Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
SOCs im Härtetest: Wer liefert Leistung, wer macht nur Show?
Was macht ein echtes Security Operations Center (SOC) im Jahr 2025 aus - und woran erkennst du, ob du gerade ein High-End-Angebot oder nur gut verpacktes Marketing vor dir hast? In dieser Folge von Cybersecurity Basement nehmen Michael Döhmen und Andreas Papadaniil SOC-Angebote kritisch unter die Lupe. Sie sprechen über aktuelle Entwicklungen im SOC-Markt, notwendige Zertifizierungen wie ISO 27001, den Einfluss von Cloud-Technologie und künstlicher Intelligenz sowie die Erwartungen von Unternehmen an ein modernes SOC. Anhand konkreter Beispiele und Marktvergleiche wird klar: Nicht alles, was sich SOC nennt, liefert auch echte Sicherheit. Ein Highlight der Folge ist das Reality-Check-Spiel: Andreas bewertet fiktive (aber realitätsnahe) SOC-Angebote und erklärt, worauf Unternehmen bei der Auswahl achten sollten. Wer SOC-Dienste einkauft oder verantwortet, bekommt in dieser Episode praxisnahe Einblicke, klare Bewertungskriterien und jede Menge Erfahrungswerte aus dem Alltag eines Security-Dienstleisters.
Weitere Folgen zum Thema:
Los SOCos 🔥 Security Operation Center - Cloud vs. On-Premise
Los SOCos 🔥 Security Operation Center - Make or Buy?
SOC-Onboarding: Warum Dokumentation, Ressourcen & Klarheit den Unterschied machen
SOC-Story: secure fashion bei der Walbusch-Gruppe
Detection Rules im SOC: Ein Blick unter die Motorhaube
Publikationen zum Thema:
secure mag: SOC - Wie wir die Cyberwelt jeden Tag ein Stück sicherer machen
Whitepaper: SOC - Make or buy?
Whitepaper: SOC - OnPrem vs. Cloud
secure mag: SOC im Einsatz für KRITIS
Success Story: Von der Zusammenarbeit mit BIG direkt
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cybers ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suresecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Andreas Papadaniil:Ein Angreifer wird immer Techniken haben, irgendwie reinzukommen vielleicht, aber die Kunst gerade SOCs ist ist dann, so schnell wie möglich ihn wieder auszusperren.
Michael Döhmen:Herzlich willkommen zu einer neuen Ausgabe von Cybers ecurity Basement, dem Podcast für echten Security-Content. Wir melden uns heute mal wieder mit einer schönen Folge. Ich habe mir meinen Lieblingsgast eingeladen. Hallo und herzlich willkommen, Andreas Papad aniil,
Andreas Papadaniil:Ja grüß dich, Michael, Schön, mal wieder hier zu sein nach so kurzer Zeit.
Michael Döhmen:Und weil es so lange her ist, sag doch vielleicht nochmal schnell zwei Sätze zu dir. Wer bist du?
Andreas Papadaniil:Danke, ja, also ich bin der Andreas, ich bin einer von zwei Gründern der sures ecure, gleichzeitig auch Geschäftsführer, und habe halt auch mal Consulting gemacht und Incident Response Management und SOC und eigentlich alles so ziemlich in der IT-Sicherheit, und ich glaube, ein Thema also wurde mir zumindest zugetragen, über das wir heute reden, im Groben ist Security Operations Center.
Michael Döhmen:Exakt darüber wollen wir heute sprechen. Wie sieht eigentlich ein SOC im Jahr 2025 aus SOC per se, das ist ja kein klar definierter Begriff, und darüber wollen wir heute sprechen. Das könnt ihr von den nächsten knapp 30 Minuten erwarten, und damit steigen wir auch einfach direkt ein ins Thema, nicht groß drum rum reden. Was hat sich denn in den letzten zwei bis drei Jahren aus deiner Sicht im SOC-Markt verändert?
Andreas Papadaniil:Also, was wir sehen in dem Bereich, ist zum einen, dass Zertifizierungen immer stärker gefordert und gewünscht sind. Gerade in Ausschreibungen, also öffentlichen, aber auch geschlossenen Ausschreibungen, ist das ein wichtiges Thema. Und was das technologisch angeht, muss ich sagen, sehen wir eine Verteilung. Also, in der Vergangenheit wurden die meisten SOCs on-premise aufgebaut, das heißt, entweder im Rechenzentrum des Service-Providers oder im Rechenzentrum des Endkunden, und wir sehen immer mehr eine Verlagerung in die Cloud hinein. Hat viele gute Gründe. Wir haben natürlich auch vor einigen Jahren die Datenschutz-Grundverordnung bekommen. Damit wurde halt das Datenschutz-Thema nochmal größer, umfänglicher, und immer, wenn etwas neu ist, dann hat man auch so ein bisschen Sorge, und ich glaube, viele Unternehmen haben dann auch entschieden, ich mach das erstmal on-premise, dann muss ich mich nicht groß damit auseinandersetzen. Ich bin relativ einfach auch Datenschutz konform, anstatt, dass ich in die Cloud gehe. Und man muss auch sagen, die großen Hyperscaler waren darauf natürlich auch nicht so in dem Maße vorbereitet, als erst in den letzten Jahren, also ich sag mal, Clouds entstanden sind, die auch 100 Prozent den Datenschutzanforderungen genügen. Nur, wir sehen jetzt den Trend, weil ein SOC hat immer auch eine Technologie als Basis, meistens ein SIEM. Bei einem SIEM sprechen wir davon, dass sehr große Logdaten verarbeitet werden, entgegengenommen werden, und das bedeutet gleichzeitig auch, dass das System sehr ressourcenhungrig ist, und wenn ich das halt on-premise abbilden möchte, dann brauche ich Unmengen von Ressourcen, die auch teuer sind, weil in der Hyperscale-Cloud bin ich grundsätzlich günstiger, weil du hast mehr Ressourcen zur Verfügung, ich kann es günstiger anbieten. Das macht schon Sinn, das da zu machen.
Andreas Papadaniil:Die Netze werden immer globaler und offener. Das heißt, wenn ich jetzt ein Konzern bin mit 30 Niederlassungen, dann möchte ich nicht die ganzen Logs durch meine Netzwerke schicken, on-premise, sondern ich kann eben sagen, ja, das Werk in Brasilien schickt doch direkt ins Internet und nicht erst irgendwie nach Deutschland, dann muss das hier verarbeitet werden über die Leitung. Das macht irgendwie keinen Sinn. Die Netze, wie gesagt, sind offener geschaltet, und wir haben natürlich so als letzten und für mich der größte Punkt der Cloud ist, das Thema der künstlichen Intelligenz, weil du einfach unheimlich viele Ressourcen brauchst, um das Thema künstliche Intelligenz abbilden zu können.
