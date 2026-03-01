Jeden Tag werden Unternehmen von Cyberkriminellen angegriffen. Ein Managed Security Operations Center (Managed SOC) ermöglicht das Entdecken und Stoppen von Attacken bereits in der Frühphase. Dafür ist ein Analystenteam eines Dienstleisters rund um die Uhr im Einsatz. Sie haben alles, was im Netzwerk passiert, genau im Blick und greifen sofort ein, wenn sie einen Cyberangriff aufdecken.

Christoph Schulze leitet das SOC-Analysten-team bei der G DATA CyberDefense AG. Er erläutert im ersten Teil des Interviews, wie die Expertinnen und Experten arbeiten, wie sie auf Vorfälle reagieren und auf welche Angriffsvektoren die Kriminellen setzen.



Wie sieht ein typischer Arbeitstag bei Ihnen und dem Team aus?

Mein Arbeitstag startet in der Regel mit einem Blick in die Übergabe und die Nachrichten der Analystinnen und Analysten der Nachtschicht. Da unser Team rund um die Uhr arbeitet, ist es wichtig, gleich morgens zu wissen, ob es Vorfälle bei einem Kunden oder offene Punkte gibt. Als Teamleiter bin ich viel im Austausch mit anderen Abteilungen wie der Entwicklung oder dem Kundenservice. Ich übernehme zudem organisatorische Funktionen und unterstütze meine Leute bei Fragen oder komplexeren Fällen.

Bei unseren Analystinnen und Analysten sieht der Arbeitsalltag etwas anders aus: Sie beginnen ebenfalls mit einer Schichtübergabe, bevor sie sich direkt den eingehenden Alarmen widmen. Dabei prüfen sie, ob es sich um harmlose Aktivitäten oder kritische Vorfälle wie eine beginnende Übernahme der IT-Systeme handelt. Sie stehen immer im engen Austausch untereinander, um im Zweifel eine tiefergehende Analyse anzustoßen. Wichtig ist, dass alles zuverlässig bewertet und dokumentiert wird, damit unsere Kunden jederzeit geschützt sind und sich alles später nachvollziehen lässt. Am Ende des Arbeitstages erfolgt dann wieder eine Übergabe. So stellen wir sicher, dass unser Managed Security Operations Center rund um die Uhr lückenlos und effektiv funktioniert.

Christoph Schulze,

Leiter des SOC-Analystenteams,

G DATA CyberDefense AG



Über welche Wege versuchen Cyberkriminelle in IT-Systeme zu gelangen? Was sind typische Aktionen von Angreifern, die Sie beobachten?

Cyberkriminelle nutzen vor allem Phishing, um den ersten Zugang zu einem System zu erhalten. Das geschieht über präparierte Mailanhänge, die scheinbar geschäftsrelevante Inhalte wie angebliche Gehaltstabellen enthalten. Eine andere Möglichkeit sind Links in den E-Mails, die auf gefälschte Webseiten führen und Zugangsdaten abfragen. Auffällig ist, dass viele Kampagnen sehr professionell auf bestimmte Unternehmen zugeschnitten sind. So sind sie nur schwer von legitimer Kommunikation zu unterscheiden.

Sobald ein Angreifer diesen ersten Schritt geschafft hat, wird häufig eine sogenannte »Backdoor«, eine Art von Hintertür, installiert, worüber die Kriminellen weitere Kommandos oder Schadcode nachladen. Heute nutzen Angreifergruppen eigentlich legitime Windows-Bordmittel und Administrator-Tools, um im Netzwerk zu agieren, Daten zu exfiltrieren oder Verschlüsselungsvorgänge einzuleiten. Weil diese Aktivitäten auf den ersten Blick wie normale Prozesse wirken, ist eine Erkennung schwierig. Daher ist es wichtig, Phishing direkt zu blocken – sei es durch Sensibilisierung

der Mitarbeitenden oder durch zuverlässige Sicherheitslösungen.



Wann wird Ihr Team aktiv? Wie läuft ein Analyse-und Response-Prozess ab?

