Wenn Sie auf «Alle Cookies akzeptieren» klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

SOC ist nicht MDR, was Schweizer KMU wirklich kaufen sollten

Warum SOC, MDR und CDC nicht dasselbe sind. Und wie Sie die richtige Service-Tiefe finden.

Stunde Null. Ein Alarm geht ein. Wer entscheidet jetzt?

Ein Industriebetrieb im Mittelland, ein Dienstagabend, 22:47 Uhr. Der externe Security-Anbieter meldet ungewöhnliche Aktivität auf einem zentralen Server. Der IT-Leiter steht in der Garage, liest die SMS zum dritten Mal und weiss nicht, was er jetzt tun soll. Anrufen? Wen? Den Server vom Netz nehmen? Mit welcher Vollmacht? Warten?

Drei Stunden später hat sich der Angriff im halben Netzwerk ausgebreitet. Der Alarm war richtig. Was fehlte, war die Antwort auf eine einzige Frage: Wer entscheidet jetzt: der Anbieter, das IT-Team oder die Geschäftsleitung? Solange diese Frage offen blieb, hatte der Angreifer Zeit.

Solche Anrufe bekomme ich oft. Vom Geschäftsführer, vom IT-Leiter, manchmal vom Inhaber selbst. Und fast immer ist die Technik nicht das eigentliche Problem. Das Problem ist, dass niemand die Begriffe sortiert hat, bevor eingekauft wurde.

Für Service-Bausteine, die so verkauft werden, dass im Ernstfall genau diese eine Frage offen bleibt, habe ich einen Begriff. Ich nenne sie Pflästerlipolitik: Man klebt ein Pflaster drauf und hofft, dass es hält. Detektion, ohne dass jemand eingreift. Ein Werkzeug ohne Entscheidungs-Mandat. Aber Cybersicherheit ist kein Pflaster-Geschäft.

Sortieren wir also die vier Begriffe, die im Schweizer Markt am häufigsten durcheinandergehen: Security Operations Center (SOC), Managed Detection and Response (MDR), Managed Security Service Provider (MSSP) und Cyber Defence Center (CDC). Am Ende wissen Sie, welche Service-Tiefe Sie wirklich brauchen, welche Sie sich sparen können und woran Sie einen guten Anbieter erkennen.

SOC, MDR, MSSP, CDC - vier Begriffe, drei Service-Tiefen

Im Schweizer Markt verbergen sich hinter ähnlichen Begriffen sehr unterschiedliche Leistungen. Jeder Anbieter hat seinen eigenen Sprachgebrauch entwickelt, und weil sich dahinter unterschiedliche Service-Tiefen verstecken können, entsteht für Sie als Käufer die Aufgabe, hinter die Begriffe zu schauen.

Ich unterscheide sie nach der Verantwortungs-Grenze: wer sortiert (SOC), wer eingreift (MDR), wer integriert (CDC). MSSP steht bewusst nicht in derselben Reihe, denn es ist eine Liefer-Form, keine Tiefe. Im Einzelnen:

SOC - Security Operations Center

Augen, Ohren und Hände am Betrieb. Das O im Akronym steht für Operations. Ein SOC beobachtet, was passiert, sortiert Wichtiges von Unwichtigem, eskaliert und betreibt die Security-Infrastruktur Ihres Hauses. Wer ein SOC betreibt, hat den Stack live in der Hand.

MDR - Managed Detection and Response

Augen plus Hand. Wer beobachtet UND eingreift: Angriffe stoppt, betroffene Systeme isoliert, Angreifer zurückdrängt. MDR ist der Service, der hinter dem reinen Alarm die nächste Aktion übernimmt.

MSSP - Managed Security Service Provider

Eine Lieferantenbezeichnung, keine Service-Tiefe. Jeder, der irgendeinen Security-Service am Markt anbietet, nennt sich MSSP: vom reinen Managed-Firewall-Anbieter bis zum Full-CDC-Provider. Die Spannweite ist riesig. Wenn auf einer Anbieter-Website nur „MSSP" steht und sonst nichts, sagt das über die Service-Tiefe nichts aus.