Andreas Papadaniil:Das findet in der Cloud statt, im Endeffekt. Du kannst jetzt nicht noch so ein ich will das jetzt mal ganz oberflächlich und grob gestalten so ein Stück künstliche Intelligenz in dein Unternehmen stellen, massive Ressourcen zur Verfügung stellen, damit das läuft. Das passiert automatisch, dass die Cloud da mit involviert ist, und viele On-Premise-Lösungen haben gar nicht die Möglichkeit, künstliche Intelligenz einzusetzen, und das ist für uns halt auch gerade jetzt in den letzten zwei Jahren. Wir kamen ja von On-Premise, wir haben ja Splunk als Hersteller genutzt, haben das dann meistens in den Infrastrukturen unserer Kunden implementiert und sind jetzt auf Google gewechselt. Und da war auch künstliche Intelligenz für uns ein Gamec hanger.
Michael Döhmen:Also, ich fasse mal kurz zusammen. Punkt 1, Zertifizierungen hast du genannt. Welche sind da? Also, was sind so die gängigsten, die dir begegnen? Wahrscheinlich die ISO 27001?
Andreas Papadaniil:Ja, definitiv.
Andreas Papadaniil:Wir haben hier einen internationalen Standard, der überall anerkannt ist. Es geht ja darum, selbst wenn wir jetzt unser Hauptgeschäft ja noch in Deutschland machen wir sind ja gerade dabei zu expandieren in Europa, aber das Hauptgeschäft ist in Deutschland dann möchtest du auch trotzdem eine internationale Zertifizierung haben, weil unsere Endkunden in der Regel ja auch international tätig sind. Das heißt ein gehobener Mittelstand. Wir reden hier von Unternehmen, so im Durchschnitt von dreieinhalbtausend Mitarbeiter mit im Durchschnitt sechs Produktionswerken auf verschiedenen Kontinenten. Und wenn ich jetzt sage, ich mache irgendeinen lokalen, deutschen oder vielleicht europäischen Standard, dann hilft mir das in Deutschland und Europa, aber jetzt nicht unbedingt in Amerika oder außerhalb des Kontinents. Deswegen würde ich immer schauen, auf internationale Standards zu setzen. Wir haben noch SOC 2 zum Beispiel als Standard, was so ein bisschen spezifischer noch ist. Das wird da gerne gesehen. Aber ich würde mal so voraussagen, der SOC-Provider, der in den nächsten ein bis drei Jahren keine ISO 27001-Zertifizierung vorweisen kann, der braucht sich nicht wundern, dass er keine Aufträge mehr bekommt. Und das macht auch Sinn, weil du möchtest ja natürlich dass der, der dich absichert, auch eben sicher ist.
Michael Döhmen:Ja, NI S2-Richtlinie tritt ja bald in Kraft. Dann musst du ja deine Lieferkette nochmal besonders im Blick haben. Und wenn dein Dienstleister dir aber eine ISO 27001 nachweisen kann, dann weißt du aha, okay, pass auf, der hat ein ISMS implementiert, und das nach internationalen Standards, da kannst du schon mal einigermaßen beruhigt sein.
Andreas Papadaniil:Sicherlich.
Michael Döhmen:Deshalb Zertifizierung wichtig.
Andreas Papadaniil:Also jetzt unter uns, auch für die Praktika. Natürlich nur weil du das Papier geschrieben hast, heißt es noch nicht, dass du es halt unbedingt lebst. Aber zumindest Papier Richtlinien zu besitzen, ist besser, als gar nichts zu besitzen, und jeder macht, was er möchte. Da bist ja schon mal einen Schritt weiter, und gerade wenn du mehrere Jahre diese Zertifizierung hältst, oder du bist ein Security-Anbieter wie wir, wir leben das halt. Wenn wir gehackt werden, muss ich sagen, ich hätte als Kunde keine Lust bei einem Security-Anbieter einen SOC abzuschließen, der halt mal verschlüsselt wurde.
Michael Döhmen:Ja, wir haben sie mittlerweile, und wir wissen auch, dass es einiges an Arbeit war, die zu bekommen. Aber ja, ich sehe es genauso wie du. Als jemand, der ein SOC einkauft, würde ich auch auf Nummer sicher gehen wollen und würde mir diese ISO 27001 nachweisen lassen. Also erster Punkt der Entwicklung: Zertifizierungen werden stärker, immer stärker gefragt, auch weil eben neue Richtlinien per Gesetz in Kraft treten.
Michael Döhmen:Dann hast du viel über Cloud gesprochen und auch künstliche Intelligenzen. Ich glaube, da geht es ja vor allem auch um das Thema der Effizienz. SOC kommt ja auch, oder oft wird ja über ein SOC auch gesagt ja, das ist alles groß und alles so komplex und alles so teuer, und du brauchst so viele Expertise und so viel Hardware und Infrastruktur. Damit mit den neuen Entwicklungen kann man diese Dinge eben auch komplett mitigieren. Mit Zusatz künstlicher Intelligenz hilfst du sogar den Experten, noch effizienter zu arbeiten. Das ist ja nicht so, dass du dann keine Experten mehr brauchst, sondern du kannst deine Prozesse einfach durchoptimieren.
Andreas Papadaniil:Definitiv.
Michael Döhmen:Da noch eine Anschlussfrage daran. Du kriegst ja auch viele Gespräche mit Kunden mit, mit Partnern mit. Was erwarten die Kunden denn heute wirklich von einem SOC? Geht es da oftmals wirklich um die echte Verteidigung, oder ist es manchmal auch einfach dadurch motiviert, diese neuen Compliance-Themen abzuschließen?
Andreas Papadaniil:Ja, sowohl als auch. Du hast natürlich auch Geschäftsführer mit einer großen Awareness, die sagen, ich muss hier 24 mal sieben ein Monitoring haben. Wir haben halt viele Unternehmen aus der Industrie, aus der Fertigung, und die sagen jetzt auch nicht, auf dem Werksgelände schalten wir Nachts die Kameras ab. Und die Unternehmen, mit denen wir arbeiten, muss man sagen auch mit 5.000, 10.000, 15.000 Mitarbeitern, teilweise, betreiben die IT aus Deutschland, und du hast dann 24 mal 7 in der Größenordnung, bist auf mehreren Kontinenten unterwegs, und du bist gar nicht in der Lage, das eigenständig abzubilden. Und das ist einfach eine Erwartung an dieses Sock, dass du in der Lage bist, das zu verarbeiten, also rund um die Uhr da zu sein, vernünftigen Tech-Stack zu haben, also Technologien einzusetzen, die offen sind, weil du möchtest nicht, also es gibt einige Hersteller im Markt, ohne jetzt Namen zu nennen, die sagen, ja, wir können auch etwas SOC-mäßiges machen, 24x7 Überwachung, und wir kümmern uns drum.
