Managed Cyber Defence: Der neue Standard für 24/7 Security Operations

Das traditionelle Modell für Security Operations wurde für eine andere Ära entwickelt. Heute ist es einfach, Sicherheitstools zu nutzen – tatsächlich geschützt zu sein ist jedoch schwieriger. Die Lücke wird spürbar, wenn außerhalb der Geschäftszeiten unter Druck etwas schiefläuft und im entscheidenden Moment niemand eindeutig verantwortlich ist.

Wenn eine Organisation in Sicherheitsüberwachung investiert, besteht eine implizite Erwartung: „Jemand passt auf. Wenn etwas passiert, wird es erkannt.“ Im Markt wird dieses Versprechen oft mit Managed Detection and Response (MDR) in Verbindung gebracht: einem Servicemodell, das nicht nur auf die Erkennung von Bedrohungen ausgelegt ist, sondern auch auf das Ergreifen von verantwortungsvollen Maßnahmen.

Dies spiegelt das Kernversprechen eines modernen Sicherheitsbetriebs wider: kontinuierliche Überwachung und eine rechtzeitige Reaktion.

Diese Erwartung ist berechtigt. Doch für viele Organisationen wird sie nicht konsequent erfüllt. Nicht aus mangelnder Absicht oder fehlender Investition, sondern weil das traditionelle Modell der Security Operations für eine andere Zeit konzipiert wurde. Es hat Schwierigkeiten, mit komplexen, modernen Umgebungen, neuen Technologien und sich entwickelnden Bedrohungen Schritt zu halten – insbesondere wenn 24/7 Security Monitoring und schnelle Reaktionsfähigkeit gefordert sind.

Die Welt hat sich verändert. Angreifer agieren rund um die Uhr, und die Reaktionszeit entscheidet heute über den Unterschied zwischen einem eingegrenzten Vorfall und einer massiven Geschäftsunterbrechung. Bei Zühlke sind wir überzeugt: Es ist Zeit für einen anderen Ansatz – einen, der an die Realitäten moderner Risiken angepasst ist und zunehmend durch Managed Cyber Defence-Modelle geprägt wird, die für die Anforderungen von heute entwickelt wurden und auch in Zukunft flexibel anpassbar sind.

Die Lücke zwischen Sicherheitswerkzeugen und echtem Schutz in der Cyber Defence

Hier eine Frage, die man sich stellen sollte: Wenn es Sonntagmorgen, 3 Uhr ist, und in Ihrer Umgebung wird ein Alarm ausgelöst – was passiert als Nächstes?

Für viele Organisationen lautet die ehrliche Antwort: Es kommt darauf an. Es hängt davon ab, wie der Alarm klassifiziert wird, ob er eine bestimmte Kritikalitätsschwelle überschreitet und wie die aktuelle Personal- und Schichtplanung aussieht.

Das ist keine Kritik an einzelnen Anbietern. Es ist eine rein strukturelle Folge der historischen Entwicklung der Branche. Security Operations entstanden aus IT Operations – und diese wiederum aus Supportstrukturen während der Geschäftszeiten, basierend auf der impliziten Annahme, dass die meisten Alarme warten können. Diese Annahme gilt heute nicht mehr.

Warum Security Operations an eine neue Risikolandschaft angepasst werden müssen“

Etwas hat sich verändert. Cybersicherheit ist zu einem geschäftskritischen Risiko auf Vorstandsebene geworden:

Regulatorische Rahmenwerke haben Zähne bekommen

NIS2, CRA, DORA und die Offenlegungspflichten der SEC bedeuten, dass Reaktionszeiten nicht mehr nur operative Kennzahlen sind, sondern echte Compliance-Anforderungen.

Cyber-Versicherungen entwickeln sich weiter

Versicherer stellen zunehmend detaillierte Fragen zu Monitoring-Abdeckung und Reaktionsfähigkeit – und die Antworten beeinflussen Prämien und Vertragsbedingungen.

Die Geschwindigkeit von Angriffen hat dramatisch zugenommen

Moderne Bedrohungen, einschließlich KI-gestützter Angriffe, agieren schneller, als traditionelle Reaktionsmodelle ausgelegt sind.

Die Angriffsfläche ist dauerhaft gewachsen

Hybrides Arbeiten, Cloud-Adoption und digitale Transformation haben Umgebungen geschaffen, die kontinuierliche Wachsamkeit erfordern.

Die Welt hat sich verändert. Die Frage ist: Haben sich die Security Operations mitverändert?

