Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
SOC-Onboarding: Warum Dokumentation, Ressourcen & Klarheit den Unterschied machen
In dieser Folge von Cybersecurity Basement spricht Michael mit Andreas Papadaniil über die größten Herausforderungen beim Onboarding eines Security Operations Centers (SOC). Im Fokus stehen unter anderem die Unterschiede zwischen On-Premise- und Cloud-basierten SOC-Lösungen und was diese für die Implementierungsdauer, die Komplexität und den laufenden Betrieb bedeuten.
Ein zentrales Thema ist zudem die oft fehlende Netzwerkdokumentation, die sich schnell als erheblicher Zeitfaktor erweist. Auch die Zusammenarbeit mit externen IT-Dienstleistern und die Notwendigkeit klar definierter Projektverantwortlichkeiten werden beleuchtet - beides entscheidend für ein erfolgreiches SOC-Projekt.
Andreas teilt außerdem seine drei zentralen Erfolgsfaktoren für ein reibungsloses SOC-Onboarding: eine umfassende Dokumentation, ausreichende personelle und technische Ressourcen sowie transparente Entscheidungswege.
Diese Episode bietet wertvolle Einblicke für IT-Entscheider, Sicherheitsverantwortliche und alle, die ein SOC effizient und nachhaltig implementieren oder weiterentwickeln möchten.
Noch nicht genug vom SOC? Dann haben wir weitere interessante Folgen zum Thema:
Los SOCos 🔥 Security Operation Center - Cloud vs. On-Premise
Los SOCos 🔥 Security Operation Center - Make or Buy?
Detection Rules im SOC: Ein Blick unter die Motorhaube
SOC for IT & OT - die Antwort auf industrielle Cyberrisiken
Von EDR über SOC zu XDR - Ein Wegweiser durch das Labyrinth der Abkürzungen
SOC-Story: secure fashion bei der Walbusch-Gruppe
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich Willkommen im Cybers ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suresecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller, und nein, du kannst jetzt nicht wieder raus.
Andreas Papadaniil:Stell sicher, dass, wenn das Onboarding beginnt, du möglichst so viel Dokumentation hast, wie nur geht. Du willst nicht dann, wenn wir danach fragen, erst anfangen zu suchen.
Michael Döhmen:Hallo und herzlich willkommen zu einer neuen Ausgabe von Cyber ecurity Basement, dem Podcast für echten Security-Content, heute mit einer neuen Folge rund um das Thema SOC. Wir wollen uns heute etwas intensiver mit dem Thema des Onboardings beschäftigen, denn viele Leute sagen, das ist ein Knackpunkt, das dauert mir zu lange, das ist zu komplex und am Ende auch zu teuer, da habe ich keinen Bock drauf. Ich spreche heute dazu mit Andreas Papadaniil, Gründer, Geschäftsführer der suresecure GmbH. Andreas, herzlich willkommen.
Andreas Papadaniil:Ja, danke dir, Habe ich Bock drauf, muss ich sagen, ich nehme mal so dein Wording auf.
Michael Döhmen:Bock drauf. Ja, das ist gut. Ja, Onboarding beim SOC klingt recht operativ, aber eigentlich muss man das auch einfach strategisch durchleuchten, effiziente Prozesse bauen. Denn der Einstieg in ein SOC ist ja oft entscheidend dafür, ob später im Ernstfall auch alles reibungslos läuft. Wir wollen heute exakt darüber sprechen. Eine Frage du hast schon viele Onboardings miterlebt, begleitet in früheren Jahren. Kannst du dich an eins erinnern, was besonders hart und chaotisch abgelaufen ist?
