Im Mittelpunkt des Gesprächs steht das Security Operations Center und die Frage, wie Unternehmen ihre Angriffsflächen nicht nur erkennen, sondern gezielt bewerten und priorisieren können.
Vom Alarmmanagement zur Gesamtverantwortung
Für Moritz Degenkolb, Leiter des Security Operation Centers bei AirITSystems, hat sich die Rolle des SOC in den vergangenen Jahren deutlich weiterentwickelt. Im Mittelpunkt steht heute nicht mehr allein die Bearbeitung von Alerts, sondern das Zusammenspiel unterschiedlichster Prozesse, Tools und Verantwortlichkeiten.
„Das SOC ist kein isoliertes Team, das einfach nur Alarme abarbeitet. Es besteht aus vielen spezialisierten Rollen, die zusammen ein funktionierendes Gesamtbild ergeben. Meine Aufgabe ist es, diese Elemente so zusammenzubringen, dass daraus ein konsistenter und leistungsfähiger Service entsteht“, erklärt Degenkolb.
Sicherheit entsteht im Zusammenspiel
Ein zentrales Ergebnis des Gesprächs: Die Leistungsfähigkeit eines SOC hängt maßgeblich von funktionierenden Schnittstellen ab. Insbesondere die enge Abstimmung mit IT-Betrieb, Governance und Management entscheidet über den tatsächlichen Sicherheitsgrad eines Unternehmens.
Im laufenden Betrieb sei ein kontinuierlicher Dialog unerlässlich. Fehlende Datenquellen, nicht integrierte Systeme oder unklare Zuständigkeiten führen schnell zu blinden Flecken. Gleichzeitig gelte es, technische Anforderungen mit regulatorischen Vorgaben und wirtschaftlichen Rahmenbedingungen in Einklang zu bringen.
„Ein SOC kann im Ernstfall isoliert funktionieren, im Alltag ist es aber auf Zusammenarbeit angewiesen. Nur wenn alle Beteiligten verstehen, was die jeweils andere Seite benötigt, entsteht echte Sicherheit“, so Degenkolb.
Daten als Fundament moderner Cyberabwehr
Eine Schlüsselrolle spielt dabei der Umgang mit Daten. Während in der Vergangenheit häufig möglichst viele Informationen gesammelt wurden, rückt heute eine gezielte Steuerung von Datenströmen in den Fokus.
Unternehmen stehen zunehmend vor der Herausforderung, relevante von weniger relevanten Informationen zu trennen, Speicherstrategien zu definieren und gleichzeitig Kosten im Blick zu behalten. Data Pipelines und differenzierte Aufbewahrungsstrategien werden damit zu einem zentralen Bestandteil moderner SOC-Architekturen.
CTEM: Priorisierung statt endloser Schwachstellenlisten
Besondere Aufmerksamkeit erhält im Interview der Ansatz des Continuous Threat Exposure Management (CTEM). Dieser geht über klassisches Schwachstellenmanagement hinaus und ermöglicht eine kontextbasierte Bewertung von Risiken.
Anstatt lange Listen kritischer Schwachstellen isoliert zu betrachten, analysiert CTEM tatsächliche Angriffspfade und identifiziert sogenannte „Choke Points“, also zentrale Schwachstellen, über die ein Großteil potenzieller Angriffe verlaufen würde.
„Wir bewegen uns weg von der reinen Abarbeitung von Schwachstellenlisten hin zu einer Priorisierung mit echtem Impact. Wenn ich an der richtigen Stelle ansetze, kann ich einen Großteil der Angriffswege gleichzeitig eliminieren“, beschreibt Degenkolb den Ansatz.
Diese Form der Priorisierung schafft nicht nur mehr Transparenz, sondern verbessert auch die Abstimmung zwischen IT, Management und Compliance, da Entscheidungen nachvollziehbar und messbar werden.
Orientierung im Technologie-Dschungel
Ein weiterer Schwerpunkt des Interviews ist die Einordnung aktueller Security-Technologien. Begriffe wie XDR, SIEM, MDR oder NDR sorgen in der Praxis häufig für Verwirrung, da sich Funktionen zunehmend überschneiden.
„Zwischen ‘XDR ist nur SIEM’, ‘SIEM ist tot’ und ‘SIEM ist besser als XDR’ geht schnell der Kern verloren: Alle zielen auf dasselbe. Wichtig ist zu schauen, welche Technologie für den eigenen Use Case und die Unternehmensgröße passt und was man wirklich selbst administrieren kann.“
Entscheidend sei weniger die Bezeichnung, sondern die Fähigkeit, Systeme sinnvoll zu integrieren und effektiv zu betreiben.
Künstliche Intelligenz als Unterstützung, nicht als Ersatz
Auch das Thema Künstliche Intelligenz spielt im SOC-Alltag eine wachsende Rolle. Während Machine-Learning-Verfahren bereits etabliert sind, etwa zur Erkennung von Anomalien, befinden sich Anwendungen rund um Large Language Models noch in einer frühen Phase.
Aktuell sieht AirITSystems großes Potenzial insbesondere in der Unterstützung von Analyse- und Dokumentationsprozessen sowie in der strukturierten Aufbereitung von Incidents. Gleichzeitig bleibt ein kontrollierter Einsatz entscheidend, da fehleranfällige Ergebnisse weiterhin möglich sind.
Ein Blick hinter die Kulissen moderner Sicherheitsarbeit
Das Experteninterview macht deutlich, dass effektive Cyberabwehr nicht durch einzelne Tools entsteht, sondern durch das Zusammenspiel von Technologie, Prozessen und Menschen. Ziel ist es, Sicherheitsstrategien ganzheitlich zu betrachten und kontinuierlich weiterzuentwickeln.
Oder, wie Moritz Degenkolb es abschließend formuliert: Ein vollständig stilles SOC ist kein Idealzustand, sondern ein Warnsignal. Echte Sicherheit zeigt sich nicht durch das Ausbleiben von Meldungen, sondern durch die Fähigkeit, relevante Ereignisse zuverlässig zu erkennen und richtig einzuordnen.
Das vollständige Interview mit Moritz Degenkolb kann hier gefunden werden: Experten-Interview: 10 Fragen an Moritz Degenkolb "Angriffsflächen verstehen, nicht nur finden.".
Wir sind ein Gemeinschaftsunternehmen der Flughäfen Hannover und Frankfurt. Unsere Herkunft ist der Flughafen. Damit sind Sicherheit, tragfähige Sicherheitsarchitekturen und das Zusammenspiel zahlreicher Komponenten in einem komplexen System unser tägliches Geschäft: eine Vielzahl von Transaktionen, kritische Verfügbarkeit und als klare Anforderung höchste Sicherheit. Diese einzigartige Flughafenerfahrung übertragen wir und unsere zertifizierten Spezialisten mit derselben Sorgfalt auch auf alle anderen Branchen.
AirITSystems GmbH
Benkendorffstr. 6
30855 Langenhagen
Telefon: +49 (511) 977-4000
Telefax: +49 (511) 977-4100
http://www.airitsystems.de
E-Mail: airitmarketing@airitsystems.de
