Die Cybergefahren durch staatliche und andere Akteure nehmen ständig zu. Zudem bietet das organisierte Verbrechen mittlerweile Ransomware-as-a-Service und andere kriminelle Dienstleistungen in industriellem Maßstab an. Die Europäische Union hat auf die Bedrohungslage mit einer ganzen Reihe von Gesetzen reagiert, darunter der NIS-2-Richtlinie (Network and Information Security Directive 2), der DORA-Verordnung (Digital Operational Resilience Act) und dem Cyber Resilience Act (CRA).
In der Folge müssen Reseller, Systemhäuser und Service Provider sich selbst und ihre Kunden schützen und dafür sorgen, dass gesetzliche Bestimmungen eingehalten werden. Dabei spielen SIEM-Systeme (Security Information and Event Management) eine entscheidende Rolle. In einem SIEM laufen alle Meldungen, Alarmsignale und Log-Einträge aus der IT-Infrastruktur eines Kunden zusammen. IT-Dienstleister können so Unregelmäßigkeiten schneller erkennen und gegebenenfalls Abwehrmaßnahmen einleiten.
SIEM braucht SOAR
Der große Vorteil von SIEM, nämlich die Sammlung und Integration aller IT-relevanten Daten, ist aber gleichzeitig auch die größte Schwachstelle. Die Flut an Informationen lässt sich selbst von erfahrenen Experten nicht mehr manuell auswerten. Die Analyse und angemessene Reaktion auf potenzielle Bedrohung muss weitgehend automatisiert erfolgen.
Das Marktforschungsunternehmen Gartner hat dafür den Begriff SOAR (Security Orchestration Automation and Response) geprägt. SOAR-Systeme automatisieren die Analyse der Informationen und die Reaktion auf potenzielle Cyberbedrohungen so weit wie möglich. Sie entlasten so Security-Experten von Routineaufgaben, verbessern die Entdeckungsrate und verkürzen Reaktionszeiten.
Mit Microsoft Sentinel SIEM und SOAR verbinden
Microsoft Sentinel ist eine cloudbasierte SIEM- und SOAR-Lösung, die vom Hersteller als "SecOps"-Plattform (Security Operations) vermarktet wird. Das System nutzt künstliche Intelligenz (KI), um verdächtige Aktivitäten automatisch erkennen und Abwehrmaßnahmen zu priorisieren.
Die tiefe Integration in andere Microsoft-Produkte wie Azure, Microsoft 365 und Entra ID erleichtert es, einen umfassenden Überblick über die gesamte Sicherheitslage zu erhalten. Sentinel unterstützt aber auch eine Vielzahl anderer Schnittstellen und Datenformate. Partner können die Lösung daher auch in heterogenen IT-Infrastrukturen einsetzen, die nicht oder nicht primär auf Microsoft-Produkten basieren.
TCO-Analyse von Microsoft Sentinel von Forrester
Das Marktforschungsinstitut Forrester hat die wirtschaftlichen Auswirkungen von Sentinel (Total Economic Impact, TEI) anhand eines Beispielunternehmens untersucht. In diesem Szenario ließen sich die Gesamtbetriebskosten (Total Cost of Ownership, TCO) für den SIEM-Betrieb um 44 Prozent senken, die Anzahl der Fehlalarme um 79 Prozent reduzieren und der Personalaufwand für komplexe Untersuchungen um 85 Prozent vermindern.
Durch den Sentinel-Einsatz sanken außerdem die Compliance-Kosten, und das Risiko für Datenverluste reduzierte sich um 35 Prozent. Insgesamt errechnete Forrester über einen Zeitraum von drei Jahren einen ROI von mehr als 230 Prozent. Die Investition in Sentinel hatte sich bereits nach weniger als sechs Monaten amortisiert.
Wie Partner von Microsoft Sentinel profitieren
Für Systemhäuser und Managed Service Provider bietet Microsoft Sentinel die Chance, ihr Portfolio um intelligente Managed Security Services zu erweitern und so neue Umsatzquellen zu erschließen. Dabei lassen sich neben klassischen Security-Aufgaben wie Bedrohungsanalyse (Threat Hunting), Bedrohungsabwehr oder die Unterstützung bei Sicherheitsvorfällen (Incident Response) auch erweiterte Dienstleistungen wie Beratung, Implementierung und Integration anbieten. Die von Sentinel zur Verfügung gestellten Daten und Berichte eignen sich zudem als Basis für Services im Compliance-Bereich.
Die Automatisierung von Routineaufgaben, die KI-gestützte Analyse potenzieller Bedrohungen und die zentrale Sicht auf alle sicherheitsrelevanten Daten reduzieren darüber hinaus den Zeit- und Personalaufwand pro Kunde, verbessern die Erkennungsrate und ermöglichen es Partnern, schneller und effizienter auf Vorfälle zu reagieren. So können sie bei gleichbleibender Teamstärke mehr Kunden betreuen und gleichzeitig ihre Wettbewerbsfähigkeit steigern.
Neue Cyberbedrohungen erfordern moderne Abwehrmaßnahmen
Microsoft Sentinel stellt Systemhäusern und Managed Service Providern eine leistungsfähige Plattform bereit, um Kunden umfassende Cybersecurity- und Compliance-Services anzubieten. Durch eine solche Erweiterung ihres Dienstleistungsportfolios, die Effizienzsteigerung und die Stärkung der Kundenbindung, können sie sich im Markt differenzieren und neue Geschäftsmöglichkeiten erschließen.
Als Microsoft Indirect Provider im deutschen Markt unterstützt ADN Partner umfassend beim Onboarding und der Nutzung von Microsoft Sentinel. Zum Beispiel zeigt ADN während der "Microsoft CSP Security Week" (2. bis 5.12.2024) zusammen mit Microsoft, wie Partner Unternehmenskunden mit den Sicherheitslösungen schützen und eine Sicherheitsstrategie erarbeiten können.
Der Zugang zu den Sessions ist kostenfrei über die Cloud Champion Plattform möglich. Auf der Plattform finden Partner zudem jederzeit ein umfangreiches Informations- und Trainingsangebot zu Cloud-Sicherheit sowie zu vielen anderen Cloud-Themen. Die ADN-Akademie bietet darübe rhinaus weiterführende Angebote und Zertifizierungsmöglichkeiten.
Bestandsaufnahme und Trends: KI in der Cybersecurity