Andreas Papadaniil:Ja klar, das ist die Frage, inwieweit wir uns da
Michael Döhmen:keine Namen nennen
Andreas Papadaniil:einen Gefallen tun. Aber wir haben ja also in Sicherheitsvorfällen gehen wir oft hin oder eigentlich immer dass wir ein SOC implementieren, damit wir Angreifer dann auch beobachten können, was er da tut in der Umgebung. Und am Anfang unserer SOC-Karriere nenne ich es jetzt mal haben wir halt auf ein On-Premise-System gesetzt, Splunk. Und ein Fall also ist jetzt nicht so spannend, muss ich sagen, der war zum Beispiel wir haben dann versucht, das Splunk aufzusetzen in der Umgebung, und wir waren dann fertig, nachdem die gesamte Umgebung wieder recovered wurde. Das hat dazu geführt, dass die Grundidee, eben den Angreifer zu beobachten, nicht funktioniert hat, und das lag halt daran, dass die Implementierung eines On-Premise-SIEM schon sehr aufwendig ist. Das heißt, der Kunde war natürlich gerade dabei, alle Ressourcen wieder herzustellen, alle seine Server und Assets, und währenddessen mussten wir halt sagen hey, kannst du uns mal eben so ein riesen SIEM-System mit mega vielen Ressourcen zur Verfügung stellen? Und dann hieß es erst, ja mach ich. Und dann hieß es irgendwann aber die Ressourcen hier gerade, ich muss erstmal alles wieder recovern. Dann ging die Implementierung los, sehr aufwendig natürlich. Also, das Schöne ist dann so ein Splunk-On-Premise-System, du kannst alle Knöpfe verstellen, wie du es möchtest, das Schlechte ist, du musst es eben auch tun. Un d wenn du vorbereitet bist, ist es relativ schwer, in die Umgebung reinzukommen, dann musst du darauf arbeiten, hast nicht immer Zugriff und so weiter, das hat dazu geführt, wie gesagt in dem Fall, dass wir fertig waren, als der Angriff vorbei war, und der Kunde dann auch gesagt hat, jetzt brauche ich es auch nicht mehr, ist heute anders. Wir setzen ein cloudbasiertes System von Google ein, was dazu führt, wenn wir in so einen Krisenstab reingehen und sagen so, du brauchst jetzt ein SOC, damit wir den Angreifer überwachen können. In meinem letzten Fall sagt der Kunde ja, macht total Sinn, hätte ich auch gerne. Wir haben ja sogar schon SOC ausgeschrieben. Aber die Dienstleister haben uns erzählt, es dauert bis zu sechs Monate, das zu implementieren. Das ist ein Riesenaufwand für unser Personal, und wir haben gerade andere Projekte im Sicherheitsvorfall. Das Richtige ist Ja klar, bin ich mir sicher, weil bei uns dauert das keine sechs Monate, und die Leute müssen auch nichts tun. Sie müssen uns einfach nur die Zugänge bereitstellen.
Andreas Papadaniil:Unser System ist in der Cloud, und innerhalb von 24 Stunden hatten wir die ersten Systeme, die in der SOC eingeliefert haben, und es ging dann sukzessive hoch, und wir haben uns dann eigenständig auch um das Rollout gekümmert. Das heißt, wir haben natürlich auch wir sind ja schon lange dabei, wir machen das SOC nicht erst seit gestern haben verschiedene Offerings gehabt und haben dann auch geguckt okay, was ist hier nicht gut? Das ist halt typisch suresecure. Du stellst etwas fest und sagst okay, das kann man besser machen, dann machen wir es besser, und haben dann eben diesen Wechsel von der On-Premise-Welt auf die Cloud-Welt vollzogen.
Michael Döhmen:In einem S icherheitsvorfall hast du natürlich auch den Vorteil, dass alle, sag ich mal, nichts anderes tun können, als an diesem Sicherheitsvorfall jetzt mitzuarbeiten.
Andreas Papadaniil:Das ist richtig.
Michael Döhmen:Richtig oder falsch, ein Onboarding funktioniert nicht ohne Mithilfe des Kunden.
Andreas Papadaniil:auf jeden Fall.
Michael Döhmen:Also auch er muss Ressourcen bereitstellen, ansonsten funktioniert es nicht so.
Andreas Papadaniil:Also das Gute ist halt, wenn du ein Cloud-System hast, diese ganze Infrastruktur, Server und so weiter in der Cloud, sagst du, ich brauch ein SIEM- Systeme, zack, machst einen Klick, und dann wird das verprovisioniert. Wir haben auch eine Menge Arbeit reingesteckt in die Automatisierung. Das System fährt hoch, und alle Regeln werden erstellt, etc. Ist also relativ überschaubar. Wo du natürlich beim Onboarding Zuarbeit brauchst, ist bei der Anbindung der Log-Quellen. Wir wollen natürlich möglichst viel sehen in der Umgebung. Jede Infrastruktur ist schon anders, weil die meisten benutzen Microsoft Exchange beispielsweise als E-Mail-Software. Die benutzen bestimmte Applikationen, die standardisiert sind, hier Navision und SAP und Pipapo. Aber du hast immer auch diese Spezial-Applikationen.
Andreas Papadaniil:Je nach Industrie findest du da andere Systeme. Das härteste, was ich mal gesehen habe, war ein Schiff gewesen mit maritimen Systemen, wo dann auf einmal 200 Applikationen auf dem Schiff liefen, die ich noch nie im Leben gehört habe von irgendwelchen Anbietern, so Fünf-Mann-Buden, die eine tolle Idee hatten, und dann wurde das eben auf alle Schiffe ausgerollt, und das ist sehr divers, und du brauchst dann am Ende die Zuarbeit. Natürlich sagen wir nicht ja, sag mal, was du anbinden willst, weil wir sind die Security-Experten. Wir geben erstmal eine Baseline mit und sagen, es macht definitiv Sinn, ein Active Directory anzubinden, es macht Sinn, deine Firewalls anzubinden, es macht Sinn etc. Das geben wir schon alles mit. Aber dann gibt es natürlich immer noch diese kundenspezifischen Dinge, die wir gemeinsam durchgehen müssen, um dann möglichst höchste Maß an Sicherheit zu haben.