CDC - Cyber Defence Center

Die integrierte Antwort: SOC und MDR plus Threat Hunting, Threat Intelligence und Threat Landscape unter einem Dach. Das ist Abwehr, die nicht beim Monitor aufhört: Wir gehen aktiv gegen Cyberkriminelle vor, statt Events nur auflaufen zu lassen. CDC ist kein standardisierter Marktbegriff, jeder Anbieter verwendet ihn etwas anders.

Die einfachste Formel, die ich kenne

SOC + MDR = CDC

Zur schnellen Orientierung die vier Begriffe nebeneinander:

BegriffWas es bedeutetWas es nicht ist
SOCSecurity Operations CenterBetreibt, beobachtet, sortiert, eskaliertKeine Plattform-Eigenentwicklung
MDRManaged Detection and ResponseBeobachtet UND greift aktiv einKeine reine Werkzeug-Lizenz ohne Analysten
MSSPManaged Security Service ProviderSammelbezeichnung fuer irgendeinen Security-ServiceKeine Aussage ueber die Service-Tiefe
CDCCyber Defence CenterSOC + MDR + Threat Hunting/Intelligence integriertKein standardisierter Marktbegriff

Sie müssen mir das nicht glauben. Ein paar Suchen im Web zeigen, wie unterschiedlich dieselbe Sache bei Schweizer Anbietern heisst:

  • Swisscom nennt es „Managed Detection and Response (MDR)" und bietet daneben ein separates „Security Operations Center (SOC)" an.
  • InfoGuard betreibt ein eigenes „Cyber Defence Center" (CDC) in Baar/Zug, aus dem heraus die MDR- und SOC-Services erbracht werden.
  • Sophos nennt es „Sophos MDR".
  • Securix nennt es „Managed Detection and Response (MDR)".
  • Netcloud nennt ihr Zentrum „Cyber Defence Center" (CDC) und erbringt daraus die SOC- und MDR-Services. Ja, auch wir stehen in dieser Liste.

Drei Service-Tiefen, ein Dutzend Namen. Kein Wunder, landet am Ende oft das Falsche im Vertrag.

Sie kaufen Werkzeug plus Mensch, kein Akronym

Wenn Sie MDR kaufen, kaufen Sie nie nur einen Service. Sie kaufen eine Kombination aus zwei Dingen: einem Werkzeug, das Daten sammelt und erste Auffälligkeiten markiert, und Menschen, die diese Markierungen interpretieren und entscheiden, was als Nächstes passiert. Ohne den Menschen-Teil kaufen Sie eine Software-Lizenz mit Marketing-Mantel.

Drei Werkzeug-Kategorien tauchen in fast jedem Anbieter-Gespräch auf:

  • SIEM (Security Information and Event Management) sammelt Log-Daten aus Ihrer Umgebung. Microsoft Sentinel ist das bekannteste Beispiel im Schweizer Mittelstand.
  • EDR (Endpoint Detection and Response) beobachtet, was auf einzelnen Geräten passiert. Microsoft Defender und CrowdStrike Falcon sind verbreitete Vertreter.
  • XDR (Extended Detection and Response) verbindet Endgeräte, Netzwerk und Cloud. Palo Alto Cortex und Microsoft Defender XDR sind heute der Standard.

Heute verschmelzen diese Kategorien. SIEM-Funktionalität sitzt zunehmend innerhalb eines XDR-Stacks, nicht mehr daneben. Bei einem ausgereiften MDR-Service kaufen Sie deshalb Funktionalitäten aus allen drei Schichten, plus die Expertise dahinter.