Andreas Papadaniil:Aber, wenn du willst, dass es richtig gut funktioniert, dann brauchst du unsere Endpoint Security, brauchst du unsere Firewalls, brauchst de unser Produkt dies, unser Produkt das, unser Produkt jenes. Jetzt bist du aber als Kunde gerade bei 10.000 Mitarbeitern im Enterprise-Bereich, wo du dann sehr spezielle Anforderungen hast und eher dann dahin gehst zu Best of Breed. Also, ich nehme mir in jedem Bereich das, was für meine Anforderungen am besten passt, und da funktioniert dieses Konzept nicht. Das heißt, der SOC-Anbieter kann dann nicht sagen, ich möchte, dass du einmal alles austauschst und Investitionen in Millionenhöhe eigentlich in die Tonne klopfst, sondern es muss eine offene Lösung, die das auch unterstützen kann her.
Michael Döhmen:Ja, du musst irgendwie Schnittstellen haben, um möglichst viel integrieren zu können.
Andreas Papadaniil:Absolut.
Michael Döhmen:Das ist richtig.
Michael Döhmen:Und
Andreas Papadaniil:Jetzt vielleicht noch als letzter Punkt - habe ich Eingangs eben gesagt, dass viele IT-Umgebungen halt zu Büroarbeitszeiten betrieben werden - ist auf jeden Fall die Reaktionswertigkeit. Also die Kunden, es wird erwartet, dass du als SOC-Anbieter halt auch mal mitten in der Nacht ob automatisiert oder manuell, auf Nachfrage oder wie auch immer, aber dass du als Dienstleister in der Lage bist einzugreifen. Weil was bringt dir das, wenn wir im SOC halt erkennen, es wird grad verschlüsselt. Der Angreifer hats geschafft. Wir könnten jetzt dazwischen gehen, wir haben aber nicht die Befugnisse und es ist auch keiner auf der anderen Seite. Dann muss man halt mal sicher stellen, dass eine Technologie in der Lage ist, ein Benutzerkonto auch mal zu deaktivieren, oder einen PC zu isolieren, damit diese Verschlüsselung gestoppt wird. Weil es bringt mir nichts, wenn ich jetzt um zwei Uhr Nachts eine E-Mail schicke, irgendwie an die Support@ so und so, und da ist keiner hinter dem Postfach, und ich sage hallo, du bist gerade total verschlüsselt. Kannst du bitte irgendwas machen? Vielleicht ist sogar schon das E-Mail-System verschlüsselt, dass die E-Mail gar nicht mehr gelesen werden kann.
Michael Döhmen:Es gibt ja viele Angebote am Markt, die versprechen, ein SOC zu sein, aber am Ende keins sind. Da wird dann ein MDR als SOC verkauft oder ein SIEM, was noch nicht mal irgendwie Reaktionsmechanismen hinterlegt hat. Zwei Fragen: Glaubst du, es braucht hier langsam mal eine Definition, also einen Standard? Was heißt eigentlich SOC, und wer sollte das deiner Meinung nach setzen, diese Standards? Der, Anbieter, Gesetzgeber.
Andreas Papadaniil:Ja, also, es wäre wünschenswert. Also für uns natürlich als Cybersecurity-Experten. Wir sehen das, wir können das untereinander vergleichen, wir können das auseinanderhalten, ist es ein gutes SOC-Angebot? Ist es ein schlechtes SOC-Angebot? Jetzt stell dir aber mal vor, du bist CFO oder Geschäftsführer einer Firma und du hast zwei SOC-Angebote vor dir liegen. Das eine kostet 50. 000 im Jahr und das andere kostet 300. 000 im Jahr, und du denkst dir so: Ja ,ok und das will ich jetzt mal verstehen. Das ist ne super große Differenz. Musst dir vorstellen, du hast da nen Porsche und du hast da nen Golf stehen, auch von der Preisspanne. Und jetzt musst du nem Geschäftsführer, der vielleicht nicht so versiert ist also gerade in dem IT-Thema erklären, warum kostet das so? Was ist enthalten? Warum ist das so? Der Geschäftsführer wird bei den Autos noch verstehen okay, der Porsche hat eine Keramikbremse, der Golf hat das nicht. Der Porsche hat 600 PS, der Motor ist ganz anders, der Golf hat das nicht. Als Beispiel da würde er sagen okay, verstehe ich alles klar, wir müssen das aber möglich machen. Denn Geschäftsführern und Entscheidungsträger sind auch teilweise CFOs, natürlich CIOs, CISOs, die dabei sind, eben das transparent zu machen, die ganz genau auch vergleichen können, was da Sachlage ist. Und ja, ich denke, die Hersteller haben kein großes Interesse, das zu standardisieren, weil das halt jeder will irgendwie im Wettbewerb seinen Vorteil haben. Und du hast dann auch eben Angebote, der jemand, Anbieter, die sich denken, ich gehe jetzt hier rein mit einem Angebot, das möglichst wenig kostet, ich mache ein bisschen weniger, aber ich mache ein schönes Marketing, ich verstecke das oder erzähle dem Kunden, du brauchst das alles ja gar nicht, das reicht ja schon, und ein Kunde will ja immer hören: Hey, du brauchst das alles gar nicht. Ich kann hier günstiger fahren, ich spar Budget. Is ja super. Du fühlst dich ja nicht schlecht, dabei ist ja alles gut. Aber im Endeffekt geht es dann auch um die Sicherheit.
