Wie man einen Cyber-Defence-Partner auswählt: Sechs Prinzipien, die zählen

Wenn Sie einen Schlüsseldienst beauftragen, die Sicherheit Ihres Hauses zu bewerten, schaut er sich Ihre Schlösser an. Wenn Sie hingegen einen ehemaligen Einbrecher beauftragen, betrachtet er Ihre Fenster, Ihre Gewohnheiten, Ihre Nachbarschaft – und sogar den Baum, der Zugang zum zweiten Stock ermöglicht.

Der Unterschied liegt nicht in den Fähigkeiten, sondern in der Denkweise. Der Schlüsseldienst fragt: „Sind diese Schlösser gut genug?“ Der Einbrecher hingegen fragt: „Wie würde ich trotzdem hineinkommen?“

Traditionelles Sicherheitsmonitoring stellt häufig die Frage: „Ist dieser Alarm schlimm genug, um sich Sorgen zu machen?“

Ein ausgereifter Cyberabwehr- oder Security-Operations-Partner geht das Problem anders an. Er konzentriert sich auf Fähigkeiten zur Bedrohungserkennung und -reaktion und stellt stattdessen die Frage: „Können wir nachweisen, dass diese Organisation nicht kompromittiert ist?“

Das klingt ähnlich, ist es aber nicht. Der erste Ansatz schließt Tickets. Der zweite Ansatz beseitigt Bedrohungen und untersucht Auffälligkeiten.

In der Praxis steht diese Denkweise im Zentrum effektiver Security Operations und Cyber Defence Intelligence. Jeder Alarm sollte als potenzieller Tatort behandelt werden – solange, bis ein Analyst das Gegenteil belegen kann.

Wenn Sie einen Cyberabwehr-Partner bewerten, achten Sie genau darauf, wie dieser seinen Untersuchungsprozess beschreibt. Sprechen sie davon, Alarme schnell zu schließen – oder davon, zu verstehen, was tatsächlich passiert ist?

Die verwendete Sprache zeigt, welche Grundhaltung sie im Umgang mit Unsicherheit einnehmen.

Betrachten wir den medizinischen Bereich: Ein medizinischer Chatbot kann präzise Informationen zu Symptomen und Behandlungen liefern. Er hat möglicherweise sogar Zugriff auf mehr klinische Daten als ein einzelner Arzt. Doch ihm fehlt der Kontext.

Ihr Arzt hingegen kennt Sie – Ihre Vorgeschichte, Ihre Gewohnheiten, Ihr Stressniveau und all die Details, die in keiner Symptomliste stehen.

In der IT-Sicherheit verhält es sich ähnlich, wenn Organisationen ihre Cyber-Resilienz stärken wollen. Ein Anbieter, der sich ausschließlich auf generische Playbooks stützt, kann über seine Security Operations Center Services durchaus korrekte Alarme liefern. Er wird jedoch nicht wissen, dass Ihr Finanzteam zu ungewöhnlichen Zeiten legitim auf bestimmte Server zugreift – oder dass die gemeldete „Anomalie“ in Wirklichkeit nur den besonderen Arbeitsgewohnheiten Ihres CEOs entspricht.

Der gefährlichste Alarm ist der, den Sie zu ignorieren gelernt haben, weil er jeden Dienstag ausgelöst wird.

Ein echter Cyberabwehr-Partner investiert Zeit, um zu verstehen, wie Ihre Organisation tatsächlich funktioniert. Dieser Kontext ermöglicht es, Bedrohungserkennungs- und Reaktionsfähigkeiten auf das Wesentliche zu konzentrieren, anstatt blind generische Regeln anzuwenden.

Fragen Sie nach dem Onboarding-Prozess: Wie lange dauert er? Welche Fragen werden gestellt, die über die Anzahl der Server und die Netzwerktopologie hinausgehen? Ein Managed Security Services Provider, der Sie verstehen will, bevor er Sie überwacht, denkt in Richtung Wirksamkeit.

Es gibt einen Grund, warum manche Restaurants offene Küchen haben: Ihre Arbeit ist sichtbar, und sie halten ihre Standards in Echtzeit ein, anstatt sie im Nachhinein zu „inszenieren“.

Monatliche Sicherheitsberichte sind die geschlossene Küche der Cybersicherheit. Wenn Sie sie erhalten, wurden mögliche Probleme bereits bereinigt, Kennzahlen im besten Licht dargestellt und die Erzählung entsprechend gesteuert.

Echtzeit-Dashboards sind die offene Küche moderner Security Operations. Wenn Leistung in dem Moment beobachtet werden kann, in dem sie entsteht, wird Verantwortlichkeit unmittelbar. Schlechte Phasen lassen sich nicht verbergen – ebenso wenig können Sicherheitsprobleme auf den Bericht des nächsten Monats verschoben werden.

Dieses Maß an operativer Transparenz ist entscheidend bei der Bewertung von Managed Security Services oder beim Vergleich potenzieller Cyberabwehr-Partner. Sicherheitsverantwortliche sollten sehen können, wie ihr Security-Operations-Partner tatsächlich arbeitet – und nicht erst im Nachhinein darüber lesen.