Die für Sie wichtige Frage ist nicht, welche Abkürzung ein Anbieter verwendet. Sie lautet: Sagt er Ihnen offen, welches Werkzeug er einsetzt und wer die Auswertung macht? Wenn nicht, kaufen Sie eine Black Box.

Stunde 1 nach dem Alarm: zuschauen oder handeln

Zurück zum Industriebetrieb vom Anfang. Der Unterschied zwischen den Begriffen klingt theoretisch, bis es brennt. Dann zeigt er sich auf die Minute genau. Hier ist dieselbe erste Stunde, einmal mit blossem Monitoring und einmal mit echtem Eingreifen.

Stunde 1 nach dem Alarm

Nur Monitoring
22:47Alarm wird geloggt
08:00Analyst sieht den Alarm
09:30E-Mail an den Kunden
10:00Schaden bereits angerichtet
Echtes Eingreifen (MDR)
22:47Alarm wird geloggt
22:49Analyst reagiert sofort
22:55Geraet isoliert
23:05Bedrohung gebannt

Derselbe Alarm. Der Unterschied sind Stunden, in denen ein Angreifer ungestoert arbeitet.

Der Unterschied sind mehrere Stunden, in denen ein Angreifer ungestört arbeiten kann. Beim einen wird der Alarm brav geloggt und am Morgen bearbeitet. Beim anderen greift jemand ein, nachts, in Minuten.

Der Zeitstrahl zeigt, was passiert. Wie es abläuft, ist interessanter: So läuft die erste Stunde ab, wenn jemand wirklich eingreift. Sie bekommen dann einen Anruf statt sieben, und der enthält alles, was Sie wissen müssen.

  • Die ersten 10 Minuten, wir handeln. Das Werkzeug meldet, der Analyst sortiert, isoliert betroffene Systeme, wenn sie klar bösartig sind, und dokumentiert die ersten Schritte. Sie merken davon noch nichts.
  • Minute 10 bis 30, Sie werden informiert. Ein Anruf, kein zwölfter Mail-Alarm. „Folgendes ist passiert, folgendes haben wir getan, folgendes brauchen wir von Ihnen." Eine Entscheidung, klar formuliert. Im Eskalationsfall ruft ein Schweizer Lead-Analyst an, der Ihr Geschäft kennt.
  • Stunde 1, der Bericht steht. Tauglich für die Geschäftsleitung: Was ist passiert, was wurde unternommen, was bedeutet das für Betrieb, Kundendaten und Aufsicht? Und wenn ein Fall grösser wird, übernimmt ein Krisenmanager die Koordination und nimmt Ihnen die organisatorischen und rechtlichen Entscheidungen ab: Was ist meldepflichtig, wann braucht es einen Anwalt, wer spricht mit Behörden und Geschäftsleitung? Sie können die Geschäftsleitung anrufen, ohne lange nachzudenken.
  • Tag 1 bis Woche 1, Aufarbeitung. Forensik, Schwachstellen-Behebung, falls nötig Meldepflichten nach nDSG oder FINMA. Wir führen, Sie sind Co-Pilot, nicht allein verantwortlich.

Im reinen Werkzeug-Modell ohne Team dahinter läuft dieselbe Stunde anders: Der Alarm landet als Ticket bei Ihnen. Sie sortieren, Sie entscheiden, Sie isolieren, Sie dokumentieren, während ein Dutzend andere Aufgaben parallel auf Ihrem Tisch liegen. Je weiter ein Anbieter vom Kunden weg sitzt, desto ungenauer werden seine Entscheidungen.

Welche Service-Tiefe passt zu welchem Setup?

Der Standard-Pitch vieler Anbieter lautet: alle Stufen, alles inklusive, für alle. Das ist selten ehrlich und nie pragmatisch. Welche Service-Tiefe Sie wirklich brauchen, hängt von zwei Dingen ab: wie viele eigene Leute und welches Know-how Sie im Haus haben, und wie kritisch ein Ausfall oder ein Datenabfluss für Ihr Geschäft wäre.

