Illustration Absmeier foto freepik ki

Cyberangriffe auf Unternehmen sind trauriger Alltag. Dabei nutzen die Angreifergruppen auch die kleinste Lücke aus, um die IT-Systeme zu infiltrieren. Ein Managed Security Operations Center (Managed SOC) ermöglicht das Entdecken und Stoppen von Attacken bereits in der Frühphase. Dabei ist ein Analystenteam eines Dienstleisters rund um die Uhr aktiv. Im zweiten Teil des Interviews spricht Christoph Schulze, Leiter des SOC-Analystenteams bei der G DATA CyberDefense AG, über die Rolle künstlicher Intelligenz bei der Arbeit, kuriose Kundenfälle und Sicherheitstipps für Administratoren.

Welche Rolle spielt KI bei der Arbeit? Könnte künstliche Intelligenz Analystinnen und Analysten generell ersetzen?

KI spielt für uns eine wichtige Rolle – vor allem in der Analyse großer Datenmengen. Systeme auf Basis künstlicher Intelligenz können Muster sehr schnell erkennen, wiederkehrende Fehlalarme identifizieren und so das Analyseteam entlasten. Wir haben jeden Tag mit tausenden Vorfällen zu tun. Da ist KI ein großer Vorteil. Sie trennt die Spreu vom Weizen und hilft uns, die wirklich kritischen Fälle schneller zu erkennen.

Trotzdem ist KI kein Ersatz für menschliche Analystinnen und Analysten, sondern eine sinnvolle Ergänzung. Angriffe laufen selten nach »Schema F« ab und gerade Ausreißer oder neue Angriffstechniken lassen sich nur durch Erfahrung, Kontextwissen und Flexibilität sicher einschätzen. Deshalb behalten Menschen immer die Kontrolle, prüfen Einschätzungen von künstlicher Intelligenz und treffen letztlich die Entscheidungen.

Im Alltag nutzen wir KI punktuell als Sparringspartner, etwa um Informationen gebündelt darzustellen oder Denkanstöße für das Analyseteam zu bekommen – ohne Kundendaten einzuspeisen. Für die eigentliche Reaktion bleibt aber der Mensch unverzichtbar, weil jede Maßnahme individuell zum Kunden und zur Situation passen muss. Langfristig wird KI uns also vor allem dabei unterstützen, die Masse an Daten effizienter zu bewältigen. Damit beugen wir auch sogenannter Alert Fatigue – der Ermüdung aufgrund zu vieler Alarme – vor. Die Verantwortung, Angriffe richtig einzuordnen und angemessen zu reagieren, liegt aber weiterhin klar bei der Analystin oder beim Analysten.

Gibt es einen Kundenfall, der Ihnen besonders in Erinnerung geblieben ist?

Besonders in Erinnerung geblieben ist mir ein Fall rund um eine frisch bekannt gewordene SharePoint-Sicherheitslücke. Angreifer konnten darüber Hintertüren auf Servern platzieren und so die Kontrolle übernehmen. Nur wenige Stunden nach der öffentlichen Bekanntmachung erhielten wir bei einem Kunden tatsächlich einen Alarm: Eine entsprechende Datei war auf dem System abgelegt worden. Da unser Analyseteam sich schon auf solche Fälle vorbereitet hatte, konnten wir sofort reagieren, die Datei in Quarantäne verschieben und die betroffenen Systeme isolieren. Noch in derselben Nacht informierten wir unseren Ansprechpartner beim Kunden telefonisch und leiteten gemeinsam weitere Schritte ein. Eine forensische Analyse bestätigte später, dass kein Schaden entstanden war. Ein Beispiel dafür, wie wichtig schnelle Reaktion und enge Zusammenarbeit sind.

Ein zweiter Fall zeigt die andere Seite der Medaille: An Heiligabend hatte ein von uns betreutes Unternehmen einen Penetrationstest angesetzt, ohne uns vorab zu informieren. Wir erkannten den Angriff, isolierten das System und versuchten erfolglos unsere Ansprechpartner zu erreichen – eine Rückmeldung kam erst nach mehreren Tagen. Der Test war zwar harmlos, aber er verdeutlichte, wie riskant fehlende Erreichbarkeit sein kann. Insbesondere dann, wenn Fragen zu klären sind und der Kunde bei der Reaktion mithelfen muss. Wäre es ein echter Angriff gewesen, hätte niemand reagieren können. Für uns war das ein prägnantes Beispiel dafür, wie wichtig nicht nur Technik, sondern auch Awareness und klare Prozesse sind.

Werden Sie häufig außerhalb der Geschäftszeiten aktiv?

Kundensysteme laufen rund um die Uhr und damit auch unsere Überwachung. Entsprechend bekommen wir jederzeit Alarme – von automatisierten Schwachstellenscans über Backup-Vorgänge bis hin zu bestätigten Angriffen.

