Schwan Cosmetics nutzt MXDR-Lösung von Ontinue.
Kosmetische Produkte bringen Farbe in den Alltag vieler Menschen. Ihre Herstellung findet heutzutage in digitalisierten Produktionsanlagen statt, was leider auch Cyberkriminelle auf den Plan ruft. So auch bei Schwan Cosmetics, das zum Konzern STABILO gehört. Deren IT-Abteilung ist täglich mit zahlreichen die Sicherheit betreffenden Herausforderungen konfrontiert. MXDR-Lösungen können jedoch helfen, den Betrieb am Laufen zu halten.
In großen Unternehmen mit vielen Tochtergesellschaften ist es die Regel, dass die IT-Abteilungen der verschiedenen Bereiche ihre Hard- und Software autark verwalten. Das ist ein notwendiges Übel, da schon die unterschiedlichen Produktionsabläufe eigenständige ERP (Enterprise Resource Planning)-Systeme mit diversen Schnittstellen und weiteren Applikationen erfordern. Konzerne wie STABILO betreiben zuweilen sogar eigene Rechenzentren, um allen angebundenen Subunternehmen die nötige Rechenleistung zur Verfügung zu stellen. Zwar stehen die Tochterunternehmen, zu denen auch Schwan Cosmetics gehört, im regelmäßigen Dialog – etwa um sich über Compliance-Anforderungen auszutauschen – aber im Grunde sind die technologischen Grenzen klar gesetzt und jedes IT-Team ist auf sich gestellt.
Das gilt insbesondere für den hochsensiblen Cybersecurity-Bereich. Gerade dort wäre es fatal, wenn ein Mangel an Mitarbeiterressourcen die Sicherheit des Unternehmens gefährden würde. Aus diesem Grund setzt Schwan Cosmetics für das Security-Incident-Management auf die Zusammenarbeit mit einem MXDR (Managed Extended Detection and Response)-Anbieter. Den Aufbau beziehungsweise Betrieb eines Security Operations Center (SOC) an einen externen Partner auszulagern, ist für viele Unternehmen aller-dings nicht die erste Wahl – trotz des Komforts, den das mit sich bringt. Viele würden (gerade im doch sehr sensiblen Cybersecurity-Bereich) lieber alles inhouse regeln.
Im Rahmen interner Evaluationen wird allerdings in den meisten Fällen sehr schnell deutlich, dass ein MXDR-Provider zu mehr Effizienz und einer besseren Ressourcennutzung im Bereich der Cybersicherheit beiträgt. Selbst wenn die finanziellen Mittel für den Aufbau eines eigenen SOC da wären, oft scheitern diesbezügliche Ambitionen am Fachkräftemangel. Wie notwendig ein dediziertes Cybersecurity-Team allerdings ist, hat Schwan Cosmetics ebenfalls festgestellt. Zwar musste sich das interne IT-Team nur mit etwa einem kritischen Incident pro Monat befassen, doch die hohe Zahl der „False Positives“ erwies sich als zeitaufwendiger und repetitiver Bestandteil des Arbeitsalltags. Die Prüfung der Vorfälle war für das IT-Team rein zeitlich zwar noch abzubilden, allerdings war es unter diesen Umständen kaum möglich, wertschöpfende oder innovative Projekte voranzutreiben.
Lückenlose Überwachung dank 24/7-Betrieb
Ein weiterer entscheidender Faktor für die Investition in ein SOC ist neben dem Mangel an freien Zeitressourcen auch die praktisch allgegenwärtige Gefahr eines erfolgreichen Cyberangriffs. Hacker- und Ransomware-Gruppen werden immer aktiver und effizienter, mittlerweile hat sich sogar ein ganzer Wirtschaftszweig rund um Cyberkriminalität im Darknet etabliert: So kann man inzwischen beispielsweise Ransomware auch „as a Service“ buchen. Hinzu kommt das unfassbar große Schadenspotenzial erfolgreicher Cyberattacken. Da diese Angriffe zu jeder Tag- und Nachtzeit erfolgen können und Hacker sich selten an gesetzliche Feiertage halten, muss ein guter MXDR-Anbieter ein 24/7 gemanagtes SOC bieten. Zudem sollte der Service-Provider möglichst vollständige Transparenz bei potenziellen und tatsächlichen Cyberangriffen herstellen – und zwar lückenlos. Denn die größte Sorge für Unternehmen ist es, dass sie nicht schnell genug auf Cyberbedrohungen reagieren können. Die Folgen sind schwere finanzielle Schäden sowie eine Schädigung des Rufs. Gerade bei einem kritischen Vorfall darf es keine Lücken und keine Zeitverzögerungen geben. Ein externer Dienstleister ist daher in der Regel aufgrund seiner Spezialisierung auf einen Rund-um-Schutz die bessere Wahl.
Sobald die Entscheidung für diesen Weg gefallen ist, geht es im Evaluationsprozess zunächst darum, den richtigen Partner zu finden. Dazu gehört auch, die richtige technologische Grundlage in Form einer umfangreichen Sicherheitsinfrastruktur zu schaffen. Sollte in dem Zusammenhang keine Änderung gewünscht sein, gilt es, den passenden Anbieter für die sich im Einsatz befindliche Cybersecurity-Technologie zu finden. Es gibt einige MXDR-Anbieter, die sich vor allem auf die weit verbreiteten Microsoft-Tools wie den Microsoft Defender und die SIEM (Security Incident and Event Management)-Plattform Microsoft Sentinel spezialisiert haben. Wer den passenden Anbieter zu seiner eigenen Sicherheitsinfrastruktur wählt, kann viel nervenaufreibende Zusatzarbeit beim Onboarding sparen. Bei Schwan Cosmetics dauerte dieser Prozess nur wenige Wochen. Doch auch wenn das SOC an einen externen Dienstleister ausgelagert wird, sollte eine gute Kommunikation etabliert werden. Ein gemeinsamer Microsoft-Teams-, Slack- oder Zoom-Kanal sorgt in diesem Zusammenhang für eine einfache und schnelle Kommunikation zwischen MXDR-Anbieter und dem Unternehmen. Das ist bei Incidents ein echter Vorteil gegenüber der klassischen Absprache per E-Mail. So können die externen Berater und Analysten mit dem internen Team in Echtzeit zusammenarbeiten.
Gestiegene Reaktionsgeschwindigkeit bei Schwan Cosmetics
Eine Frage, die sich viele Unternehmen stellen, ist natürlich, wie erfolgreich die Externalisierung der Cybersecurity an Dienstleister ist. KPIs zu definieren, hilft bei der Einschätzung enorm und sollte daher definitiv ein Teil im Prozess der Zusammenarbeit mit dem Service-Provider sein. Schwan Cosmetics konnte zum Beispiel innerhalb des ersten Jahres der Zusammenarbeit mit ihrem externen MXDR-Dienstleister die Reaktionszeit im Incident-Management deutlich senken. Dabei profitiert das unternehmensinterne IT-Team davon, dass durch die Vorselektion des SOCs viel weniger zu bearbeitende Fälle auf ihrem Schreibtisch landen. Durch die proaktiven Sicherheitshinweise der externen Analysten zu Sicherheitslücken oder Konfigurationen der IT- und Sicherheitsinfrastruktur lassen sich heute gefährliche Lücken zudem bereits frühzeitig erkennen und entsprechende Gegenmaßnahmen einleiten, bevor Angreifer sie ausnutzen können. Die durch die Nutzung des MXDR-Services gewonnene Zeit kann daher nun zielführend in weitere strategische Security-Projekte investiert werden.