Die folgende Tabelle ordnet die fünf Konstellationen, die wir bei Schweizer Mittelständlern am häufigsten sehen. Die letzte Spalte ist die wichtigste: Sie zeigt, was in der ersten Stunde nach einem Alarm tatsächlich passiert.

UnternehmenssituationEmpfohlener AnsatzWeniger geeignetStunde-1-Konsequenz
Kleine Organisation mit ueberschaubarer IT-Landschaft und Microsoft-FokusManaged Detection and Response (MDR) auf Basis Microsoft Defender mit klar definierten EskalationswegenVollumfaengliches SOC mit umfangreichen Reporting- und BetriebsstrukturenSie werden in Minuten benachrichtigt, die Erstentscheidung trifft der Anbieter im Standard
Mittelstaendisches Unternehmen mit mehreren Standorten und heterogener ITIntegrierte SOC- und MDR-Services mit abgestimmten Prozessen und klaren VerantwortlichkeitenAufbau und Betrieb eines eigenen Cyber Defence CentersDer Anbieter handelt und unterstuetzt Sie entlang Ihrer Geschaeftsprozesse; Sie werden informiert
Regulierte Organisation (z. B. FINMA, nDSG, kritische Compliance-Anforderungen)SOC- und MDR-Services, ergaenzt durch Advisory, Consulting oder CISO as a Service mit revisionssicherer DokumentationStandard-MDR ohne Compliance- und Audit-NachweiseDer Anbieter haelt die Beweiskette, Sie legen sie der Aufsicht vor
Industrie- und Produktionsumgebungen mit OT- und IT-SystemenIntegrierte Ueberwachung und Reaktion ueber IT- und OT-Umgebungen hinwegIsolierte IT- oder OT-SicherheitsloesungenIT- und OT-Vorfaelle werden erkannt, an die richtigen Stellen eskaliert und laufen geordnet bei Ihnen zusammen
Unternehmen mit eigenem Security-Team und etabliertem CISOSecurity-Plattformen mit gezielter Expertenunterstuetzung (Augmentation, Incident Response, Forensik)Vollstaendig ausgelagerter Standard-MDR-ServiceSie fuehren, externe Unterstuetzung springt nur bei Spitzen und Spezialfaellen ein

Ich verstehe jeden, der seine Security am liebsten selbst abbildet. Das hat sogar Vorteile: Wer im eigenen Haus überwacht, ist näher am eigenen Business, kennt die Systeme und die Leute. Aber wenn man es selbst macht, muss man es auch richtig machen, und genau hier lohnt sich ein ehrlicher Blick. Bei uns sind aktuell viereinhalb Vollzeitstellen allein mit Automatisierung und Weiterentwicklung beschäftigt, nicht mit dem Tagesbetrieb. Pro Kunde fallen täglich rund tausend sicherheitsrelevante Ereignisse an. Wer sie nicht laufend automatisiert wegfiltert, ertrinkt nach kurzer Zeit in False Positives. Und das ist nur der laufende Betrieb: Dazu kommen Forensik und eine eigene Testumgebung, in der wir Angriffe nachstellen.

Genau hier kippt die Make-or-Buy-Frage für die meisten Mittelständler. Nicht, weil sie es nicht könnten, sondern weil die Dauerlast rund um die Uhr, das ständige Tuning und die Personalbindung in keinem Verhältnis zum Kerngeschäft stehen. Die eigentliche Frage ist deshalb nicht, ob man darf. Sie lautet: Hat man die Leute und das Know-how wirklich dauerhaft im Haus?

Schweizer Standort. Sticker oder Argument?