Unser SOC-Team wird aktiv, sobald unsere Analysesysteme Hinweise auf verdächtiges Verhalten bei einem Kunden melden. Die Sensoren liefern uns dann eine Vielzahl an Informationen – von Prozessketten über ausgeführte Befehle bis hin zu betroffenen Endpoints oder Dateien. Auf dieser Basis prüfen die Analystinnen und Analysten zunächst, ob es sich um ein echtes Sicherheitsereignis handelt oder nur um einen Fehlalarm. Ist es tatsächlich ein Vorfall, gehen wir tiefer in die Analyse. Dazu verbinden wir uns direkt mit dem betroffenen System, kontrollieren laufende Prozesse und untersuchen verdächtige Dateien. Wird eine Bedrohungslage bestätigt, folgt die eigentliche Reaktion darauf. Je nach Situation isolieren wir kompromittierte Systeme, verschieben verdächtige Dateien in Quarantäne oder entfernen sogenannte Angreifer-Artefakte. Ebenso stellen wir fälschlich blockierte Dateien wieder her, wenn sich ein Alarm als harmlos herausstellt.

Generell informieren wir unsere Kontakte beim Kunden, wenn wir einen Angriff entdeckt haben und halten sie in diesem Fall über die getroffenen Maßnahmen auf dem Laufenden. Wir geben zusätzlich Handlungsempfehlungen. Diese reichen von Sofortmaßnahmen bis zu längerfristigen Hinweisen, wie sich Risiken künftig reduzieren lassen. Auf diese Weise sorgen wir nicht nur dafür, dass Angriffe gestoppt, sondern auch, dass die Ursachen verstanden und Schwachstellen geschlossen werden.



Wie schnell reagieren Sie auf schädliche Vorfälle bei einem Kunden?

Eine pauschale Zeitangabe ist schwer, weil die Reaktion immer von der Art und Schwere des Vorfalls abhängt. Grundsätzlich setzt die automatische Response unmittelbar ein, sobald verdächtiges Verhalten erkannt wird. Unsere Lösung isoliert beispielsweise Dateien oder Prozesse, noch bevor eine Analystin oder ein Analyst eingreift. Parallel beginnt unser Team sofort mit der Überprüfung. Kritische Alarme haben dabei höchste Priorität. In weniger gravierenden Fällen informieren wir den Kunden meist innerhalb von 20 bis 40 Minuten mit konkreten Handlungsempfehlungen. Wenn es sich jedoch um einen ernsten Angriff handelt und zum Beispiel ein Verschlüsselungstrojaner im Spiel ist, wird ein System innerhalb kürzester Zeit isoliert und das Unternehmen direkt kontaktiert. Wichtig ist uns dabei die Balance: Wir reagieren schnell, aber nicht übereilt. Eine vorschnelle Maßnahme, die am Ende die Systeme des Kunden beeinträchtigt, hilft niemandem. Durch die Kombination aus automatischer Erkennung, schneller menschlicher Analyse und klarer Priorisierung stellen wir sicher, dass Vorfälle so rasch wie möglich erkannt, eingeordnet und entschärft werden.



Wie stellen Sie bei einer Reaktion auf einen Vorfall sicher, dass die richtige Entscheidung getroffen wurde?

Grundsätzlich wägen wir sehr genau ab, ob wir eingreifen oder nicht – etwa, wenn es um wichtige Systeme wie den zentralen Steuerungsserver im Netzwerk eines Unternehmens geht. In solchen Fällen agieren wir besonders vorsichtig und abgestimmt. Ein wichtiger Faktor ist Erfahrung – und die sammeln wir jeden Tag bei unserer Arbeit. Mit jedem neuen Kunden lernen wir typische Angriffsmuster kennen und entwickeln ein Gespür dafür, was normales Verhalten ist und was auf einen Angriff hindeutet. Dieses Wissen teilen wir im Team durch Dokumentationen, gemeinsame Analysen und regelmäßige Workshops.

Im Alltag hilft uns eine klare Priorisierung der Alarme, die von unseren Detection- und Protection-Engineers bereits mit Kritikalität und Beschreibung versehen sind. Dadurch können wir sehr schnell einschätzen, ob ein Vorfall eher harmlos ist oder ob sofortiges Handeln nötig ist. Kritische Entscheidungen treffen wir zudem selten allein, sondern holen aktiv Rücksprache im Kollegenkreis ein. So stellen wir sicher, dass immer mehrere Perspektiven in die Bewertung einfließen.

Am Ende geht es darum, den Schaden für den Kunden so gering wie möglich zu halten. Lieber isolieren wir im Zweifel einmal einen Rechner zu früh, als dass ein echter Angriff ungestört weiterläuft. Diese Kombination aus Erfahrung, Teamarbeit und stetiger Weiterbildung sorgt dafür, dass unsere Reaktionen auch unter Zeitdruck gut fundiert und angemessen sind.

Illustration: G Data