Michael Döhmen:Ich nenne dir jetzt mal wir haben hier ein kleines Spiel dabei für die Folge.
Andreas Papadaniil:Ich liebe Spiele.
Michael Döhmen:Ich nenne dir jetzt mal so eine Aussage, und du sagst, ob du es schon mal in einem Onboarding-Prozess gehört hast oder nicht, und falls du es gehört hast, wie der Satz vielleicht anders lauten müsste
Andreas Papadaniil:Gott, ich erfordere jetzt viel Kreativität von mir.
Michael Döhmen:Erste: unser Netzwerk ist leider nicht dokumentiert, aber ihr findet euch da schon zurecht.
Andreas Papadaniil:Katastrophe. Also, ich akzeptiere veraltete Dokumentation, ich akzeptiere auch vielleicht nicht lückenlos geführte Dokumentation, aber gar nicht zu dokumentieren, und ihr findet euch zurecht. Ja, es gibt irgendwelche technischen Tools. etc, aber du kannst davon ausgehen, dass dieser Onboarding Prozess relativ lange dauert, gerade noch, wenn du eine Netzwerke-Segmentierung hast, und du hast Firewalls dazwischen, und keiner hat mehr einen Überblick über das Routing in deinem Netzwerk. Verlängert das ungemein. Da hatten wir natürlich auch, gerade als wir On-Premise unterwegs waren, und wir haben auch gesagt drei bis sechs Monate Onboarding. Und dann nach drei Monaten hieß es ihr habt doch gesagt, drei Monate, was ist denn jetzt hier? Entschuldigen Sie, lieber Kunde, wir hätten da kommen wir jetzt, wir hätten erwartet, dass sie ein Mindestmaß an Dokumentation über ihr Netzwerk besitzen. Wir finden uns schon zurecht, ja, weil wenn du blind durch ein Labyrinth läufst, findest du nach drei Monaten vielleicht auch den Weg raus. Vielleicht bist du auf dem Weg schon verhungert, keine Ahnung.
Michael Döhmen:Nächster Punkt: Unsere IT wird extern gemanagt. Bitte alles direkt über den Dienstleister regeln.
Andreas Papadaniil:Ja super. Also, wir wollen natürlich immer gerne den Dienstleister mit ins Boot holen, weil, wie gesagt, er macht das Ganze, aber am Ende kannst du diese, kannst du diese Verantwortung nicht abgeben. Das heißt, als Unternehmen mit dem Kunden, mit dem wir arbeiten, ja, am Ende sitzt da vielleicht ein Techniker von dem Dienstleister, mit dem wir reden müssen, aber es muss irgendwo eine Projektmanagement oder Organisationsstelle geben, über deren Tisch das Ganze läuft, weil am Ende muss man ja ehrlicherweise sagen, ist nicht böse gemeint, aber der Dienstleister hat ein Interesse, der sagt ich habe hier einen Service, ich mache diese Dinge, und das kostet dich pauschal folgende Summe. Und der Dienstleister möchte Geld verdienen. Und wenn du jetzt aber sagst ey, ich habe hier noch was ganz anderes, was gar nicht in den Verträgen drin steht, und unterhalte dich mal gerne mit denen, und dann könnt ihr das alles für mich regeln, führt das zu immensen Mehraufwänden bei diesem Dienstleister.
Andreas Papadaniil:Und das führt in der Regel na klar, wenn das jetzt mal eine Stunde oder zwei ist, kann aber irgendwann, wenn man das nochmal durchkaut und wieder etc und noch mehr Themen dazu bringt, ist auch der Punkt, wo der andere Dienstleister sagt ah, schon wieder die suresecure jetzt hier an der Stelle. Was habe ich denn eigentlich mit denen zu tun. Mein Vertragsverhältnis besteht mit diesem. Eigentlich muss man sagen, ich habe hier einen Projektverantwortlichen für das SOC-Rollout. Ja, wir haben externe Dienstleister, vermutlich sogar diverse, und die Organisation der Kommunikation ist durch unseren, sage ich mal, Projektleiter wird das Ganze durchgeführt. Das ist für alle Dienstleister und auch für uns das Beste.
Michael Döhmen:Ja, außerdem müsste ich als Unternehmen ja schon auch ein Interesse daran haben, zu wissen, was da besprochen wird. Also, ich muss ja irgendwie eine Transparenz für mich selber haben.