Andreas Papadaniil:Und jedes Mal, wenn du sagst, du brauchst das gar nicht, also diese Daten brauchst du gar nicht in deinem SOC verarbeiten. Ja, vielleicht ist es deine Meinung, vielleicht denkst du das heute, aber nächste Woche hast du einen Angriff, der genau über diesen Vektor rein kommt, wo du sagst, hätt ich das mal gehabt, und dann hast du trotzdem an ein SOC investiert, um einen zweistelligen Millionenschaden abzuwenden, hat aber nicht funktioniert, weil irgendjemand gesagt hat ach, diese Visibilität, also da gab es noch nie Angriffe, diese Systeme brauchst du nicht im SOC, also kannst du ruhig weniger machen. Das reicht aus. Da bin ich jetzt kein Freund von, also wir müssen natürlich alle schauen, möglichst gut zu wirtschaften, an der Stelle. Mann muss auch nicht überteuert einkaufen. Man muss richtig auch maßgeschneidert quasi die Lösung für sich haben. Aber ich habe da auch schon ein paar Anbieter erlebt, wo ich die Hände über den Kopf zusammengeschlagen habe und gesagt habe, es gibt schon bekannte Angriffe, die genau über diese Vektoren reinkommen.
Andreas Papadaniil:Und du sagst quasi gerade nee, das musst du dir nicht angucken. Und natürlich guckt der Geschäftsführer bei der Entscheidung jetzt nicht im Internet, was gab es denn alles für 200.000 Angriffe in den letzten Jahren? Und ist da alles abgedeckt? Teilweise sogar die ITler natürlich nicht, weil das ist super komplex und teilweise auch gar nicht transparent, weil diese Erkennungen, die du in deinem SOC hast, die sind halt da, die funktionieren. Aber du hast jetzt nicht unbedingt jederzeit Transparenz erkennen zu können, welche Erkennungen sind gerade aktiv, was brauche ich, und so weiter, dafür hast du ja den Dienstleiser, der das für dich tut und fortlaufend die Erkennung nachkorrigiert, und wenn eine neue Angriffs-Methode auf den Markt kommt, das Ganze nachjustiert.
Michael Döhmen:Was ich auch problematisch finde, ist, dass du in diesem Vergleich ja dann gegebenenfalls sogar ein sehr teures MDR einkaufst, weil du denkst, okay, im Vergleich zu einem SOC ist es recht günstig. Würdest du es mit einem anderen MDR-Service vergleichen, ist der vielleicht sogar noch exorbitant teuer. Das heißt, du kaufst dir eigentlich einen zu teuren MDR-Service, getarnt als SOC ein. Wir machen jetzt ein kleines Spiel.
Andreas Papadaniil:Oh Gott, spiele finde ich gut.
Michael Döhmen:Ich nenne jetzt so ein paar Kriterien, was das Angebot dieses SOCs mitbringt, und du sagst mir, ob es ein echtes SOC ist oder ob man das eben nicht als SOC beschreiben dürfte, weil...
Andreas Papadaniil:Willst du auch eine Erklärung, oder soll ich nur
Andreas Papadaniil:Ja oder Nein sagen?
Michael Döhmen:Gerne mit Erklärung. Okay, wir testen das an. Relativ simpler Start.
Andreas Papadaniil:Ja.
Michael Döhmen:Also, das SOC- Offering enthält 24x7 Monitoring,
Andreas Papadaniil:Ja.
Michael Döhmen:Alerts per E-Mail, und es sind keine Analysten integriert.
Andreas Papadaniil:Also der erste Punkt mega, also ohne 24 mal 7, macht es keinen Sinn. E-Mail-Alerting habe ich gerade was zu gesagt, also wenn da keiner dahinter ist oder du schon verschlüsselt bist, etc. Das kann nicht ausreichen. Und natürlich ist es auch diese Wechselwirkung. Also du hast keine Analysten, das heißt, es kann gar keiner irgendwie anrufen oder aktiv werden, und du wirst immer diese Fälle haben. Also auch wir haben die künstliche Intelligenz, und wir bauen diese Playbooks, Detections Rules, Automatisierungen mit einer SOAR-Plattform und kann ich dir tolle Begriffe nennen.
Andreas Papadaniil:Aber im Endeffekt hast du dann immer irgendwo Grauzonen, und du hast immer den Fall, ein Angriff, den noch keiner kennt, oder wo etwas noch nicht klar ist in der Umgebung, in der Infrastruktur, weil es zum Beispiel IT-Assets gibt, die der Kunde selber noch gar nicht kennt. Und dann brauchst du einen Analyst, der in der Lage ist, rund um die Uhr das zu analysieren und zu sagen okay, das kann jetzt das sein, das kann das sein, das ist nicht ganz klar, die KI kann das nicht bewerten. Ich rufe den Kunden jetzt an, erkläre dir die Sachlage, und der Kunde muss dann auch entscheiden und sagen okay, er sagt, wir können jetzt den Weg A gehen, der Voreil ist das, das Risiko ist das Und dann muss eine Entscheidung getroffen werden an der Stelle. Dafür brauchst du Menschen, wer dir erzählt, wir haben ein 100% vollautomatisiertes SOC, und da braucht kein Mensch irgendwie was tun. Tut mir leid, das wird nicht funktionieren.
Michael Döhmen:Allein die Alerts nach und nach zu optimieren. Also, wenn die jetzt immer nur per Mail ankommen und das einmal konfiguriert, dann wirst du auch schnell müde, weil so viele Alerts eben kein richtiger Alert sind, und du weißt irgendwann nicht mehr, die richtigen, die kritischen Alerts richtig einzuschätzen.
Andreas Papadaniil:Ja, das kennt man auch so aus dem System-Monitoring-Bereich, und das gab es ja schon wesentlich vorher Netzwerk-Monitoring. Dann hast du da 23.000 Alerts in deinem Postfach hängen, weil jedes Mal Switch-Port-On, Switch-Port-Off, Switch-Port-On, Switch-Port-Off. Okay, vielleicht hat dich irgendwo mal interessiert, diese Information.
Michael Döhmen:Okay.
Andreas Papadaniil:Aber in der Masse, was machst du da? Resignierst du ja und sagst komm, lass das Postfach volllaufen. Aber das ist nicht das, was du tun solltest, wenn du eventuell gehackt wirst, gerade.
Michael Döhmen:Okay, wir haben im nächsten Offering haben wir ein SIEM, 24 mal 7 Monitoring, ein wöchentliches Reporting und eine Response in 48 Stunden.