„Schweizer Anbieter" steht auf jeder zweiten CDC- und SOC-Landingpage. Damit der Schweiz-Anspruch kein Marketing-Sticker bleibt, hier vier Fragen, an denen er sich entweder belegt oder entlarvt:

  1. Datenhoheit. Wo liegen meine Log-Daten: in einem Schweizer Rechenzentrum oder in Frankfurt? Was sage ich dem Datenschutzbeauftragten, wenn er fragt?
  2. Wer hebt nachts ab? Wenn um 02:00 Uhr ein Alarm reinkommt: Sitzt da ein Analyst in Bern oder irgendwo auf einem anderen Kontinent, acht Zeitzonen entfernt? Ich bin dabei ehrlich: Auch wir arbeiten mit einem Follow-the-Sun-Modell, denn nur so ist 24/7 wirklich abgedeckt. Triage und Analyse laufen rund um die Uhr; sobald wir aber interaktiv mit Ihnen arbeiten, kommt die Schweiz dazu. Entscheidend ist nicht, wo der Analyst im Normalbetrieb sitzt, sondern wer im Ernstfall übernimmt. Bei uns ist das immer ein Schweizer Pikett, jemand, der Ihr Geschäft kennt. Die Schweiz ist nie aussen vor.
  3. Sprache des Anbieters. Wenn ich um 03:00 Uhr ein heikles Detail kläre: Sprechen wir Deutsch, Schweizerdeutsch, Hochdeutsch oder Englisch mit Akzent? Wie schnell verstehen wir uns?
  4. Regulatorisches Tempo. Wenn die FINMA eine neue Meldepflicht einführt oder das nDSG eine Klarstellung bringt, wie schnell ist mein Anbieter dran? Steht das in einem Update-Newsletter, oder muss ich nachfragen?

Schweizer Firmen haben gerne Schweizer. Und am liebsten den mit demselben Dialekt.

Das klingt provinziell. Gemeint ist aber etwas sehr Praktisches: Der Standort entscheidet, wer Ihre Daten sieht, wie schnell Sie im Ernstfall jemanden erreichen und sich mit ihm verstehen, und ob Ihr Anbieter die Schweizer Regulatorik im Schlaf kennt oder erst nachschlagen muss.

Das CDC als integrierte Antwort

Vier Begriffe, drei Service-Tiefen, und keiner davon ist ein Marketing-Wort. Ein CDC ist die Architektur und Organisation, die im Kern SOC und MDR zusammenführt und drumherum Threat Intelligence, Forensik und Krisenmanagement bündelt, zu einem Service-Versprechen, das sich der Geschäftsleitung in zwei Sätzen erklären lässt. Manche halten ein CDC für ein teureres SOC. Das trifft es nicht: Ein SOC ist die Werkstatt, ein CDC das Haus drumherum.

Cyber Defence heisst: Wir verteidigen Ihre Systeme, Ihre Daten, Ihre Firma gegen Cyberkriminelle und schützen Sie vor Schäden durch Cyberangriffe. Dafür betreiben wir Ihre Security-Infrastruktur, wir liefern einen Detection-and-Response-Service und wir setzen die passenden Werkzeuge ein.

Der Unterschied zur reinen Detektions-Variante ist konkret. Ein Anbieter, der nur erkennt, kann Ihnen sagen, dass etwas brennt. Aber wenn die Antwort heisst „Firewall-Regel anpassen", „Storage isolieren" oder „Active Directory wiederherstellen", muss er bei jemand anderem klingeln. Wir machen den IT-Betrieb und die Security aus einer Hand. Wenn es nachts brennt, rufen Sie nicht vier Nummern an, von denen jede auf die andere zeigt. Sie rufen eine an, und am anderen Ende ist jemand, der sowohl Ihre Systeme als auch Ihre Sicherheitslage kennt.

Im Ernstfall ist das der ganze Unterschied: Haben Sie jemanden, der den Brand meldet, oder jemanden, der ihn auch löscht?