Andreas Papadaniil:Sehr, sehr,
Andreas Papadaniil:sehr guter Punkt. Ich bin ja ein Fan großen Vertrauens, aber ja definitiv,
Andreas Papadaniil:du hast zwei Dienstleister, das sind jetzt vielleicht nicht wir, vielleicht
Andreas Papadaniil:auch weniger vertrauensvolle Kerle, ohne jetzt jemandem was Böses zu wollen
Andreas Papadaniil:. Und dieDienstleister besprechen dann alles unter sich, weil du hast auch Dienstleister habe ich erlebt, die natürlich wollen, dass die Aufwände möglichst niedrig sind. Wir wollen ja Geld verdienen, und dann sagen ah, wir können es ganz sicher machen, oder wir machen es irgendwie. Wenn wir es irgendwie machen, sparen wir ganz viel Zeit und wir haben mehr Geld. Also ganz böse gesagt, ja, am Ende. wenn aber was knallt und was passiert, dann sagt der Dienstleister ja, waren ja gar nicht involviert, und wir haben dann die beste Entscheidung getroffen dafür. Also können Sie uns da keinen Vorwurf machen.
Andreas Papadaniil:Also, alles schon erlebt muss ich sagen
Michael Döhmen:Nächster Punkt: Wir haben noch keine Use Cases definiert. Das macht ihr doch dann auch, oder?
Andreas Papadaniil:Ja, das ist schon semi-richtig.
Andreas Papadaniil:Es gibt natürlich einen Standard-Use Case. Da kommen wir wieder auf den Punkt der Log-Quellen. Für diese Standard-Applikation bringen wir natürlich was mit mit, zum Beispiel mit dem Exchange-Server. Ja, wahrscheinlich 90% unserer Kunden setzen Exchange-Server ein Macht Sinn, dass wir Use-Cases haben, und wir bauen ja auch suresecure-Use-Cases mit unseren Detection-Engineers, die wir dann unseren Partnern zur Verfügung stellen, und auch eine ganze Menge.
Andreas Papadaniil:Aber es gibt halt immer wieder dieses Spezifische auch,
Michael Döhmen:und das ist auch wichtig weil jedes Unternehmen hat ja irgendwo kritische Geschäftsprozesse, die besonders geschützt werden müssen, und ich muss mir im Vorfeld ja Gedanken dazu machen, welche Use Cases sind für mich denn besonders wichtig? also mich mit meinen eigenen Spezifikationen beschäftigen, um das beim Dienstleister zu briefen, denn dann können auch vernünftige Custom Detection Rules gebaut werden, die dann dafür sorgen. Ja, für mehr Cyber beziehungsweise Business
Michael Döhmen:Resilience.
Andreas Papadaniil:Ein schönes Beispiel ist für mich immer wieder Kassensysteme, weil wir haben viele Unternehmen halt aus dem Retail, Einzelhandel. Wir haben aber auch Kassensysteme wir hatten vorhin über Schiffe gesprochen, auch wo du halt Kassensysteme hast, die aber eine ganz andere Software haben, die ganz anders funktionieren. Da reden wir immer wieder drüber, natürlich, weil da wird Geld verdient, da wird Geld gemacht. Das ist ein kritischer Punkt, und da müssen wir uns speziell angucken, welche Kassensysteme sind das? Können wir da was drauf installieren? Wie können wir die Logs entgegennehmen? Wie sehen diese Logs aus, wie sind die aufgebaut, etc? Das müssen wir durchgehen, und dann kann man aber grundsätzlich alles anbinden, alles, was halt kritisch ist.
Michael Döhmen:Also zu den drei Punkten vielleicht als Kernaussage man muss sich auch als Kunde, wenn man ein SOC bei einem Dienstleister einkauft, Gedanken dazu machen welche Ressourcen kann ich zur Verfügung stellen, und was soll das SOC denn für mich am Ende bewirken? Klar geht's um Sicherheit, aber diese Sicherheit kann ich auch nochmal spezifischer formulieren. Gibt es Dinge, die du erlebt hast, wo Kunden beim Onboarding überrascht waren von bestimmten Prozessen oder Anforderungen, die jetzt an sie gestellt werden? Das zum Beispiel heißt gib mir mal einen Netzwerkplan. Davon kann keiner überrascht sein.
Michael Döhmen:Das muss ja irgendwie
Andreas Papadaniil:Ja, kann keiner überrascht sein.
Michael Döhmen:Gib mir mal eine Dokumentation für XY.
Andreas Papadaniil:Ja also interne Verantwortlichkeiten. Also du hast ja immer also gerade bei den Konzernen, wo wir arbeiten, bei dieser SOC-Beauftragung sind 20 Leute involviert, und nicht jeder ist in jedem Termin dabei. Du hast ja den IT-Leiter, du hast den Admin, du hast den Security Expert, du hast
Andreas Papadaniil:alles Mögliche. Und dann kommt es auch mal vor, du hast dann das erste Meeting,
Andreas Papadaniil:SOC-Vertrag wurde geschlossen, der CFO ganz oben hat gesagt: Toll, Sie sind
Andreas Papadaniil:der Partner. wir arbeiten zusammen, jetzt wird unterschrieben, alles super, und dann geht es halt los ins Onboarding. Und wir sagen dann so Leute, damit wir onboarden können, brauchen wir das und das von euch. Wer ist hier verantwortlich? Wie gesagt, projektleiter? mit wem können wir reden? wen können wir anrufen, wenn um zwei Uhr nachts es irgendwie knallt? und wir, das ist ein kritisches System, wir dürfen nicht das vorher absprechen, und so weiter. Und dann guckt man uns schon auch manchmal an nach dem Motto hören Sie mal, wir haben doch einen Managed Sock, und Sie sollten doch alles für uns machen. Und warum muss ich jetzt in der Nacht um zwei aufwachen, wenn hier was passiert? und warum muss ich jetzt hier dafür sorgen, dass die Logquellen angebunden sind? weil wir sagen natürlich, wir wollen deine Firewalls haben.
