Schweizer Käsereien haben ein Problem: Die charakteristischen Löcher im Schweizer Käse werden immer kleiner. Der Grund: Milch aus moderner Massentierhaltung ist zu homogen, zu sauber. Die Security-Infrastruktur vieler Unternehmen hingegen gleicht oft dem klassischen Emmentaler: durchaus mit Substanz, aber mit großen Löchern – es fehlt vor allem an Know-how und Personal zur Dauerüberwachung und Abwehr. Der Schweizer Security-Provider Ontinue fühlt sich berufen, diese Löcher zu schließen: mit Services für Managed Detection and Response, kurz MDR.
Der Security-Anbieter Open Systems aus Zürich hat im Februar unter dem Namen Ontinue einen neuen MDR-Geschäftsbereich als eigene Company auf die Beine gestellt. Die Besonderheit: Ontinues Managed-XDR-Service (Extended Detection and Response) baut ausschließlich auf Microsofts Security-Lösungen auf: Er zieht für das laufende Monitoring Daten der Endpoint-Security-Lösung Defender und die Sicherheitsplattform Sentinel des Redmonder Softwaregiganten heran, um IT-Umgebungen kontinuierlich zu schützen.
Microsoft hat sein Security-Angebot in den letzten Jahren konsequent ausgebaut. „Heute kann man sagen, Defender ist mindestens so gut wie seine Mitbewerber am Markt, die sich ‚Next-Gen AV’ (Anti-Virus, d.Red.) nennen“, sagt Jochen Koehler, Vice President Sales bei Ontinue. Vor diesem Hintergrund habe sich Ontinue sehr früh dem Weg verschrieben, sein MDR-Angebot ausschließlich auf Microsoft-Security-Plattformen zu fokussieren. „Das ist nicht einzigartig, aber zumindest außergewöhnlich“, merkt er an.
Ontinues Ansatz beschreibt er so: „Wir behalten Sentinel im Blick. Wir haben dort perfekte Automatismen entwickelt, künstliche Intelligenz verbaut und unser Personal oben drauf gepackt, um genau das auszuschöpfen, was Defender in allen Bereichen – Endpoint, Identity und so weiter – in Sentinel hineinbringt.“
„Derzeit sind wir im DACH-Raum noch am stärksten“, sagt Koehler über seinen Schweizer Arbeitgeber, man sei aber weltweit tätig. Neben dem Hauptsitz in Zürich gibt es eine US-Zentrale in Redwood City, Kalifornien. „Security Operations Center gibt es an beiden Standorten, zudem in Noida in Indien.“
So könne Ontinue seinen Anwenderunternehmen nach dem „Follow the Sun“-Prinzip 24×7-Support bieten – auch wenn man dadurch den einen oder anderen potenziellen Kunden vergrault habe, der auf deutschsprachigem Support rund um die Uhr besteht. „Wir sind aber voll und ganz überzeugt davon, dass nur so (mit Follow the Sun, d.Red.) ein kompletter Service geboten werden kann“, betont Koehler. „Mit Rufbereitschaft zu deutscher oder schweizer Nachtzeit kann ein MDR-Anbieter nicht die volle Leistung bieten.“
Den Dreischichtbetrieb eines SOCs in Deutschland oder der Schweiz wiederum erachtet Koehler nicht nur als zu teuer für die Zielgruppe Mittelstand, sondern auch als ungeeignet für den MDR-Anbieter selbst: „Man kann jungen, motivierten und erfahrenen guten Leuten nur so und so lange eine Nachtschicht zumuten“, sagt er.
Nach der Abspaltung von Open Systems hat Ontinue laut Koehler nun 280 Beschäftigte. Zum Personalstamm zählen neben den Security-Analysten auch sogenannte „Cyber-Advisors“. Sie bilden die Schnittstelle zum Anwenderunternehmen und können dieses auf Wunsch beraten, wie es seine Sicherheitslage verbessern kann. Auf diese Weise kombiniere Ontinue reaktive und proaktive Security-Services, so Koehler.
Jedem Anwenderunternehmen stellen die Schweizer zwei dedizierte Advisors zur Seite: einen Hauptansprechpartner und einen als Backup. Bei Sicherheitsvorfällen hole man den zuständigen Cyber-Advisor an Bord, unabhängig vom Ort und Zeitpunkt des Vorfalls.
Daten bleiben im Tenant-Bereich des Anwenders
Wichtig zu wissen für Anwenderorganisationen, die nervös auf das Wort „Datenschutz“ reagieren: „Die Daten bleiben im Microsoft-Azure-Tenant (Mandantenumgebung, d.Red.) des Kunden“, sagt Koehler. Zudem könne Ontinue es bei Bedarf einrichten, dass niemand außerhalb des EU-Rechtsraums Zugriff auf die Daten einer Anwenderumgebung erhält.
Neben Defender und Sentinel nutzt Ontinue laut Koehler hauseigene Security-Lösungen, die auf den Microsoft-Tools aufsetzen. Es gebe zum Beispiel eine teils automatisierte Workbench, zudem habe man ein eigenes Threat-Hunting-Modell auf der Basis eigener und externer Quellen entwickelt.
Mittels hauseigener KI könne Ontinue 70 bis 75 Prozent der Incidents hochkompetent und automatisiert bearbeiten, so der Ontinue-Manager weiter. Dies verschaffe den Security-Analysten die nötige Zeit, um sich den verbleibenden 25 bis 30 Prozent manuell zu widmen. Auch Microsofts Konversations-KI Copilot nutze man möglichst stark. „Wir setzen aber auch hier noch eigene Logik oben drauf“, sagt Koehler.
Zwar ist der Schweizer MDR-Provider bei den Security-Tools auf die Microsoft-Basis eingestellt, seitens der unterstützten Endpunkte aber nicht auf die Windows-Welt begrenzt: „Da decken wir inzwischen alles ab, was man sich von Mac bis Linux so vorstellen kann“, sagt Koehler. Dies umfasse auch Mobile-Betriebssysteme wie iOS.
Auf Fragen nach Möglichkeiten der Netzwerküberwachung – also Network Detection and Response (NDR) – hat Ontinue laut Koehler drei Antworten parat: Erstens komme Ontinue dank der Open-Systems-Historie aus dem NOC-Bereich (Network Operations Center), man habe also Netzwerksensoren, die bei Bestandskunden noch im Einsatz sind. Zweitens könne ein beim Anwender installiertes NOC-Tool ebenfalls an Sentinel reporten. Drittens biete Microsoft seit letztem Jahr Defender for IoT (Internet of Things). „Auch da haben wir entsprechendes Know-how aufgebaut“, sagt Koehler. „Das ist aber gerade erst im Kommen.“
Derzeit sei Ontinue in erste Projekte involviert, bei denen eine Umgebung mit Defender for IoT ausstattet wird. Hier komme dann auch entsprechende Netzwerktelemetrie zum Tragen. Dies werde künftig Ontinues Standardantwort auf die Frage nach Netzwerküberwachung sein.
Kurz: Ontinue hat als MSSP (Managed Security Service Provider) die Sicherheit seiner Anwenderunternehmen rund um die Uhr im Blick. Jede Kundenumgebung ist dabei anders – eine gemischte Käseplatte sozusagen. Aber die Löcher, durch die ein Angreifer unbemerkt eindringen könnte, werden immer kleiner.
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
Bild: (c) Wolfgang Traub
IT Info 2 Go 