Wenn ein Vorfall kritisch ist, informieren wir den Kunden zunächst per E-Mail und greifen dann zum Telefon. Dafür gibt es bei jedem Unternehmen hinterlegte Notfallkontakte, die so lange angerufen werden, bis wir jemanden erreichen. In der Regel funktioniert das sehr zuverlässig – die erwähnte Ausnahme an Heiligabend war ein Sonderfall. Wichtig ist dabei, dass wir die meisten akuten Maßnahmen selbst umsetzen können, auch wenn der Kunde kurzfristig nicht erreichbar ist. Systeme werden isoliert, schädliche Dateien in Quarantäne verschoben oder Prozesse beendet. Das Unternehmen erhält anschließend eine Zusammenfassung und konkrete Handlungsempfehlungen. So stellen wir sicher, dass ein Angriff jederzeit gestoppt werden kann, egal ob werktags, nachts oder am Wochenende.

Haben Sie Tipps für IT-Administratoren, was sie tun könnten, um mit einfachen Maßnahmen die Sicherheit in ihrem Netzwerk zu verbessern?

Die wirkungsvollste Maßnahme beginnt nicht in der Firewall, sondern beim Menschen. Schulungen und regelmäßige Phishing-Simulationen sind hier das Mittel der Wahl. Parallel sollten IT-Verantwortliche darauf achten, dass nur wirklich benötigte Systeme aus dem Internet heraus erreichbar sind. Komponenten, die keinen externen Zugriff brauchen, gehören in interne Netze oder hinter gesicherte Zugänge, sogenannte Virtual Private Networks (VPNs).

Technisch ist das Patch-Management zentral. Kritische Sicherheitsupdates sollten zeitnah eingespielt werden, weil öffentlich gewordene Schwachstellen schnell von Angreifern automatisiert ausgenutzt werden. Ergänzend dazu erhöhen Passwortmanager und Multi-Faktor-Authentifizierung den Schutz vor dem Ausspionieren von Zugangsdaten für Dienste erheblich.

Im Betrieb zahlt sich eine strikte Vergabe der Nutzerrechte aus. Dazu gehören: Adminrechte nur für tatsächlich berechtigte Personen, Sitzungen und Prozesse mit erhöhten Rechten sofort beenden, wenn sie nicht mehr benötigt werden und möglichst kurzlebige Admin-Sessions erzwingen. So reduzieren IT-Verantwortliche die Angriffsfläche.

Schließlich sollten Backups, Netzwerksegmentierung und verhaltensbasierte Erkennung, zum Beispiel unser Managed Security Operations Center, zur Standardausstattung gehören. Regelmäßige Tests, gemeinsame Übungen und klare Notfallkontakte runden das Maßnahmenpaket ab und sorgen dafür, dass technische Vorkehrungen im Ernstfall auch wirksam eingesetzt werden.

Wie oft sind Sie auf aktive Mitarbeit des Kunden angewiesen, um Vorfälle aufzulösen?

In den meisten Fällen können wir Vorfälle selbstständig analysieren und eindämmen. Auf aktive Mitarbeit der Kunden sind wir nur selten angewiesen. Meistens dann, wenn wir Handlungsempfehlungen verschicken und eine Rückmeldung brauchen, ob diese wahrgenommen und umgesetzt wurden. Das ist das Minimum, auf das wir uns verlassen müssen, um sicherzustellen, dass alle Beteiligten den gleichen Stand haben.

Darüber hinaus gibt es einzelne Situationen, in denen wir die Unterstützung des Unternehmens benötigen. Etwa wenn wir klären müssen, ob bestimmte Tools – wie Netzwerk-Scanner – legitim im Einsatz sind oder ob es sich um ein mögliches Angreiferwerkzeug handelt. Auch kann es vorkommen, dass wir verdächtige Dateien anfordern, um unsere Erkennungssysteme weiter zu verbessern.

Teil 1 des Interviews wurde in der manage it 1-2 2026 veröffentlicht.

Ein Blick in die Arbeitsweise eines Managed Security Operations Centers – Wo Cyberangriffe ihr Ende finden

1. März 2026

Jeden Tag werden Unternehmen von Cyberkriminellen angegriffen. Ein Managed Security Operations Center (Managed SOC) ermöglicht das Entdecken und Stoppen von Attacken bereits in der Frühphase. Dafür ist ein Analystenteam eines Dienstleisters rund um die Uhr im Einsatz. Sie haben alles, was im Netzwerk passiert, genau im Blick und greifen sofort ein, wenn sie einen Cyberangriff aufdecken.