Andreas Papadaniil:Wir erwarten aber natürlich von unserem Kunden, dass die dann in das Checkpoint oder Fortinet oder Palo Alto Management reingehen und sagen da ist das Team von der suresecure, da schicken wir die Daten hin. Wir haben natürlich immer die Möglichkeit, dann zu sagen okay, du kannst das nicht, du kriegst das nicht hin, du hast auch keinen Dienstleister, der das für dich tun kann. Wir haben eigene Experten, die dabei unterstützen können. Das ist aber so eigentlich nicht vorgesehen. Und dann ist man schon überrascht, wenn wir sagen okay, wir brauchen jetzt auch nochmal extra Geld dafür, weil es ist nicht eingepreist in einen Service, weil eigentlich von den Systemen es muss angeliefert werden an unsere Systeme. Und wenn man das hinbekommt, dann haben wir natürlich einen Consulting-Bereich, die auch diese Systeme implementieren, diese Firewalls, und dann auch genau wissen, was getan werden muss. Aber es gibt schon auch eine Mitwirkung am Anfang, ist aber relativ überschaubar. Aber ohne Mitwirkung geht leider auch nicht Geht, leider nicht.
Michael Döhmen:Gibt es auch, sag ich mal, so klassische Spannungen zwischen dann den Stakeholdern dieses Projektes, wo man sagt, es gibt einen IT-Leiter, den CISO und das operative Team? Gibt es da so typische Spannungsmerkmale, die dir mal aufgefallen sind, die du beendet hast?
Andreas Papadaniil:Ja, also gab es, liegt aber nicht an der Rolle, muss ich sagen, sondern teilweise an den Personen selber. Da muss man sich halt gucken. Die Mehrheit, muss man tatsächlich sagen, sind dankbar, auch unsere Kunden, die sind dankbar, weil die sagen, wir haben jetzt die suresecure, auf die können wir uns verlassen, 24 mal 7,. Wir haben jetzt die suresecure, auf die können wir uns verlassen, 24 mal 7. Wir wissen, da wird uns nichts passieren. Die Techniker sind zufrieden, weil die müssen nicht in der Nacht aufstehen, und die sind halt dann eben nicht überfordert, weil die meisten Admins, die machen halt dann VMware oder Veeam Backup oder sonst was. Das sind jetzt aber keine Security-Analysten. Und gerade bei den Kunden, die sagen, wir versuchen das irgendwie selber, wird denen was abverlangt, was die gar nicht leisten können.
Andreas Papadaniil:Weil du kannst auch nicht jetzt von einem Dachdecker verlangen, dass er dir Fliesen legt, sind beide im Handwerk tätig, sind beide in der IT tätig, aber das kannst du nicht verlangen, und da gibt es schon eine große Dankbarkeit. Du hast aber manchmal natürlich Leute, die dann ja vielleicht denken, sie machen alles richtig und wissen alles und hatten halt immer, weil IT ist ja immer, ist halt wenig visibel. Du hast jetzt nicht irgendwie, dass du deine Statue hinstellst, dann guckt dir jeder an und sagt du hast aber eine schöne Statue gemacht, sondern, das ist alles unter der Haube, das ist alles digital, du kannst da nichts anfassen, du kannst da nichts sehen. Und die haben dann immer erzählt alles super, ich habe alles im Griff, die Umgebung visibel wurden, und dann kommt auf einmal heraus, das Netzwerk ist doch nicht segmentiert, wie es sein sollte, die Sicherheitsrichtlinien sind doch nicht so hoch, wie sie waren.
Andreas Papadaniil:Und dann hast du natürlich Spannungen, weil diese Leute wollen jetzt natürlich nicht zugeben und sagen, ich habe ein bisschen viel gequatscht, aber eigentlich nicht so viel gemacht, sondern versuchen dann eben auch zu kämpfen und zu sagen nee, der Dienstleister, das ist gar nicht so richtig und so. Das haben wir alles erlebt. Das liegt aber an Individuen, muss ich sagen. Grundsätzlich, die Mehrheit empfängt uns mit offenen Armen und ist sehr glücklich darüber, dass wir dieses Unternehmen absichern.
