatzfähigkeit bei globalem Vorfall kann nicht zweifelsfrei sichergestellt werden
Kein Anreiz für den MSSP, Betriebsabläufe auf Seiten des Auftraggebers zu optimieren
Fehlerhafte Kategorisierung von Incidents aufgrund fehlender „interner“ Informationen
Mitwirkungs- und Bereitstellungspflichten müssen auf Seiten des Auftraggebers dauerhaft nachweislich erfüllt werden
Komplexe und ggf. langwierige Vertragsverhandlungen
Letztendlich verantwortet das Top-Management jeder Organisation die individuell getroffene Entscheidung über den Grad der extern erbrachten Leistungen. Die Erarbeitung von dahingehenden Entscheidungsgrundlagen beruht meist auf einem standardisierten Vorgehen innerhalb jeder Organisation. Ausnahmen, wie beispielsweise das Abweichen von Standard-Prozessen, sowie die Erwartungshaltung des Top-Managements an das Projekt vorab konkretisiert und schriftlich fixiert werden.
Die Teile 2, 3 und 4 der Serie gehen im Detail auf Voraussetzungen auf das risikoorientierte Vorgehen sowie Auswahl eines MSSP und die Implementierung und Qualitätssicherung der Services ein.
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC, Incident Response Management und risiko-orientierter Awareness-Trainings.
(ID:47382328)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/50/035093fa21967192ed89ad7d199a89cf/0128925549v1.jpeg "Threat Intelligence liefert Rohdaten zur Bedrohungslage. Erst die kontextbezogene Bewertung und Zuordnung zu eigenen Assets macht sie für Detektion und Threat Hunting nutzbar. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6ffa4ee2503e5ba4c23eaae095d7d4/0125105677v1.jpeg "Mit check_cert lassen sich SSL/TLS-Zertifikate bis ins Detail prüfen – von Laufzeiten über Signaturverfahren bis hin zu Aussteller-Details. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1827200/1827242/original.jpg "Wollen Unternehmen Services in der IT-Sicherheit outsourcen, gilt es einige Schritte zu beachten. (Olivier Le Moal - adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1831300/1831345/original.jpg "Unternehmensrisiken hängen direkt von Verwundbarkeiten, Bedrohungen und der Bewertung der zugrundeliegenden Assets ab. Alle diese Elemente müssen aktiv gemanged werden. (ilkercelik - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1833200/1833274/original.jpg "Ist die Entscheidung für das grundsätliche Outsourcing von IT-Security-Services gefallen, beginnt ein schrittweiser Auswahlprozess auf dem Weg zum richtigen MSSP. (everythingpossible - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1834000/1834097/original.jpg "Existierende Standards und Best-Practice-Ansätze liefern praxiserprobte Vorlagen für das Outsourcing von Security-Services, müssen aber an die individuellen Ziele des Unternehmens angepasst werden. (putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/c5/5fc595101c3f67c3f6e29ef6d0aba1c0/0128510102v1.jpeg "Da sich das Cybersecurity-Lagebild stets verändert, müssen Organsiationen ihre Strategien laufend neu bewerten. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/55/f0557d0c8b5e93a2a0ccb175b3da1b10/0123683730v2.jpeg "Ein wesentliches Problem bei der Auslagerung von IT-Dienstleistungen ist, dass Unternehmen sich in erster Linie auf Funktionalität und Kosteneffizienz konzentrieren, während Cybersicherheitsanforderungen oft nur am Rande berücksichtigt werden. (Bild: deagreez - stock.adobe.com)")