Christoph Schulze leitet das SOC-Analysten-team bei der G DATA CyberDefense AG. Er erläutert im ersten Teil des Interviews, wie die Expertinnen und Experten arbeiten, wie sie auf Vorfälle reagieren und auf welche Angriffsvektoren die Kriminellen setzen.

Wie sieht ein typischer Arbeitstag bei Ihnen und dem Team aus?

Mein Arbeitstag startet in der Regel mit einem Blick in die Übergabe und die Nachrichten der Analystinnen und Analysten der Nachtschicht. Da unser Team rund um die Uhr arbeitet, ist es wichtig, gleich morgens zu wissen, ob es Vorfälle bei einem Kunden oder offene Punkte gibt. Als Teamleiter bin ich viel im Austausch mit anderen Abteilungen wie der Entwicklung oder dem Kundenservice. Ich übernehme zudem organisatorische Funktionen und unterstütze meine Leute bei Fragen oder komplexeren Fällen.

Bei unseren Analystinnen und Analysten sieht der Arbeitsalltag etwas anders aus: Sie beginnen ebenfalls mit einer Schichtübergabe, bevor sie sich direkt den eingehenden Alarmen widmen. Dabei prüfen sie, ob es sich um harmlose Aktivitäten oder kritische Vorfälle wie eine beginnende Übernahme der IT-Systeme handelt. Sie stehen immer im engen Austausch untereinander, um im Zweifel eine tiefergehende Analyse anzustoßen. Wichtig ist, dass alles zuverlässig bewertet und dokumentiert wird, damit unsere Kunden jederzeit geschützt sind und sich alles später nachvollziehen lässt. Am Ende des Arbeitstages erfolgt dann wieder eine Übergabe. So stellen wir sicher, dass unser Managed Security Operations Center rund um die Uhr lückenlos und effektiv funktioniert.

Christoph Schulze,
Leiter des SOC-Analystenteams,
G DATA CyberDefense AG

Über welche Wege versuchen Cyberkriminelle in IT-Systeme zu gelangen? Was sind typische Aktionen von Angreifern, die Sie beobachten?

Cyberkriminelle nutzen vor allem Phishing, um den ersten Zugang zu einem System zu erhalten. Das geschieht über präparierte Mailanhänge, die scheinbar geschäftsrelevante Inhalte wie angebliche Gehaltstabellen enthalten. Eine andere Möglichkeit sind Links in den E-Mails, die auf gefälschte Webseiten führen und Zugangsdaten abfragen. Auffällig ist, dass viele Kampagnen sehr professionell auf bestimmte Unternehmen zugeschnitten sind. So sind sie nur schwer von legitimer Kommunikation zu unterscheiden.

Sobald ein Angreifer diesen ersten Schritt geschafft hat, wird häufig eine sogenannte »Backdoor«, eine Art von Hintertür, installiert, worüber die Kriminellen weitere Kommandos oder Schadcode nachladen. Heute nutzen Angreifergruppen eigentlich legitime Windows-Bordmittel und Administrator-Tools, um im Netzwerk zu agieren, Daten zu exfiltrieren oder Verschlüsselungsvorgänge einzuleiten. Weil diese Aktivitäten auf den ersten Blick wie normale Prozesse wirken, ist eine Erkennung schwierig. Daher ist es wichtig, Phishing direkt zu blocken – sei es durch Sensibilisierung
der Mitarbeitenden oder durch zuverlässige Sicherheitslösungen.

Wann wird Ihr Team aktiv? Wie läuft ein Analyse-und Response-Prozess ab?

Unser SOC-Team wird aktiv, sobald unsere Analysesysteme Hinweise auf verdächtiges Verhalten bei einem Kunden melden. Die Sensoren liefern uns dann eine Vielzahl an Informationen – von Prozessketten über ausgeführte Befehle bis hin zu betroffenen Endpoints oder Dateien. Auf dieser Basis prüfen die Analystinnen und Analysten zunächst, ob es sich um ein echtes Sicherheitsereignis handelt oder nur um einen Fehlalarm. Ist es tatsächlich ein Vorfall, gehen wir tiefer in die Analyse. Dazu verbinden wir uns direkt mit dem betroffenen System, kontrollieren laufende Prozesse und untersuchen verdächtige Dateien. Wird eine Bedrohungslage bestätigt, folgt die eigentliche Reaktion darauf. Je nach Situation isolieren wir kompromittierte Systeme, verschieben verdächtige Dateien in Quarantäne oder entfernen sogenannte Angreifer-Artefakte. Ebenso stellen wir fälschlich blockierte Dateien wieder her, wenn sich ein Alarm als harmlos herausstellt.