Michael Döhmen:Wenn du schätzen müsstest, alle Onboardings, die du so in deiner Zeit miterlebt hast, begleitet hast, ob operativ oder in anderer Rolle, wie viele davon liefen quasi glatt durch, nach Best-Practice-Standard, und wie viele davon gab es Schwierigkeiten?
Andreas Papadaniil:Ja, also ich müsste jetzt dafür wissen, wie viele wir insgesamt haben. Aber was ich ganz klar weiß, ist, es gab ein, ein Onboarding, das wir abbrechen mussten oder vielleicht aus der heutigen Sicht pausieren mussten, weil zum damaligen Zeitpunkt war das Unternehmen noch nicht bereit, dafür einen SOC zu implementieren. Weil es gab keine, die Verantwortlichkeiten waren nicht geklärt, es gab null Leute, die dort aktiv wurden, und es gab viel zu wenig Netzwerkadministratoren und mussten dann eben Firewall-Freischaltungen machen durch das Netzwerk. Wir haben es nach drei Monaten nicht geschafft, die Logs da durchs Netzwerk zu bewegen War dann eben auch noch so eine On-Premise-Lösung gewesen, komplexität sehr hoch und haben dann irgendwann auch gesagt, es ging dann um Automatisierung, wann dürfen wir Systeme abschalten?
Andreas Papadaniil:Ah, wir haben keine Downtimes, das geht gar nicht. Wir wissen gar nicht, warum man das System abstellen könnte, und haben dann irgendwann in die Augen geguckt und gesagt so, wir stoppen das jetzt erstmal, das macht keinen Sinn. Wir hatten so ein Proof-of-Concept gefahren, und dann hatten wir irgendwann nach einem Jahr wieder telefoniert und gesagt okay, ich möchte mal unser Update erklären. Wir haben jetzt Google bei uns cloudbasiert, das heißt, diese ganze Netzwerksegmentierungs, ja, wir sind an der ISO 27001-Zertifizierung, wir haben jetzt Downtimes, wir haben Prozesse geregelt, Verantwortlichkeiten, wir sind viel besser aufgestellt, und heute haben wir diesen Kunden bei uns im SOC an der Stelle.
Andreas Papadaniil:Man muss aber sagen, das kann schon passieren. Es ist zum Glück der einzige Fall, den ich so kenne. Alles andere lief glatt durch, muss ich sagen. Ich muss aber auch sagen, gerade wenn wir vor Herausforderungen kamen wie es ist keine Dokumentation da, oder der Kunde weiß nicht genau, was er möchte, ich muss sagen, unsere Jungs und Mädels, die da im SOC arbeiten, die sind absolut serviceorientiert, manchmal sogar zu viel, weil die reißen sich ein Bein auf, dass wir es hinbekommen.
Andreas Papadaniil:Lösungsorientiert, wenn man irgendwie weißt du, wenn die Netzwerkdokumentation nicht da ist, dann sitzen die da manchmal bis drei Uhr nachts noch und tüfteln und versuchen, das irgendwie nachzustellen und experimentieren. Also das ist so eine Mentalität Ich glaube, das kommt auch daher, das wir immer wieder Sicherheitsvorfälle haben, wir lassen keinen hängen. Wenn es mal jemandem nicht gut geht und dein Unternehmen ist verschlüsselt. Dann sind wir nicht der Dienstleister der sagt, guck mal wie du klarkommst sondern wir machen rundum ein Sorglos-Paket, und das zieht sich auch durch unsere Services auch im SOC, dass wir oftmals Dinge machen, die wir gar nicht machen sollten, gar nicht müssten an der Stelle. Aber die Jungs sind auf Zack, muss ich sagen, da bin ich sehr froh, dass wir nicht nur auf der Analystenseite, sondern auch auf der Administratorenseite. Die wissen halt, wie sehen Angriffe aus, und die wissen aber auch, wie sehen die Systeme aus, die wir schützen müssen. Das ist ganz wichtig. Du kannst halt sehr schwer meiner Meinung nach. Es ist halt ein extremer Fachkräftemangel.
Andreas Papadaniil:Jeder möchte gerade Analyst werden, weil du natürlich auch Spitzengehälter verdienst in der Stelle. Du kannst jetzt aber nicht hingehen, und ich mache da mal ein Jahr Arbeitserfahrung als Security-Analyst. Man will es dann 100.000 Euro haben, und du hast noch nie als Administrator irgendwie diese Systeme betrieben. Du weißt nicht, was du schützt. Das macht aus meiner Sicht wenig Sinn.
