Management Summary

Security‑Operations scheitern nicht an Tools – sondern an fehlenden Prozessen.

Tool‑Überfrachtung ohne Prozessgrundlage führt zu Kontrollverlust: Viele Mittelständler haben moderne Security‑Stacks, aber keine klaren Entscheidungswege. Ohne definierte Rollen, Freigaben und Eskalationslogiken erzeugen SIEM/XDR‑Lösungen nur Alarmrauschen statt Handlungsfähigkeit.
KI wirkt nur mit Kontext – nicht als Plug‑and‑Play‑Magie: Effektive KI‑gestützte Priorisierung setzt voraus, dass Systeme die Infrastruktur, Kronjuwelen und Normalverhalten des Unternehmens kennen. Ohne Lernphase und Managed Service bleibt KI blind.
Angreifer industrialisieren KI schneller als Verteidiger: Automatisierte Angriffe kombinieren bekannte Schwachstellen, frei verfügbare Daten und KI‑Generierung zu skalierbaren Attacken. Unternehmen müssen dieselbe Logik defensiv nutzen, um eigene Schwachstellen zuerst zu erkennen.
Resilienz schlägt Prävention: NIS2 zwingt Unternehmen, Wiederanlauf, Notfallpläne, Backups und Tabletop‑Übungen strategisch zu verankern. Sicherheit wird zur Chefsache – inklusive persönlicher Haftung der Geschäftsleitung.
Reporting schafft Management‑Relevanz: Transparente Metriken zu Angriffen, Abwehrleistung und Branchenvergleich machen Security budgetfähig und ermöglichen eine kontinuierliche Weiterentwicklung der Sicherheitsarchitektur.

Viele Unternehmen haben ihre Sicherheitsarchitektur mit Tools zugeschüttet – und trotzdem keine Kontrolle. Georgeta Toth, Senior Regional Director Central Europe bei der Rapid7 Germany GmbH, erklärt, warum Security-Operations-Center-Projekte scheitern, wie KI die Angreiferseite verändert und weshalb NIS2 für IT-Verantwortliche ein Befreiungsschlag war.

Frau Toth, Rapid7 richtet sich laut eigener Aussage an den gehobenen Mittelstand. Was macht dieses Segment so besonders?

Der klassische deutsche Mittelstand hat eine IT, die schrittweise gewachsen ist und die Teams sind meist nicht mitgewachsen. Die Anforderungen an Cybersicherheit sind aber fast identisch mit denen großer Konzerne. DAX-Unternehmen haben riesige Sicherheitsmannschaften. Ein Maschinenbauer mit drei Werken in drei Ländern hat vielleicht fünf Leute in der IT. Diese Unternehmen brauchen beides: eine starke Technologieplattform und einen Managed Service, der sie entlastet, wenn die eigene Kapazität endet. Dort sind wir zu Hause.

Georgeta Toth,
Senior Regional Director Central Europe,
Rapid7 Germany GmbH

Was unterscheidet Rapid7 von anderen Anbietern?

Wir kommen aus dem Vulnerability Management. Jeder in der IT kennt Metasploit – das Pentesting-Tool, mit dem Sicherheitsteams kontrolliert in ihre eigenen Systeme einbrechen, um Schwachstellen zu finden, bevor Angreifer es tun. Das Tool ist frei verfügbar und wird von uns weiterhin für die Community unterstützt.

Es passiert regelmäßig, dass Wettbewerber im Ernstfall unsere eigenen Tools einsetzen. Das nehmen wir mit Humor. Es zeigt, dass wir eine echte Mission haben.

Technisch haben wir eine Plattform aus drei Bausteinen gebaut: Exposure Management, Detection and Response und KI-gestützte Priorisierung. Exposure Management bedeutet: Ich kenne alle meine Assets – nicht nur im eigenen Netz, sondern auch das, was irgendwo im Äther hängt, unkontrolliert und verwundbar. Ich ziehe alles unter einen Schutzschirm. Detection and Response heißt: Ein Agent auf den Assets sammelt Daten, befüllt einen Data Lake, und ich kann jederzeit eingreifen. Und dann kommt die KI, und zwar nicht als Buzzword, sondern als System, das gelernt hat, was in dieser spezifischen Infrastruktur wichtig ist.

Was meinen Sie mit »gelernt hat«?