Andreas Papadaniil:Ich mach's kurz, alles geil, Response in 48 Stunden. Also wenn du möchtest, dass dein gesamtes Unternehmen schon verschlüsselt ist, bevor du eine Antwort vom Dienstleister bekommst, kannst du dieses Service Offering gerne auswählen. Hier geht's tatsächlich um teilweise Minuten, stunden, in denen du reagieren musst. Ich rede immer von der Verschlüsselung, weil das kennt jeder, das kann man sich vorstellen. Natürlich ist die Verschlüsselung eine der letzten Stufen. Ich habe vorher eine der ersten Stufen habe ich erstmal im Netzwerk mir Zugangsdaten besorgt, und das wird jetzt schon erkannt, und der Angreifer hat jetzt die Zugangsdaten. Und dann kann ich halt sagen okay, ich kann die Zugangsdaten identifizieren, ich weiß, welche Konten ich jetzt, wo ich das Passwort neu resetten muss, und ich sehe, mit welchem Account der drin ist, von welcher Maschine ich kann ihn da aussperren, und von diesem Punkt wären es noch Wochen oder Monate gewesen, bis er verschlüsselt hätte. Und das ist grad die Kunst, die wir haben. Aber wenn ich länger als 48 Stunden habe, dann hat er vielleicht nicht nur die Zugangsdaten entwendet, sondern sich schon diverse Vectors, also Accounts auf verschiedensten Systemen angelegt. Da kann ich meine Passwörter vielleicht verändern. Er hat aber schon längst ganz andere Accounts angelegt, und er ist schon viel weiter. Wir müssen halt gerade am Anfang, also wir können nicht jeden Angriff bei Null am Anfang verhindern.
Andreas Papadaniil:Ein Angreifer wird immer Techniken haben, irgendwie reinzukommen, vielleicht. Aber die Kunst gerade SOCs ist ist dann, so schnell wie möglich ihn wieder auszusperren. Und dann merkt er okay, die kämpfen gegen mich, die sind ganz anders aufgestellt, weil normalerweise kennt er das nicht. Der kann da monatelang agieren und machen, was er will. Jetzt wurde der nach ein paar Stunden rausgeworfen. Da weiß der, mit denen möchte ich nicht spielen, da beiße ich mir die Zähne aus. Ich geh mal weiter und schnapp mir jemand anderen.
Michael Döhmen:Also, die wollen es eigentlich nicht kompliziert?
Andreas Papadaniil:Keiner wird es kompliziert. Wer will auch aus dem achten Stock einen 70 Zoll Fernseher entwenden?
Andreas Papadaniil:Da gehe ich doch lieber ins Erdgeschoss und klaue Juwelen und eine Uhr.
Michael Döhmen:Das stimmt, es sei denn, ich habe irgendwie ein Heli und kann den dann irgendwie aus dem Fenster.
Andreas Papadaniil:Ne, das ist viel zu laut, das ist viel zu laut, sage ich dir. Also, ich kenne mich gar nicht aus mit der Sache, aber ich versuche einfach nur, logische Dings natürlich.
Michael Döhmen:Ja, du hast recht. Nächstes Szenario nehmen wir mal ein Cloud-Native-SOC mit SIEM, SOAR, 24x7-Triage-Playbooks und Co-Managed Dashboards.
Andreas Papadaniil:Also mit dem ersten und dem letzten Punkt könnte man ein Thema haben. Der erste Punkt halt ein Cloud-Native. Ich habe ja gerade schon mich auch dafür ausgesprochen. Cloud-SIEM ist gut. Wir müssen aber dann natürlich klären, Cloude-Native, was heißt das jetzt, weil, die meisten Umgebungen, nicht die meisten, sagen wir alle Umgebungen in Deutschland, haben einen On-Premise Ant eil. Und wahrscheinlich nicht nur einen IT-On-Premise Anteil, sondern auch einen großen OT-On-Premise-Anteil, der auch dann sehr kritisch ist in der Betrachtung, weil wenn deine OT verschlüsselt wird, dann wird es teuer in der Regel. Und wenn du dann sagst, ich habe ein Cloud-Native, hyper-fancy, super SOC-Offering, ich muss aber leider sagen, alles, was On-Premise ist, kann ich nicht, und OT kann ich nicht und das kann ich nicht und Legacy-Systeme, Windows XP wird nicht unterstützt, was wir immer noch in Produktionswerken haben, dann ist das vielleicht nicht die beste Wahl. Und der letzte Punkt, da musst du es mir nochmal sagen, was war der letzte Punkt?
Michael Döhmen:Co-Managed Dashboards.
Andreas Papadaniil:Co-Managed Dashboards bin ich immer so zwiegespalten. Also, ich finde Transparenz zum Kunden super. Der soll ja auch sehen, ein SOC ist nicht günstig. Du möchtest dann auch Reportings haben, du möchtest Transparenz haben. aber es darf nicht am Ende dazu führen, dass du quasi doppelte Kontrolle durchführst, weil du holst dir ja quasi einen Dienstleister, weil du sagst, ich habe keine Experten dafür, der Dienstleister soll das für mich übernehmen.
Andreas Papadaniil:Und jetzt möchtest du Co-Managed Dashboards haben, um ohne Expertise, weil deswegen hast du ja einen Dienstleister genommen, deinen Dienstleister zu kontrollieren an der Stelle. Das heißt, du holst dir Aufwände ins Haus, die du eigentlich nicht haben willst. Und der Dienstleister ich kann dir sagen aus eigener Erfahrung, weil wir am Anfang auch. Also wir haben auch Dashboards, die wir zur Verfügung stellen, und Reports, die wir zur Verfügung stellen, eben aus Transparenzgründen.
Andreas Papadaniil:Aber es gibt nichts Nervigeres, als wenn dann ein Kunde um zwei Uhr morgens anruft, weil er sagt, ich habe da einen gelben Alarm gesehen, das könnte ja kritisch sein, und ich brauche jetzt sofort irgendwie jemand, der sich das anguckt. Dann wird bei uns ein Analyst aus dem Bett geklingelt, mitten in der Nacht quasi, guckt sich das an und sagt ja, sehe ich schon jetzt, ist ein False Positive. Oder sehe ich schon jetzt, ja, ist ein gelber, aber wir bräuchten jetzt noch einen anderen gelben, damit es zu etwas Rotem wird. So wie es jetzt ist, alleine wir noch nicht eingreifen. Das kann doch normal sein, okay, und das willst du beidseitig eigentlich nicht haben. Deswegen muss man hier sagen ich bin nicht gegen Co-Managed Dashboards, aber man muss halt klären, was heißt das jetzt konkret.
Michael Döhmen:Ja, okay, das war unser Spiel Vielen.
Michael Döhmen:Dank.
Andreas Papadaniil:Sind das reale Angebote aus dem Markt?
Michael Döhmen:Selbstverständlich, ich habe im Vorfeld recherchiert.
Andreas Papadaniil:Nein.
Michael Döhmen:Es ist jetzt natürlich nicht so, dass ich das komplette Angebot wieder gespiegelt habe, sondern einfach nur so ein paar Details, natürlich um auch auf ein paar Schwachstellen.