Andreas Papadaniil:Ja, man muss Leute natürlich ausbilden. Ich will jetzt nicht sagen nee, die kann man natürlich nicht nehmen. Auch wir haben Leute, die relativ frisch von der Uni kommen. Aber deswegen musst du dann halt auch ein Tierlevel haben und sag, ich hab Level 1, level 2, level 3 Analysten. Ja, der aus der Uni kommt, kann auf Level 1 arbeiten, der kriegt das noch hin und wächst dann eben mit den Herausforderungen in diese Rolle rein und kriegt dann eben von den Kollegen, die in Level 3 sind, die diese Erfahrung haben, über dieses Thema immer wieder was mit und erklärt, diese Events Okay sind folgendermaßen und so arbeitet das System, was da darunter liegt, das ist ganz, ganz, ganz wichtig. Ansonsten hast du halt eine Armee an Security-Analysten, die dich jederzeit anrufen und sagen ich habe ein Event gesehen, ich verstehe dieses Event auch, aber kannst du mir mal erklären, wie das System darunter funktioniert?
Andreas Papadaniil:Das will keiner haben, um zwei Uhr morgens.
Michael Döhmen:Auch wenn wir gesagt haben, dass diese ganzen Onboardings sehr individuell sind, weil die Infrastrukturen natürlich nie gleich sind andere Systeme, teilweise Individualsoftware, die du so nicht kennst Kannst du dir trotzdem eine Zukunft vorstellen, wo das Onboarding quasi vollautomatisiert abläuft? Ich meine, am Ende geht es ja immer darum, dass Daten bei uns angeliefert werden. Das Thema Schnittstellen ist ja in der heutigen Zeit nicht mehr so das ganz große Problem eigentlich. Kannst du dir vorstellen, dass es irgendwann so ist, dass du keine Ahnung gehst auf das suresecure-Portal, da trägst du ein ich hab hier, das sind meine Systeme, hier sind die API-Keys und senden, und dann wird quasi im Hintergrund der Tenant eröffnet und die Daten fließen ein. Kannst du dir sowas grundsätzlich vortellen oder denkst du dir so bah?
Andreas Papadaniil:Bin ich auch in Teilen ein sehr großer Freund von, machen wir teilweise sogar schon. Du hast aber immer noch das Shit-in-Shit-out-Problem. Das bedeutet, wenn die Dokumentation und diese Daten, die wir über Schnittstellen anzapfen, eben nicht gut gepflegt sind, nicht auf dem Niveau sind, wie wir es brauchen, dann hilft dir das auf der anderen Seite nicht. Und ich muss sagen, ja, ich kenne Unternehmen, die haben super Tools, die haben auch eine super, sagen wir eher, die geben sich richtig Mühe zu dokumentieren. aber ich kenne eigentlich keinen Fall, wo du sagst, tagesaktuell vollumfänglich alles dokumentiert, und die habe ich alle 100% im SOC.
Andreas Papadaniil:Jetzt werden sowieso, wir machen das dann so. wir nehmen die Systeme aus dem Asset Management sagen, die binden wir an. dann gehen wir das mit dem Kunden nochmal durch und sagen kennst du weitere Assets, die dort nicht inkludiert sind? Und dann heißt es ah ja, unser Asset Management ist aber nur für Windows-Betriebssystemen In, und die sind hier natürlich nicht erfasst. Da habe ich eine Excel-Tabelle oder da habe ich ein anderes Monitoring-Tool, was ich dafür einsetze. Und diese Gespräche muss es immer geben. Wir wollen ja möglichst alles sehen, können, keine blinden Flecken haben, und das kann ich mir noch nicht vorstellen. Ich bin aber gespannt, wie sich das mit der künstlichen Intelligenz entwickelt, weil die künstliche Intelligenz könnte natürlich diese Daten einsammeln, nochmal Verifizierungsregeln drüber tun und gucken kann das so stimmen, kann das nicht stimmen? Ich glaube, da ist noch in Zukunft viel möglich. Ich habe ja auch gesagt, die KI entwickelt sich immer weiter, und ich bin sehr gespannt, welche Möglichkeiten wir in Zukunft haben durch die KI im Kontext eines Teams. aber zum jetzigen Zeitpunkt sehe ich das noch nicht. Überzeug mich gerne vom Gegenteil.
Michael Döhmen:Du also? ich würde mir ja wünschen, dass es irgendwann so effizient irgendwie laufen kann, weil ich auch immer ein Freund davon bin, dinge möglichst zu simplifizierter, als es heute ist. Wir sind ja schon so weit, dass wir nicht mehr von Monaten, sondern von Wochen sprechen, und vielleicht sprechen wir irgendwann von Tagen, wenn es dann abgeschlossen ist.
Andreas Papadaniil:Das heißt, du startest und fängst direkt an mit einer jährlichen Zahlung für das SOC, und in unseren Kosten ist eben das Onboarding mit inkludiert. Das heißt, wenn unser Onboarding super effizient ist und super kurz ist, sparen wir natürlich noch Geld. Ich verstehe natürlich andere Anbieter, die sagen, du willst ein SOC, da musst du jetzt erstmal 50.000 in den Aufbau und Onboarding des Systems bei uns investieren, weil das ist ganz schön viel Arbeit und Dienstleistung. Das Geschäftsmodell verstehe ich. Ich würde mir aber als Kunden dann denken hey, warum muss ich das jetzt bezahlen? Ich will einen Service haben, und ich will nicht bezahlen für den Aufbau des Ganzen. Und deswegen haben wir uns auch am Anfang entschieden, das nicht so zu machen, weil du schon eine ziemlich große Hürde hast. Das sind keine kleinen Summen für die Implementierung eines SOCs, die da abgerufen, wie möglich das zu gestalten.