Fazit: was Schweizer KMU wirklich kaufen sollten

In all den nächtlichen Anrufen ist mir eines klar geworden: Der Fehler passiert nicht beim Angriff. Er passiert beim Einkauf, oft Monate vorher, wenn niemand die Begriffe sortiert hat. Wer ein SOC bestellt, weil der ganze Markt von SOC redet, und dann um drei Uhr nachts merkt, dass niemand eingreift, hatte nie zu wenig Technik. Er hat die falsche Frage gestellt. Und das merkt man erst, wenn es zu spät ist, sie zu ändern.

Drei Dinge, die Sie aus diesem Artikel mitnehmen sollten:

  1. Begriffe sind keine Architektur. Fragen Sie nicht „Haben Sie ein SOC?", sondern „Wer entscheidet in Stunde 1, und mit welcher Vollmacht?"
  2. Werkzeug ist nicht Service. Eine Lizenz ohne Menschen dahinter zahlt im Schadensfall nichts aus.
  3. Schweizer Standort zählt nur, wenn er belegt ist. Fragen Sie nach Datenhoheit, nach der Sprache der Analysten und nach dem Tempo bei neuer Regulatorik.

Was Sie wirklich kaufen, ist keine Abkürzung. Es ist die Gewissheit, dass in Stunde 1 jemand ans Telefon geht, der entscheiden darf und Ihr Geschäft kennt. Den Satz, den ich am häufigsten höre, kann ich deshalb meistens nur zur Hälfte bestätigen: „Aber wir wollen ein SOC." Eigentlich brauchen Sie ein CDC.

Andreas Renold, Head of Cyber Defence bei Netcloud

Verfasser

Andreas Renold

Head of Cyber Defence bei der Netcloud AG. Er verantwortet das Cyber Defence Center der Netcloud und begleitet Schweizer Mittelstand-Kunden bei Architektur und Betrieb integrierter Security-Services. Die nächtlichen Anrufe, von denen dieser Artikel handelt, kennt er aus erster Hand.

Ein SOC (Security Operations Center) überwacht, erkennt und eskaliert; die Reaktion bleibt oft bei Ihnen. MDR (Managed Detection and Response) schliesst die Reaktion ein: Der Anbieter greift aktiv ein, isoliert Systeme, stoppt den Angriff. Kurz: Ein SOC sieht, MDR handelt.

Seriöse Anbieter nennen keine Pauschalpreise, weil der Aufwand vom Setup abhängt: Anzahl Systeme, Standorte, Compliance-Anforderungen, gewünschte Reaktionszeiten. Fragen Sie statt nach einer Listen-Zahl nach den Aufwand-Treibern, und danach, was im Ernstfall alles inbegriffen ist.

Nein. Sentinel ist ein Werkzeug, kein Service. Es sammelt und korreliert Daten. MDR ist das, was Menschen mit diesen Daten tun: bewerten, entscheiden, eingreifen. Sentinel ohne Analysten-Team dahinter ist ein Cockpit ohne Pilot.

Für reine Detektion: vielleicht, vor allem, wenn Sie ein eigenes Betriebsteam haben und nur die Erkennungsschicht zukaufen wollen. Die Grenze zeigt sich im Ernstfall: Sobald die Reaktion in den IT-Betrieb hineinreicht, also Server, Storage oder Active Directory betrifft, brauchen Sie jemanden, der nicht nur meldet, sondern auch eingreift. Fragen Sie, wer im Ernstfall die Hände am System hat.

Ein CDC bündelt SOC, MDR und Threat Intelligence unter einem Dach, ergänzt um Forensik, Krisenmanagement und Offensive Security: Betrieb, Reaktion und Aufklärung in einer Einheit. Es ist kein Produkt. Es ist eine Architektur, die alle Bausteine zu einer Verteidigung verbindet, die im Ernstfall als Ganzes funktioniert.

No items found.
Zwei Geschäftspersonen diskutieren vor einem Laptop, während eine dritte Person im Vordergrund Notizen macht.

Lassen Sie uns Ihre Erfolgsgeschichte starten