Wenn Ihr Sicherheitsanbieter nur monatliche Berichte liefert, sollten Sie sich fragen, was in den 29 Tagen dazwischen passiert.

Fragen Sie potenzielle Partner, ob Sie deren operative Kennzahlen einsehen können, bevor diese in Berichten zusammengefasst werden. Ihre Reaktion darauf sagt Ihnen alles, was Sie wissen müssen. 

Eine Mitgliedschaft im Fitnessstudio gibt Ihnen Zugang zu Geräten. Ein Personal Trainer hingegen sagt Ihnen Dinge, die Sie vielleicht nicht hören möchten: dass Ihre Technik falsch ist, dass Sie sich nicht genug anstrengen oder dass Ihre Ausrede für eine Verletzung langsam unglaubwürdig wird.

Manche Sicherheitsanbieter verhalten sich wie die Fitnessstudio-Mitgliedschaft. Sie erfüllen vertragliche Verpflichtungen, haken Compliance-Checklisten ab und stellen Ihre Architekturentscheidungen nie infrage. Ein echter Cyberabwehr-Partner hingegen ist bereit, Lücken in Ihrer Protokollierung aufzuzeigen, Richtlinien zu hinterfragen, die Risiken schaffen, und Investitionen zu empfehlen, die Sie vielleicht nicht eingeplant hatten.

Seien Sie vorsichtig bei Anbietern, die nie schlechte Nachrichten überbringen. Entweder schauen sie nicht genau hin – oder sie sagen Ihnen nicht, was sie sehen.

Fragen Sie potenzielle Partner nach Situationen, in denen sie einem Kunden etwas mitteilen mussten, das dieser nicht hören wollte. Wie konkret die Antwort ausfällt, zeigt Ihnen, ob das Hinterfragen von Kunden Teil ihrer Kultur ist – oder nur Teil ihres Verkaufsgesprächs.

Stellen Sie sich vor, Sie engagieren einen Übersetzer, der alles, was Sie sagen, aufschreibt, in einen Umschlag steckt, an jemand anderen verschickt, auf eine schriftliche Antwort wartet – und Ihnen diese dann drei Tage später vorliest.

So fühlt sich ein Großteil ausgelagerter Security Operations noch immer an: Ein Alarm wird ausgelöst. Ein Ticket wird erstellt. Eine E-Mail wird versendet. Ein Portal wird aktualisiert. Sie schauen irgendwann ins Portal. Vielleicht antworten Sie. Ein weiteres Ticket. Eine weitere E-Mail.

Das Ticketsystem wirkt professionell. Doch häufig schafft es vor allem Distanz zwischen Ihrer Organisation und den Menschen, die für Ihren Schutz verantwortlich sind. Und diese Distanz wird im Ernstfall in Stunden gemessen – Stunden, die Angreifer nutzen, um tiefer in Ihre Systeme vorzudringen.

Ein Cyberabwehr-Partner arbeitet anders. Die Kommunikation erfolgt in Echtzeit, direkt im Austausch mit Ihren Teams – über die Tools und Kanäle, die Ihre Organisation ohnehin nutzt.

Im Falle eines Sicherheitsvorfalls wird Distanz in Stunden gemessen – und Stunden schaffen Gelegenheiten.  

Ein echter Cyberabwehr-Partner ist in Ihre Abläufe eingebunden. Wenn etwas Ungewöhnliches passiert, ist er bereits Teil der Kommunikation, anstatt auf eine E-Mail im Posteingang zu warten. Bevor Sie sich entscheiden, überlegen Sie, wie Sie zusammenarbeiten möchten. Fragen Sie dann potenzielle Partner, wie sie arbeiten – und stellen Sie sicher, dass beides zueinander passt.

Ein starker Security-Operations-Partner sollte schnelle Reaktionszeiten für alle Arten von Alarmen bieten, klare Kommunikation während Sicherheitsvorfällen gewährleisten, operative Transparenz in Echtzeit ermöglichen und ein tiefes Verständnis für die Systeme, Risiken und Prioritäten Ihrer Organisation mitbringen.

Bei der Bewertung eines SOC-as-a-Service-Anbieters sollten Sie sich auf Reaktionszeiten, die Tiefe des Onboardings, das Kommunikationsmodell, Transparenz in Echtzeit sowie die Bereitschaft des Anbieters konzentrieren, bestehende Annahmen kritisch zu hinterfragen. Der richtige Partner unterstützt Ihre Sicherheitsziele – und verarbeitet nicht nur Alarme.

Ein Sicherheitsanbieter erbringt in der Regel eine Leistung innerhalb klar definierter Prozesse. Ein Cyberabwehr-Partner geht darüber hinaus: Er versteht Ihre Umgebung, arbeitet eng mit Ihren Teams zusammen, hinterfragt Risiken und übernimmt gemeinsam mit Ihnen Verantwortung für die Ergebnisse.

Die Reaktionszeit ist entscheidend, weil viele schwerwiegende Sicherheitsvorfälle als Alarme mit niedriger oder mittlerer Priorität beginnen. Ein Partner, der schnell reagiert und untersucht, verkürzt die Zeitspanne zwischen Erkennung und Maßnahmen – und hilft Organisationen, Bedrohungen einzudämmen, bevor sie eskalieren.