Wir arbeiten seit 10 bis 15 Jahren mit dem, was man heute Large Language Models (LLMs) nennt. Früher hieß es Baselining: Das Tool muss erst verstehen, was normal ist, bevor es Anomalien erkennt. Heute will jeder Agentic AI, aber das Prinzip ist dasselbe. Eine KI, die nicht weiß, wo die Kronjuwelen des Unternehmens liegen, ist wertlos. Wir hatten jüngst einen Kunden, der sagte: Er will KI-Komponenten sofort einsetzen. Unsere Empfehlung: Erst ein Jahr Managed Service, damit die KI lernt, was für ihn zählt. Dann kann er sie für sich arbeiten lassen. Das gilt für KI genauso wie für jedes andere System.

SOC-Projekte scheitern in hoher Zahl. Woran liegt das?

An fehlendem Prozess. Nicht an fehlenden Tools. Das ist der Punkt, den viele nicht hören wollen. Ein SOC wird eingeführt, weil eine Versicherung es fordert, weil eine Compliance-Vorgabe es verlangt oder weil ein neuer Risikomanager seine Visitenkarte rechtfertigen muss. Aber niemand hat sich hingesetzt und gefragt: Wer darf was entscheiden, wenn ein Alarm eingeht? Darf ich einen Mitarbeiter-Rechner in Quarantäne setzen? Darf ich eine forensische Analyse durchführen? Das entscheidet kein Tool. Das muss das Unternehmen entscheiden – vorher, im Prozess, nicht im Ernstfall.

Tools sind so gut, wie sie konfiguriert worden sind. Und konfiguriert werden, können sie nur sinnvoll, wenn ein Prozess existiert, dem sie dienen. Ohne diesen Prozess erzeugen sie Lärm. Tausende Alarme pro Tag, keine Priorisierung, keine Handlungsfähigkeit. Das sehen wir bei fast jedem Neuprojekt: Die Kunden haben tolle Tools und wissen nicht mehr, wo sie anfangen sollen.

KI verändert auch die Angreiferseite. Was beobachten Sie?

Angriffe mit KI sind im Kern keine Science-Fiction, sondern Industrialisierung. Jemand nimmt eine Datenbank bekannter Schwachstellen, gibt sie der KI und lässt sich Angriffsvektoren generieren. Dann startet er eine Kampagne: einfach in den Äther schießen und schauen, wo man durchkommt. Wenn das Tool erfolgreich einbricht, telefoniert es nach Hause. Dann wird manuell weitergesteuert. Das ist noch kein autonomes System, aber es ist skalierbar und günstig.

Was die Sache gefährlich macht: Alle IP-Adressen im Netz lassen sich heute systematisch durchforsten. Und im Dark Web findet man oft schon die Vorarbeit – jemand hat geschrieben, dass die Firma Müller-Meier sieben offene Ports hat und keine starke Authentifizierung nutzt. Probier ein paar Passwörter durch, du kommst rein. Es ist eine Synthese frei verfügbarer Informationen – aber die KI macht daraus eine Attacke.

Die Gegenstrategie ist dieselbe Logik, nur umgekehrt: Ich gebe der KI meine eigene Infrastruktur und frage sie, welche Angriffe auf mich gefahren werden können. Der Angreifer greift unspezifisch an und er kennt die weltweiten Schwächen. Ich kenne meine eigenen. Das ist der Vorteil der Verteidigung, wenn man ihn nutzt. Und je weniger über mein Unternehmen im Dark Web steht, desto schwerer werde ich zum Ziel.

Was raten Sie Unternehmen, die sich fragen: Wo fangen wir an?

Erstens: Wissen, was Sie haben. Alle Assets, alle Systeme, alle Schwachstellen – und zwar kontinuierlich, nicht einmalig. Ein Status quo gilt nur für einen Tag.

Zweitens: Bauen Sie Resilienz, nicht nur Schutz. Wer angegriffen wird – und das wird passieren –, muss so schnell wie möglich wieder operativ sein. Backups vierfach, Notfallpläne in der Schublade, nicht auf dem Server. Tabletop Exercises mit der Geschäftsleitung: Was tun wir, wenn der Supergau eintritt? Das ist keine IT-Frage, das ist eine Unternehmensfrage.

