Woran erkennen Sie den Unterschied zwischen einem SOC-Anbieter, der Ihr Unternehmen wirklich schützt, und einem, der nur Berichte erstellt?Der verwaltete SOC-Markt ist voll von Anbietern, die ähnliche Behauptungen aufstellen. Diese Bewertungscheckliste durchschneidet das Marketing und hilft Ihnen bei der Beurteilung, worauf es ankommt: tatsächliche Erkennungsfähigkeit, Reaktionsgeschwindigkeit, Fachkenntnistiefe und betriebliche Transparenz.
Wichtige Erkenntnisse
- Am wichtigsten ist die Reaktionsfähigkeit:Können sie in Ihrer Umgebung Maßnahmen ergreifen oder Sie nur alarmieren? Der Unterschied bestimmt, ob Bedrohungen in Minuten oder Stunden eingedämmt werden.
- Fragen Sie nach Kennzahlen, nicht nach Erfahrungsberichten:MTTD, MTTR, echte positive Raten und MITRE ATT&CK-Abdeckung sagen Ihnen mehr als nur Kundenlogos.
- Technologiekompatibilität ist nicht verhandelbar:Der Anbieter muss mit Ihren vorhandenen Tools arbeiten. Der erzwungene Werkzeugaustausch verursacht zusätzliche Kosten und Unterbrechungen.
- Die Compliance-Expertise ist sehr unterschiedlich:Ein Anbieter, der Erfahrung mit NIS2, GDPR und ISO 27001 hat, spart Monate im Vergleich zu einem Anbieter, der sich mit Ihrem Engagement befasst.
Die 10-Punkte-Bewertungscheckliste
1. Erkennungstechnologie und Abdeckung
Welche Erkennungstechnologien nutzt der Anbieter? Betreiben sie einen SIEM mit benutzerdefinierten Erkennungsregeln oder verlassen sie sich ausschließlich auf vom Anbieter bereitgestellte Regeln? Fragen Sie nach der MITRE ATT&CK-Abdeckungskarte – diese zeigt, welche Angriffstechniken sie erkennen können. Ein ausgereifter Anbieter deckt über 70 % der relevanten ATT&CK-Techniken mit aktiven, getesteten Erkennungsregeln ab. Fragen Sie, wie oft neue Erkennungen hinzugefügt werden und was Regelaktualisierungen auslöst.
2. Reaktionsfähigkeit und Autorisierung
Dies ist das wichtigste Unterscheidungsmerkmal. Kann der Anbieter Eindämmungsmaßnahmen in Ihrer Umgebung ergreifen – Endpunkte isolieren, IPs blockieren, Konten deaktivieren, Dateien unter Quarantäne stellen? Oder alarmieren sie Sie nur und warten darauf, dass Ihr Team handelt? Volle Reaktionsfähigkeit bedeutet, dass Bedrohungen innerhalb von Minuten eingedämmt werden. Nur-Alarm-Anbieter hinterlassen eine gefährliche Lücke zwischen Erkennung und Reaktion, die von Angreifern ausgenutzt wird.
3. Personalmodell und Fachwissen
Wie ist das SOC besetzt? Fragen Sie nach dem Analysten-zu-Kunden-Verhältnis, den Zertifizierungsstufen (GCIH, GCIA, OSCP, CISSP) und der durchschnittlichen Erfahrung. Ein Anbieter mit einem Analysten pro 50 Kunden bietet einen ganz anderen Service als einer pro 200. Fragen Sie, ob Sie dedizierte oder rotierende Analysten engagieren – dedizierte Analysten entwickeln institutionelles Wissen über Ihre Umgebung, das die Erkennungsgenauigkeit im Laufe der Zeit verbessert.
4. Technologiekompatibilität
Funktioniert der Anbieter mit Ihren vorhandenen Sicherheitstools (EDR, SIEM, Cloud-Plattformen)? Anbieter, die von Ihnen verlangen, dass Sie Ihren Tool-Stack durch ihre bevorzugten Anbieter ersetzen, verursachen erhebliche Umstellungskosten und Unterbrechungen. Die besten Anbieter sind werkzeugunabhängig – sie bringen Fachwissen mit, keine Produktlizenzen.
5. Compliance- und Regulierungskompetenz
Versteht der Anbieter Ihre regulatorischen Anforderungen? Für EU-Organisationen bedeutet dies NIS2, GDPR und möglicherweise ISO 27001, SOC 2 oder branchenspezifische Vorschriften. Fragen Sie nach konkreten Beispielen, wie sie Kunden durch SOC-Dienste dabei geholfen haben, Compliance zu erreichen. Ein Anbieter, der Erfahrung mit Ihren Frameworks hat, kann vom ersten Tag an eine Compliance-orientierte Überwachung implementieren.
6. Onboarding und Wertschöpfungszeit
Wie lange dauert es von der Vertragsunterzeichnung bis zur Betriebsüberwachung? Erstklassige Anbieter erreichen die vollständige Betriebsabdeckung in 2–4 Wochen. Fragen Sie nach dem Onboarding-Prozess: Umgebungsbewertung, Protokollquellenintegration, Basislinienerstellung, Erstoptimierung und Runbook-Entwicklung. Anbieter, die eine sofortige Bereitstellung versprechen, setzen wahrscheinlich eine generische, unmaßgeschneiderte Überwachung ein.