Andreas Papadaniil:Ja, aber 48 Stunden Reaktion ist schon ein Hard Fact, muss ich dir sagen. Da müssen wir nach dem Call aber nochmal drüber reden, weil da geht Anzeige raus, sage ich dir.
Andreas Papadaniil:Das ist fahrlässig.
Michael Döhmen:Deshalb wichtig, diese Angebote, die es am Markt gibt, genau anzuschauen und gucken, ob das dann auch die Erwartungshaltung irgendwie am Ende trifft.
Andreas Papadaniil:Definitiv wichtig, Zeit nehmen, sehr viel Zeit nehmen bei der Anbieterauswahl, Kriterien definieren. Angebot ist sehr divers. Da ist nicht mal eben, das ist nicht wie so ein Virenscanner. Virenscanner haben wir in Unternehmen seit zwei, drei Jahrzehnten sage ich jetzt mal so zwei, drei Jahrzehnten sage ich jetzt mal. SOC ist relativ frisch, muss man sagen, auch wenn das SOC an sich nichts Neues ist. Aber die Angebote, die wir da jetzt kaufen, so wie das Ganze aufgestellt ist, das ist sehr divers.
Michael Döhmen:Sehr divers. Dann lass uns jetzt mal springen zum Thema Ernstfall-SOC. Ich meine, du hast jetzt schon das ein oder andere Beispiel quasi genannt. Wenn es dann zu einem Vorfall kommt, kannst du schildern, was so dein herausforderndster Vorfall war im SOC-Kontext, wo wir was gesehen haben oder in einem Sicherheitsvorfall ein SOC angeschlossen haben? Hast du da natürlich anonymisiert ein Beispiel?
Andreas Papadaniil:Ja jetzt nicht von unseren Kunden tatsächlich, weil wir haben letztens noch einen Report gezogen: Wie viel Euro Incident Response Dienstleistung haben wir generiert bei Nicht-Kunden, die zum Zeitpunkt keinen SOC bei uns hatten, und wie viele haben unsere Kunden generiert? Und ich glaube, wir haben da 7.500 Euro. Das entspricht irgendwie zwei Tagen über die letzten drei Jahre. Das heißt, in der Regel ging es dann darum, man hat irgendwie eine Vermutung, oder der Kunde hat sich vielleicht sogar gemeldet, weil er so ein Business-E-Mail-Compromise hatte. Das heißt, wir haben tatsächlich keinen Fall aus unserem SOC, wo wir eingreifen mussten. Was wir aber schon haben, ist, wenn wir Sicherheitsvorfälle haben, und der Kunde hat kein SOC, dann wissen wir der Angreifer ist immer noch in der Umgebung unterwegs, der hat noch Zugriff, und der beobachtet uns quasi bei unserem Sicherheitsvorfall. Und ich finde dieses so einseitig beobachten nicht so optimal. Wir wollen ihn natürlich auch beobachten, und deswegen implementieren wir immer also auch im Sicherheitsvorfall frühzeitig unser SOC mit rein, damit wir beidseitig sehen können, was macht die andere Partei? Und da haben wir schon Events gesehen.
Andreas Papadaniil:Ich erinnere mich an einen Fall, dass der Angreifer dann die ich sag mal Telefonanlage, da gab es so ein WebEx-Tool, womit die ganzen Telefone liefen, und da haben wir alles noch on-premise, und da haben wir dann so einen digitalen Besprechungsraum gehabt, einen War Room, wo wir halt besprochen haben, wie ist die Taktik des Angreifers, und was machen wir jetzt, etc. Und durch unser SOC haben wir dann festgestellt, dass der Angreifer sich Zugriff verschafft. Also er hat sich zu verschafft. Wir wussten nicht am Ende, wie lang war er drauf, was hat er genau gemacht? Wir konnten jetzt nicht nachweisen, was hat er da entwendet, aber wir haben auf jeden Fall festgestellt, er hatte Zugriff auf die Telefonanlage und konnte damit unsere Konferenzen abzapfen und wusste dann natürlich, was wir tun. Also wahrscheinlich, das konnten wir nicht nachweisen, aber wir haben gesehen, dass er bis dahin gekommen ist.
Andreas Papadaniil:Das unterschätzen viele. Bei einem Sicherheitsvorfall wird oft gedacht jetzt ist es verschlüsselt, es funktioniert ja nichts mehr, jetzt will er Geld dafür haben, das Thema ist erledigt. Nee, der verschlüsselt, will dann Geld haben, aber bleibt die ganze Zeit noch da drin. Und wir haben ja auch Fälle zum Beispiel, wo verschlüsselt wurde. Dann wird Lösegeld bezahlt, der gibt den Schlüssel her, alles läuft wieder. Er bleibt dann für zwei, drei Monate unterm Radar auf irgendeinem System, man kriegt es nicht mit und sagt, das war ein gut zahlender Kunde. Das gefällt mir. Da mache ich das ganze jetzt noch mal, damit er noch mal zahlt. Das krasseste, was ich erlebt habe, war drei Verschlüsselung innerhalb von vier Monaten. Und dann hat der Kunde beim dritten mal also jetzt dann zweimal bezahlt, und beim dritten Mal hat er gesagt, jetzt reicht es mir. Jetzt hat er uns angerufen und gesagt, ihr müsst mir jetzt helfen. Ich weiß nicht mehr weiter, weil ich zahle mich noch dumm und dusselig. Deswegen empfehle ich auch meistens immer, kein Lösegeld zu zahlen, weil ich diesen Fall erlebt habe und sagen muss, es macht keinen Spaß.
Michael Döhmen:Es ist immer naheliegend, das erstmal zu prüfen, und oftmals geht es ja noch in Verhandlungen. Aber die Verhandlungen sind meistens schwierig, weil du verhandelst halt mit Kriminellen.
Andreas Papadaniil:Wenn du jetzt an einem Punkt bist, wo du weißt, wenn ich diese Daten nicht wiederbekomme, ist die Existenz meines Unternehmens vorbei, ich verliere die Arbeitsplätze, ich kann nicht mehr weitermachen, oder die Vermutung liegt nah. Okay, klar sage, ich zahle das Lösegeld, guck, dass du wieder auf die Beine bekommst, bevor das Unternehmen am Ende ist, bevor da Menschen ihre Arbeitsplätze verlieren, natürlich, aber in den meisten Fällen, auch wenn die Back-Ups vielleicht zwei, drei Wochen alt sind und nicht auf dem neuesten Stand sind, oder das Tape auch zwei Monate alt ist. Irgendwie in allen Fällen muss ich eigentlich sagen, haben wir es hinbekommen, die Umgebung irgendwie wieder auf die Beine zu stellen. Vielleicht nicht in der aktuellsten Fassung, aber es geht, und manchmal tut es halt auch weh, wenn wir sagen, diese Systeme kriegen wir nicht wieder her, muss jetzt mit leben, das ist im ersten Moment dann Katastrophe. Aber wenn du keine Wahl hast, dann wirst du flexibel.