Drittens: Messen und berichten. Ein Vorstand, der fragt, was mit seinem Sicherheitsbudget passiert, verdient eine ehrliche Antwort. Wie viele Angriffe gab es? Wie viele wurden abgewehrt? Wie stehen wir im Branchenvergleich? Gutes Reporting macht Cybersicherheit für das Management greifbar – und schafft die Grundlage, um weitere Investitionen zu rechtfertigen.

NIS2 ist in aller Munde. Was hat es wirklich gebracht?

Es hat Cybersicherheit zur Chefsache gemacht und das war überfällig. Jahrelang haben IT-Verantwortliche in Vorstandssitzungen vorgesprochen und wurden nicht gehört. Es gab Datenlecks, es gab Reputationsschäden, aber keine persönlichen Konsequenzen für die Führungsebene. NIS2 hat das geändert. Die Geschäftsleitung haftet jetzt persönlich. Das ändert die Gesprächskultur.

Was viele CISOs mir sagen: NIS2 hat ihr Leben einfacher gemacht. Nicht weil die Anforderungen einfach wären, sondern weil sie endlich Gehör finden beim Management. Ich kenne einen Mittelständler, inhabergeführt, spezialisierte Medizintechnik. Die hatten einen massiven Angriff, lagen monatelang lahm. Dann kam NIS2. Der CISO sagte mir: Mit dem Angriff im Rücken und der gesetzlichen Vorgabe vor sich hatte er zum ersten Mal die Argumente, die nötig waren, um das Unternehmen wirklich sicher aufzustellen.

Warum reichen klassische SIEM- und XDR-Ansätze für NIS2 nicht aus?

Weil ein Tool per se nichts liefert. Es muss in einem Prozess eingebettet sein – einem Resilienzprozess, der an die Bedürfnisse des Unternehmens angepasst ist und kontinuierlich justiert wird. Für Unternehmen mit mehreren Niederlassungen in verschiedenen Ländern gilt das noch mehr: Sind vor Ort genug Leute? Sind sie geschult? Was passiert, wenn Plan A nicht funktioniert? Plan B und C müssen existieren. Tooling ohne Prozess ist Papier.

Zum Schluss: KI ersetzt den Menschen in der Cybersicherheit – glauben Sie das?

Nein. Und ich sage das nicht aus Nostalgie. Es gibt Angriffsvektoren, gegen die kein Tool der Welt hilft. Zum Beispiel: Deepfake-Videokonferenzen, bei denen der CEO oder CFO eine Buchhaltungsmitarbeiterin anweist, sofort drei Millionen zu überweisen. Das sieht täuschend echt aus. Kein System filtert das heraus. Da hilft nur ein Mensch, der weiß: Keine Weisung per Bildschirm, egal wie echt sie aussieht.

Wir brauchen die Menschen. Das ist keine Floskel. Egal wie viel KI wir einsetzen, menschliche Analyse gehört immer noch dazu.

Georgeta Toth ist Georgeta Toth, Senior Regional Director Central Europe bei der Rapid7 Germany GmbH. Das Unternehmen bietet eine integrierte Plattform aus Exposure Management, Detection and Response und KI-gestützter Sicherheitsanalytik mit optionalem Managed Service für Unternehmen, die eigene Betriebskapazität aufbauen oder ergänzen wollen.

Illustration: © Ybutor, Stuardesa77, GenAI | Dreamstime.com

450 Artikel zu „Sicherheitsarchitektur“

News | IT-Security | Ausgabe 3-4-2026 | Security Spezial 3-4-2026

Von strategischer Vision zur gelebten Sicherheitsarchitektur – Zero Trust ist heute wichtiger denn je

30. April 2026

Bei Zero Trust handelt es sich nicht um ein Produkt, das man kaufen kann. Zero Trust ist eine strategische Vision für moderne IT-Sicherheit. Doch Strategien benötigen Werkzeuge, Praktiken, operative Disziplin und organisatorische Unterstützung, um real und wirksam zu werden. Was sind die zentralen Bausteine für den Aufbau einer Zero-Trust-Initiative im Jahr 2026?

Management Summary

Georgeta Toth, Senior Regional Director Central Europe, Rapid7 Germany GmbH

450 Artikel zu „Sicherheitsarchitektur“

Georgeta Toth,
Senior Regional Director Central Europe,
Rapid7 Germany GmbH