7. Transparenz und Sichtbarkeit
Können Sie sehen, was der SOC sieht? Fordern Sie gemeinsame Dashboards mit Echtzeit-Einblick in Warnungen, Untersuchungen und Reaktionsmaßnahmen. Monatliche Berichte sollten MTTD, MTTR, Alarmvolumentrends, True-Positiv-Raten und eine Analyse der Bedrohungslandschaft umfassen. Undurchsichtigkeit ist ein Warnsignal – wenn Sie nicht sehen können, was der SOC tut, können Sie seine Wirksamkeit nicht beurteilen.
8. Eskalation und Kommunikation
Wie kommuniziert der Anbieter bei Vorfällen? Definieren Sie Eskalationspfade vor der Unterzeichnung: Wer wird über welche Kanäle und bei welchen Schweregradschwellen benachrichtigt? Telefonanrufe für kritische Vorfälle, Slack/Teams für Warnungen und E-Mail für Informationswarnungen sind ein gängiges Modell. Testen Sie den Eskalationsprozess während des Onboardings, um sicherzustellen, dass er funktioniert.
9. Kontinuierlicher Verbesserungsprozess
Sicherheit ist nicht statisch. Fragen Sie, wie der Anbieter die Erkennung im Laufe der Zeit verbessert. Monatliche Abstimmungssitzungen, vierteljährliche Bedrohungsüberprüfungen und jährliche Strategiebewertungen sind das Minimum. Der Anbieter sollte proaktiv Erkennungen hinzufügen, die auf neu auftretenden Bedrohungen, der Bedrohungslandschaft Ihrer Branche und den Erkenntnissen aus Vorfällen in seinem Kundenstamm basieren.
10. Preismodell und Gesamtkosten
Verstehen Sie das Preismodell vollständig. Zu den gängigen Modellen gehören Pro-Endpunkt, Pro-Benutzer, Pro-GB (Datenvolumen) und Flatrate. Die Preisgestaltung pro GB schafft perverse Anreize zur Reduzierung der Protokollierung. Die Preise pro Endpunkt skalieren vorhersehbar. Erkundigen Sie sich nach versteckten Kosten: Onboarding-Gebühren, Integrationsgebühren, zusätzliche Kosten für Protokollquellen und Gebühren für die Reaktion auf Vorfälle, die über den Basisdienst hinausgehen.
Bewertungs-Scorecard
| Kriterium | Gewicht | Punktzahl (1-5) | Gewichtete Punktzahl |
|---|---|---|---|
| Reaktionsfähigkeit | 20 % | ___ | ___ |
| Erkennungsabdeckung (ATT&CK) | 15 % | ___ | ___ |
| Personal und Fachwissen | 15 % | ___ | ___ |
| Technologiekompatibilität | 10 % | ___ | ___ |
| Compliance-Expertise | 10 % | ___ | ___ |
| Transparenz | 10 % | ___ | ___ |
| Wertschöpfungszeit | 5 % | ___ | ___ |
| Kommunikation | 5 % | ___ | ___ |
| Kontinuierliche Verbesserung | 5 % | ___ | ___ |
| Preise | 5 % | ___ | ___ |
Wie Opsio bei dieser Checkliste abschneidet
- Volle Reaktionsfähigkeit:Wir ergreifen Eindämmungsmaßnahmen in Ihrer Umgebung – nicht nur Alarmierung.
- 70 %+ ATT&CK-Abdeckung:Kontinuierlich erweiterte Erkennungsregeln, die MITRE ATT&CK zugeordnet sind.
- Engagierte Analysten:Benannte Analysten, die Ihre Umgebung kennen, keine rotierende Warteschlange.
- Werkzeugunabhängig:Wir arbeiten mit Ihren vorhandenen EDR-, SIEM- und Cloud-Plattformen.
- NIS2, GDPR, ISO 27001 Fachwissen:Umfangreiche EU-Compliance-Erfahrung in Hunderten von Projekten.
- Transparente Operationen:Gemeinsame Dashboards, monatliche Kennzahlen, vierteljährliche Überprüfungen.
- 2-4-wöchiges Onboarding:Operative Abdeckung innerhalb eines Monats nach Beginn des Engagements.
- Vorhersehbare Preise:Flatrate-Modell ohne Überraschungen pro GB.
Häufig gestellte Fragen
Wie viele SOC-Anbieter sollte ich evaluieren?
Bewerten Sie 3-5 Anbieter. Vergleich mit weniger als 3 Grenzwerten; Mehr als 5 führt zu Bewertungsmüdigkeit ohne sinnvolle zusätzliche Erkenntnisse. Beginnen Sie mit einer langen Liste, die auf Empfehlungen und Branchenberichten basiert, und wählen Sie dann eine Auswahlliste basierend auf den oben genannten Kriterien aus.
Sollte ich einen lokalen oder globalen SOC-Anbieter wählen?
Für EU-Organisationen ist ein Anbieter mit EU-Präsenz wichtig für GDPR-Datenverarbeitungsanforderungen und regulatorisches Verständnis. Für die Kommunikation von Vorfällen ist die Beherrschung der Landessprache wichtig. Opsio bietet lokale Präsenz in Sweden mit globaler Lieferfähigkeit.
Welche Fragen sollte ich während einer SOC-Anbieterdemo stellen?
Fragen Sie nach: einer echten Komplettlösung für die Alarmuntersuchung (wie sie selektieren, untersuchen und reagieren), ihrem Dashboard mit tatsächlichen Kennzahlen (MTTD, MTTR, Alarmvolumina), ihrer MITRE ATT&CK-Abdeckungskarte und einem Beispielmonatsbericht. Vermeiden Sie Anbieter, die nur Präsentationen zeigen und sich weigern, die Einsatzfähigkeit nachzuweisen.