Michael Döhmen:Und auf jeden Fall niemals Lösegeld zahlen, ohne dann was zu verändern.
Michael Döhmen:Also die Security sollte man dann auf jeden Fall auf den Prüfstand stellen, wenn es einen getroffen hat.
Andreas Papadaniil:Das ist so.
Michael Döhmen:Noch mal aus Kundenperspektive gefragt: Was wird bei einem SOC oder einem Managed SOC oftmals missverstanden?
Andreas Papadaniil:Eine Garantie. Also ich hatte schon Kundengespräche, wo dann gesagt wurde jetzt haben wir ja ihr SOC, also wir wollen ihr SOC unterschreiben, und dann gehe ich ja davon aus, dass wir nie wieder gehackt werden. Und dann gibt es sogar, wenn es dann um Gespräche der Verträge geht, hatte ich sogar einen Fall schon mal, wo dann gesagt wurde ja, falls wir dann doch gehackt werden und verschlüsselt werden, dann möchte ich, dass Sie für den Schaden aufkommen, weil sie sind ja dafür verantwortlich für unsere IT-Sicherheit. Da habe ich erstmal geschluckt und gesagt erstens mal, wir können nicht diese Verantwortung ihnen wegnehmen. Das ist per Gesetz auch. Durch NIS2 werden wir eine Geschäftsführerhaftung bekommen, die alleine schon bestimmt Geschäftsführer ist dafür verantwortlich, dass die Sicherheit steht. die kann ich nicht weitergeben.
Andreas Papadaniil:Wir können als SOC-Anbieter Angriffe frühzeitig erkennen und unterbinden, bevor der Schaden groß ist. Aber auch wir sind nicht in der Lage, Angriffe, die heute noch nicht erkannt werden können, was keiner kann, da kann auch die suresecure nicht zaubern. Wir müssen davon ausgeben, ein Angriff kann auch erfolgreich sein. Wir können aber dafür sorgen, dass der Schaden dann 100 Euro ist anstatt 100 Millionen. Das ist das, wo wir uns sehen. Und wenn ein Unternehmen von einem SOC-Anbieter fordert, dass für den Schaden aufgekommen werden soll, gibt´s eigentlich ne ganz einfache Lösung im eMarkt, was auch weit verbreitet ist, nämlich ne Cyberversicherung abzuschließen.
Andreas Papadaniil:Es ist nicht so einfach, Versicherer zu werden, aber wenn du so eine Sicherheit möchtest und sagen möchtest, hey, wenn mir ein finanzieller Schaden trotz SOC entsteht, dann möchte ich, dass jemand dafür aufkommt, kann das nicht der Service-Provider sein, sondern dann muss das ne Cyberversicherung sein, die du aber auch mit einem SOC höchstwahrscheinlich bekommen wirst. Das ist eine der größten Maßnahmen, und wir haben ja auch schon einen Versicherer, mit dem wir gemeinsam zusammenarbeiten, der sagt, wenn dieser Kunde einen SOC der suresecure besitzt, dann kriegt er von uns garantiert eine Cyberversicherung ohne Risikodialog, ohne Rückfrage. Ich habe es vorhin ja schon mal gesagt zu den Zahlen Wir haben keine erfolgreichen Angriffe durch unser SOC, und das konnten wir auch. das war der Case. Wir haben das dann nachgewiesen. Die haben gesagt, das ist ja super, können wir genauso machen.
Michael Döhmen:Okay, was glaubst du, wird sich in den nächsten 12 bis 18 Monaten am SOC-Modell verändern, oder wird sich überhaupt etwas verändern? Es gibt ja auf jeden Fall eine veränderte Wettbewerbssituation, die sich als ein ganzes SOC tarnen. Aber glaubst du, dass jetzt ich sag mal, der Goldstandard ist jetzt wahrscheinlich ein Cloud-based SOC mit künstlicher Intelligenz, mit hoher Expertise, mit vernünftigen Prozessen, mit Incident inkludiert. inkludiert. Glaubst du, dass sich an diesem Goldstandard was verändern wird?
Andreas Papadaniil:Ja. Also ich denke, was noch gerade natürlich passiert, ist die Nutzung von KI sehr stark, weil wir sind immer noch am Anfang der Möglichkeiten von künstlicher Intelligenz. Das wird stark noch über die nächsten Jahre ausgebaut werden. Was ich sehe, ist die Unterstützung von OT-Technologie, weil wenn wir uns das mal angucken in Europa, dann haben die meisten SOC-Anbieter im Gegensatz zu uns OT eben nicht inkludiert und sagen nee, diese Logs können wir nicht entgegennehmen, und wir haben auch keine Analysten, die OT verstehen und darauf reagieren können. Aber die Relevanz wird immer höher, es werden Verantwortlichkeiten geschaffen, es werden Budgets gebildet bei den Kunden, und es entsteht auch die Anforderung, ein SOC für OT abbilden zu können. Und was ich auch glaube, das kommt von dem Thema
Andreas Papadaniil:gerade. Das Thema SOC und Cyberversicherung wird immer weiter zusammenwachsen, und wir haben jetzt eine Menge Anbieter langsam, also, wir machen das halt schon einige Zeit im deutschen Markt, aber jetzt kommen gerade Anbieter auch aus Amerika. Wir haben hier iSecurity aus den Niederlanden zum Beispiel. Die kombinieren halt das SOC oder MDR-Thema mit der Cyberversicherung. Wir haben Stoik beispielsweise als Versicherer, der jetzt MDR-Services anbietet. Die können das aber anbieten für Unternehmen bis 100 oder 200 Millionen Umsatz, also SME, kleinere Unternehmen, und dafür sind die Lösungen auch gemacht für Unternehmen über 500 Millionen Umsatz mit tausenden von Mitarbeitern, also unsere Kernzielgruppe, mit der wir zusammenarbeiten, um eben da auch ein Offering zu schaffen.