Michael Döhmen:Okay, abschlussfrage.
Michael Döhmen:Abschlussfrage, abschlussfrage, abschlussfrage. Was sind die drei oder vier Punkte, die ich mir als Unternehmen vor einem Onboarding bewusst machen muss? Oder muss ich mir eigentlich schon bewusst machen, wenn ich mich damit beschäftige, ein SOCs zu implementieren? Also, was sind die drei bis vier Fallstricke, die wir hier teilen können?
Andreas Papadaniil:Dokumentation. Also stell sicher, dass, wenn das Onboarding beginnt, du möglichst so viel Dokumentation hast, wie nur geht. Du willst nicht dann, wenn wir danach fragen, erst anfangen zu suchen. Und dann geht es eben um Netzwerktopologie, da geht es um Asset Management, da geht es um weiß ich nicht was alles. Guck, dass du genügend Ressourcen hast, weil es ist manchmal auch so, wir haben da ein heißes Jahr. Bis Ende des Jahres wollen wir das SOC beauftragen und loslegen. Ja, was heißt denn bis Ende des Jahres? Ja, im Dezember muss das abgeschlossen sein. Wir planen so am 12. Dezember, 15. Die Woche wollen wir bestellen. Ja, und kurze Frage Sie wissen, dass da noch Weihnachten ist, dass da noch Schulferien sind und dass die den urlaub gehen. Ja, ach so, ja, nee, da also natürlich recht. Also dann müssen wir gucken, vielleicht früher zu beauftragen und das ganze ja noch im november durchzuziehen. Ja, und vor allem hast du dann noch das thema, das sind noch andere projekte parallel, die ressourcen werden geteilt et cetera. Also schnell, frühzeitig sicher, und macht dir gedanken über diese timeline. Nur weil, nur weil du ein stock bestellt, heißt es nicht, dass es am nächsten tag wirksam. Wir können das machen, wir sind dafür bereit, das zu zu tun, aber du musst selber Ressourcen auch zur Verfügung stellen können. Ja, was hast du noch? Entscheidungsfähigkeit? Es müssen Entscheidungen getroffen werden.
Andreas Papadaniil:Das heißt, du brauchst eine Person, die in der Lage ist zu sagen ganz klassisches Beispiel automatisierte Reaktion. Wir teilen dann immer ein und sagen, es gibt so der Büro-PC der Assistentin Nichts gegen die Ass, die assistentin. Aber wenn der jetzt mal automatisiert gesperrt wird und das waren, falls positiv, also eine falschmeldung dann kann er die assistenten zwei stunden nicht arbeiten. Das wird den geschäftsführer natürlich mega aufregen, aber davon wird die welt vielleicht nicht umgehen. Wenn wir aber automatisiert ein system in der produktion sperren und dadurch ein umsatzausfall von zwei millionen hass, dann ist das nicht so geil. Und deswegen müssen wir am Anfang natürlich auch verstehen okay, das sind Systeme, die dürfen wir automatisiert sperren.
Andreas Papadaniil:Das sind Systeme, da müssen wir erstmal nachfragen und sagen ist es gerade in Ordnung, dass wir das tun an der Stelle? Und da brauchen wir die Personen an der Seite, die aussagekräftig sind, ansonsten bleibt sowas auf der Strecke. Da hatten wir auch schon so einen Fall. Dann haben wir da nachgefragt, und irgendwann ist Case closed, weil wir sagen, wir haben 17 Mal nachgefragt, wir haben keine Antwort bekommen, wir können hier nicht automatisiert reagieren, weil wir keine Klärung haben, und ja, es ist, glaube ich, auch nichts passiert. Irgendwann war das dann auch wieder okay. Aber das führt dann dazu, dass eine Funktion, die wirklich essentiell ist, eben nicht in die Umsetzung kommt.
Michael Döhmen:Also Dokumentation, Ressourcen, Entscheidung, richtig, top. Damit steigen wir aus der Folge. Andreas, vielen Dank, dass du wieder da warst. Danke für deinen Input. Vielen Dank fürs Zuhören an alle Zuhörerinnen und Zuhörer. Bleibt sicher und gesund bis zur nächsten Ausgabe.
Andreas Papadaniil:Man hört sich.
Annika Gamerad:Das war es aus dem Cyber ecurity Basement Check die Shownotes, folg uns auf Social Media und abonniere den Podcast. Stay safe da draußen.