Generell informieren wir unsere Kontakte beim Kunden, wenn wir einen Angriff entdeckt haben und halten sie in diesem Fall über die getroffenen Maßnahmen auf dem Laufenden. Wir geben zusätzlich Handlungsempfehlungen. Diese reichen von Sofortmaßnahmen bis zu längerfristigen Hinweisen, wie sich Risiken künftig reduzieren lassen. Auf diese Weise sorgen wir nicht nur dafür, dass Angriffe gestoppt, sondern auch, dass die Ursachen verstanden und Schwachstellen geschlossen werden.

Wie schnell reagieren Sie auf schädliche Vorfälle bei einem Kunden?

Eine pauschale Zeitangabe ist schwer, weil die Reaktion immer von der Art und Schwere des Vorfalls abhängt. Grundsätzlich setzt die automatische Response unmittelbar ein, sobald verdächtiges Verhalten erkannt wird. Unsere Lösung isoliert beispielsweise Dateien oder Prozesse, noch bevor eine Analystin oder ein Analyst eingreift. Parallel beginnt unser Team sofort mit der Überprüfung. Kritische Alarme haben dabei höchste Priorität. In weniger gravierenden Fällen informieren wir den Kunden meist innerhalb von 20 bis 40 Minuten mit konkreten Handlungsempfehlungen. Wenn es sich jedoch um einen ernsten Angriff handelt und zum Beispiel ein Verschlüsselungstrojaner im Spiel ist, wird ein System innerhalb kürzester Zeit isoliert und das Unternehmen direkt kontaktiert. Wichtig ist uns dabei die Balance: Wir reagieren schnell, aber nicht übereilt. Eine vorschnelle Maßnahme, die am Ende die Systeme des Kunden beeinträchtigt, hilft niemandem. Durch die Kombination aus automatischer Erkennung, schneller menschlicher Analyse und klarer Priorisierung stellen wir sicher, dass Vorfälle so rasch wie möglich erkannt, eingeordnet und entschärft werden.

Wie stellen Sie bei einer Reaktion auf einen Vorfall sicher, dass die richtige Entscheidung getroffen wurde?

Grundsätzlich wägen wir sehr genau ab, ob wir eingreifen oder nicht – etwa, wenn es um wichtige Systeme wie den zentralen Steuerungsserver im Netzwerk eines Unternehmens geht. In solchen Fällen agieren wir besonders vorsichtig und abgestimmt. Ein wichtiger Faktor ist Erfahrung – und die sammeln wir jeden Tag bei unserer Arbeit. Mit jedem neuen Kunden lernen wir typische Angriffsmuster kennen und entwickeln ein Gespür dafür, was normales Verhalten ist und was auf einen Angriff hindeutet. Dieses Wissen teilen wir im Team durch Dokumentationen, gemeinsame Analysen und regelmäßige Workshops.

Im Alltag hilft uns eine klare Priorisierung der Alarme, die von unseren Detection- und Protection-Engineers bereits mit Kritikalität und Beschreibung versehen sind. Dadurch können wir sehr schnell einschätzen, ob ein Vorfall eher harmlos ist oder ob sofortiges Handeln nötig ist. Kritische Entscheidungen treffen wir zudem selten allein, sondern holen aktiv Rücksprache im Kollegenkreis ein. So stellen wir sicher, dass immer mehrere Perspektiven in die Bewertung einfließen.

Am Ende geht es darum, den Schaden für den Kunden so gering wie möglich zu halten. Lieber isolieren wir im Zweifel einmal einen Rechner zu früh, als dass ein echter Angriff ungestört weiterläuft. Diese Kombination aus Erfahrung, Teamarbeit und stetiger Weiterbildung sorgt dafür, dass unsere Reaktionen auch unter Zeitdruck gut fundiert und angemessen sind.

Illustration: G Data

349 Artikel zu „Managed Security Operations Center“

News | IT-Security | Services | Ausgabe 7-8-2025 | Security Spezial 7-8-2025

Managed Security Operations Center – Souveräne Cybersicherheit mit einem Managed SOC

28. August 2025

IT-Verantwortliche haben es heutzutage mit einer verschärften Cybersicherheitslage zu tun: Die Anzahl der Angriffe nimmt kontinuierlich zu, die Attacken werden immer raffinierter und sind schwer zu erkennen. Gleichzeitig fehlt es in vielen Unternehmen an qualifizierten Fachkräften, spezifischem Know-how und zeitlichen Ressourcen. Eine effektive und umfassende Absicherung der IT-Systeme ist bei dieser Ausgangslage schwer umsetzbar. Eine praktikable Lösung bietet ein Managed Security Operations Center (Managed SOC).

Jetzt 25 % Ticketrabatt für »manage it« Leser

Christoph Schulze, Leiter des SOC-Analystenteams, G DATA CyberDefense AG

Illustration: G Data

349 Artikel zu „Managed Security Operations Center“

Christoph Schulze,
Leiter des SOC-Analystenteams,
G DATA CyberDefense AG