Andreas Papadaniil:Weil da müssen wir eben Versicherungspolicen haben, die viel höhere Deckungssummen abbilden, und eben das SOC muss auch so leistungsfähig sein, dass ich halt ganz andere Use Cases abbilden kann, weil eine IT von einem 10.000 Mann Unternehmen ist ein ganz anderes Spiel als eine IT von einem 100 Mann Unternehmen. Das kannst du dir so vorstellen, wie dein Heimnetzwerk zu Hause vielleicht und dann ein globales Netzwerk über verschiedenste Kontinente etc. Und ich glaube, da wird aber die Reise hingehen, weil da sehe ich immer mehr Anbieter und immer mehr Kunden, die das auch einfordern, weil entweder brauchen sie einen SOC wegen der Cyberversicherung, weil das gefordert wird, oder sie haben einen SOC und wollen dann eine Cyberversicherung dazu haben, weil es eben keine Garantien gibt, und sie dann sagen, wenn dann trotz SOC was passiert, möchte ich zumindest, dass der Schaden aufgefangen wird, und dann hätte ich mit einer Cyberversicherung und einem SOC eigentlich ein tolles Szenario für Business Resilience.
Michael Döhmen:Nicht nur Cyber, sondern auch eben das Business ist abgesichert. Ist es jetzt nicht so, dass mich ein Cyberangriff dermaßen treffen kann, dass ich vor einer Insolvenz oder ähnliches stehe.
Andreas Papadaniil:Man könnte eigentlich im Business-Kontext von einer hundertprozentigen Sicherheit sprechen, was du in der Technik niemals tun kannst, weil dein SOC wird dich nicht hundertprozentig sicher machen. Ich habe es gesagt, du wirst trotzdem einen Angriff haben. Wenn ich aber eine Cyberversicherung dazu habe, die dann, falls was passiert, für diesen Schaden aufkommt, monetär klar. Ich kann das Leid meiner Mitarbeiter damit nicht heilen. Also die ITler, die werden trotzdem schlaflose Nächte haben und gestresst sein, wenn gehackt wird. Du wirst trotzdem an der Produktion genervte Menschen haben etc. Aber zumindest kannst du sagen ja, der Schaden jetzt durch den Vorfall war jetzt eine Million und meine Versicherung bezahlt das. Ist natürlich auch Aufwand, aber zumindest ist es jetzt nicht so, dass dieser monetäre Schaden dann deine Firma in den Insolvenz führen kann.
Michael Döhmen:Stell dir vor, du triffst jetzt einen Unternehmer im Aufzug. Die Fahrt ist nicht sehr lang, und du kannst ihm genau einen Satz mitgeben zum Thema SOC. Welcher wäre das?
Andreas Papadaniil:Ja. Machen!
Michael Döhmen:Das ist sogar nur ein Wort, Das ist nur ein Wort.
Andreas Papadaniil:Hey, es ist nicht viel Zeit, hast du gesagt. Ja, machen. Vielleicht kann man sagen, extern vergeben, kann ich sagen. Also, es gibt natürlich auch interne SOCs. Aber ich sage mal, alle internen SOCs, die ich so kenne, fangen bei Unternehmen vielleicht aufwärts 30.000 Mitarbeiter an. Die sind in der Lage, mit genügend Ressourcen, Finanziell und auch Personal, die sind in der Lage, das selber auf die Beine zu stellen. Wenn ich jetzt vom Mittelstand spreche, meine Definition sind so 3.-10. 000, 15. 000 Mitarbeiter, lass es sein. Du brauchst gar keine Make-or-Buy-Analyse zu machen, du musst gar nicht 15 Jahre irgendwas aufarbeiten. Die haben wir alle, die können wir auch zur Verfügung stellen. Für die es interessiert, an der Stelle immer so eine Gegenüberstellung. Es macht absolut keinen Sinn. Also, mach es und lass es andere machen.
Andreas Papadaniil:Deswegen sind auch gerade Service-Provider wie wir sehr gefragt. Aktuell. Und wir haben halt das Glück durch unsere Cloud-basierte Technologie können wir halt ohne Ende onboarden, und wir können auch sehr schnell onboarden, vielleicht auch nur nochmal so. Damals mit Splunk war das so, dass die Onboardings drei bis sechs Monate gedauert haben. Mit Google brauchen wir drei bis sechs Tage für ein Onboarding, und das bedeutet auch eben keine Kapazitätsgrenzen. Wir können ohne Ende onboarden. Du hast teilweise Anbieter im Markt. Da wurde mir letztens vom Kunden eine Frage gestellt: Wenn wir denn jetzt bei ihnen beauftragen würden, wann könnten wir denn damit rechnen, dass sie uns onboarden? Wenn sie in zwei Wochen beauftragen, sind sie in drei Wochen im SOC. Wie? Das kann ich mir gar nicht vorstellen. Das ist doch unseriös. Andere Anbieter haben mir gesagt, das dauert bis zu drei Monate. Andere Anbieter haben vielleicht eben auch nicht diesen Technologie-Stack, den wir nutzen.
Michael Döhmen:Ja, und nicht die Prozesse und nicht die Leute.
Andreas Papadaniil:Das ist so.
Michael Döhmen:Andreas. Kommen wir zum Closing. Ich hoffe, wir haben die Erwartungshaltung jetzt auch wirklich erfüllt. Aber ich denke ja. Also ich glaube, Kernbotschaft: Schaut euch diese SOC- Offerings draußen im Markt auf jeden Fall ganz genau an. SOCs 2025 sind immer noch sehr divers aufgestellt. Es gibt immer noch keine klare Definition. Also immer auch mal die Motorhaube öffnen, einmal reinschauen, was habe ich da eigentlich für Komponenten, die da zusammenspielen, und dann überlegen ist das jetzt eher ein Trabant, oder ist das vielleicht der benannte Porsche mit Keramikbremsen,
Andreas Papadaniil:oder ist es was in der Mitte?
Michael Döhmen:Oder ist es was in der Mitte? Kann natürlich auch sein, aber schaut auf jeden Fall in die Motorhaube. Wenn ihr mehr Infos braucht. Wir verlinken noch ein paar Whitep aper zum Thema SOC, und ansonsten sprecht uns gerne an. Wir sind damit raus. Andreas, ich sage vielen Dank.
Andreas Papadaniil:Sehr gerne, wie immer eine Freude.
Michael Döhmen:Und bleibt sicher und gesund.
Andreas Papadaniil:Tschüssi.
Annika Gamerad:Das war's aus dem Cybersecurity Basement. Check die Shownotes, folg uns auf Social Media und abonniere den Podcast.