Das ‚Feuerwehr‘-Prinzip in der Cyber Defence: Jede Bedrohung als dringend betrachten

Nehmen wir Brandschutz zum Vergleich. Die meisten Unternehmen bauen keine eigene Feuerwache und erwarten auch nicht von ihrem Facility-Team, Brände zu löschen. Stattdessen verlassen sie sich auf Spezialisten, deren Hauptaufgabe es ist, im Alarmfall sofort zu reagieren – unabhängig von der Tageszeit.

Wir würden niemals einen Feuerwehrdienst akzeptieren, der Notrufe nach Priorität sortiert und verspricht, „Rauch mittlerer Intensität“ innerhalb von 8–24 Stunden zu prüfen. Die Vorstellung erscheint absurd, weil wir wissen, wie schnell ein kleiner Vorfall zu einem großen werden kann, - wo die Reaktionszeit über den Ausgang entscheidet.

Und doch funktioniert ein Großteil der heutigen Cyber Defence genauso. Nicht aus Nachlässigkeit, sondern weil sich das Modell historisch so entwickelt hat. Gestufte Reaktionsmodelle ergaben Sinn, als es weniger Alarme gab, Systeme einfacher waren und Angreifer langsamer agierten. Heute entsteht dadurch eine Lücke zwischen Erkennung und Handlung – und genau in dieser Lücke passieren Sicherheitsvorfälle. Hier sollen MDR-basierte Betriebsmodelle helfen: die Kluft zwischen „Wir haben etwas gesehen“ und „Wir haben sofort etwas unternommen“ zu überbrücken.

Warum die meisten Organisationen Cyber Defence nicht allein bewältigen können

Der Aufbau interner Security Operations erscheint naheliegend. Die Logik ist nachvollziehbar: direkte Kontrolle bietet und die Cyber Defence-Kapazitäten nah am Kerngeschäft hält. Doch die wirtschaftlichen Aspekte sind anspruchsvoll: Ein echtes 24/7 Security Monitoring und Response dauerhaft aufrechtzuerhalten, ist weitaus komplexer, als es zunächst scheint:

Echte 24/7-Abdeckung erfordert Tiefe

Es reicht nicht, Bereitschaft außerhalb der Geschäftszeiten zuzuweisen. Berücksichtigt man Schichten, Urlaube, Krankheitsausfälle und Fluktuation, benötigen die meisten Organisationen mindestens fünf bis sechs erfahrene Analysten, um eine durchgängige Abdeckung sicherzustellen.

Talente sind knapp und teuer

Erfahrene Security-Analysten sind rar und entsprechend hoch bezahlt. In der Schweiz liegen Gehälter häufig bei CHF 100.000 bis 150.000 oder mehr. Ein vollständiges Team aufzubauen und zu halten, bedeutet eine erhebliche laufende Investition – noch bevor Tools und Infrastruktur berücksichtigt werden.

Expertise entsteht durch Erfahrung

Incident-Response-Kompetenz entwickelt sich durch die Bearbeitung realer Vorfälle – und zwar vieler. Ein internes Team in einer einzelnen Umgebung wird zwangsläufig weniger Szenarien sehen als spezialisierte Security-Operations-Teams mit mehreren Kunden. Diese breitere Erfahrung fördert Urteilsvermögen, Geschwindigkeit und Sicherheit – Fähigkeiten, die intern kaum replizierbar sind.

Das ist keine Kritik an internen Teams; viele leisten hervorragende Arbeit. Es ist vielmehr die Einsicht, dass 24/7-Security-Operations – wie auch die Feuerwehr – spezialisierte Fähigkeiten und permanente Einsatzbereitschaft erfordern. Für viele Organisationen ist dieses Maß an Fokus intern schwer dauerhaft aufrechtzuerhalten.

Wie effektive Security Operations in einem Managed Cyber Defence Modell aussehen

Wenn das traditionelle Modell Grenzen hat – wie sieht dann eine wirksame Alternative aus?

Starke Security Operations definieren sich nicht durch die Anzahl der eingesetzten Tools, sondern durch die Geschwindigkeit und Konsequenz, mit der Bedrohungen in fundierte Maßnahmen überführt werden. In modernen Umgebungen wird eine effektive Cyber Defence an beobachtbaren, überprüfbaren operationalen Merkmalen gemessen:

Reaktion auf alle Alarme – nicht nur auf kritische. Angreifer wissen, welche Meldungen routinemäßig nachrangig behandelt werden. Effektive Sicherheit betrachtet jeden Alarm als potenziell relevant, bis das Gegenteil bewiesen ist.
Geschwindigkeit in Minuten, nicht Stunden. Erscheint ein Alarm mitten in der Nacht, sollte die Untersuchung innerhalb von Minuten beginnen – nicht erst am nächsten Arbeitstag.
Überprüfbare Transparenz. Reaktionszeiten, Maßnahmen und Ergebnisse sollten in Echtzeit sichtbar sein – nicht nur in monatlichen Zusammenfassungen.
Tiefes Verständnis Ihrer Umgebung. Standardisierte Playbooks führen zu standardisierten Ergebnissen. Effektive Sicherheit erfordert echtes Wissen über Infrastruktur und Geschäftsprozesse.
Gelebte Partnerschaft statt reiner Service-Erbringung. Schutz funktioniert am besten mit direkter Kommunikation zu Menschen, die Ihre Systeme kennen – nicht mit Tickets, die in Warteschlangen verschwinden.

Eine Einladung, das Feuerwehrprinzip auf Cyber Defence anzuwenden

Wir sind überzeugt: Sicherheit ist ein Versprechen – und dieses Versprechen sollte eingehalten werden.

Wenn um 3 Uhr morgens der Alarm ausgelöst wird, sollte jemand Kompetentes reagieren. Das bedeutet anzuerkennen, dass sogenannte „mittelpriorisierte“ Alarme oft der Beginn schwerwiegender Angriffe sind – und dass kein Signal unbeachtet bleiben darf, während Angreifer weitermachen. Es bedeutet, das Feuerwehrprinzip auf Cyber Defence anzuwenden: sofortige Reaktion, jedes Mal, durch Spezialisten.

Möchten Sie mit der Geschwindigkeit und Agilität der Feuerwehr Ihre Cyber Defence auf das nächste Level heben?

Wenn das Ihrer Vorstellung von Sicherheit entspricht – oder der Richtung, in die Sie sich entwickeln möchten – lassen Sie uns sprechen.

Sprechen Sie mit uns

Frequently Asked Questions (FAQs)

Was ist Managed Cyber Defence und wie unterscheidet sie sich von traditionellen Security Operations?

Managed Cyber Defence ist ein kontinuierliches, von Experten geleitetes Sicherheitsmodell, das auf Echtzeit-Erkennung, Untersuchung und Reaktion auf Bedrohungen ausgerichtet ist. Im Gegensatz zu traditionellen Security Operations, die oft auf gestuften Alarmen und begrenzter Abdeckung basieren, geht Managed Cyber Defence davon aus, dass jeder Alarm ein realer Vorfall sein könnte, und gewährleistet sofortiges Handeln, 24/7 Security Monitoring und eine tiefe Integration in die Umgebung des Unternehmens.

Warum ist 24/7 Security Monitoring für moderne Unternehmen entscheidend?

Angreifer agieren kontinuierlich, oft außerhalb der Geschäftszeiten, was eine ständige Überwachung unerlässlich macht. 24/7 Security Monitoring verkürzt die Erkennungszeit, ermöglicht eine schnellere Reaktion und begrenzt potenzielle Schäden. Ohne kontinuierliche Abdeckung können Vorfälle stundenlang unbemerkt bleiben, was das operative, finanzielle und regulatorische Risiko erhöht.

Können interne Security-Teams realistisch gesehen eine kontinuierliche Abdeckung gewährleisten?

In den meisten Fällen ist es aufgrund von Personal-, Kosten- und Fachwissensbeschränkungen schwierig, intern eine echte 24/7-Abdeckung aufrechtzuerhalten. Kontinuierliche Security Operations erfordern mehrere erfahrene Analysten, Schichtabdeckung und Praxiserfahrung mit Vorfällen. Viele Unternehmen stellen fest, dass spezialisierte Anbieter von Managed Cyber Defence besser gerüstet sind, um einen konsistenten Schutz rund um die Uhr zu bieten.

Wie wirken sich Response Times auf die Compliance mit Regulierungen wie NIS2 oder DORA aus?

Moderne Regulierungen verlangen zunehmend eine rechtzeitige Erkennung, Reaktion und Meldung von Vorfällen. Langsame Response Times können zu Compliance-Verstößen, behördlichen Strafen und erhöhten operativen Risiken führen. Schnelle, überprüfbare Reaktionsfähigkeiten helfen Unternehmen, regulatorische Erwartungen zu erfüllen und eine effektive Security Governance nachzuweisen.

Wann sollte ein Unternehmen das Outsourcing seiner Security Operations in Betracht ziehen?

Unternehmen sollten ein Outsourcing in Betracht ziehen, wenn sie keine kontinuierliche Überwachung, schnelle Reaktion auf Vorfälle oder ausreichendes internes Fachwissen garantieren können. Die Auslagerung wird besonders relevant, wenn es um die Skalierung von Security Operations, die Verbesserung der Resilienz, die Erfüllung regulatorischer Anforderungen oder die Reduzierung von Risiken in komplexen Umgebungen geht.