Wissen

FAQ

Was ist Managed Open XDR?

Managed Open XDR ist ein Sicherheitsservice, der Daten aus verschiedenen Quellen wie Endpoints, Servern, Cloud, Netzwerk, E-Mail und Identitäten zentral sammelt, korreliert und auswertet. Ziel ist es, echte Bedrohungen schneller zu erkennen und nicht in einzelnen Tools oder Alarmmeldungen zu verlieren.

Im Gegensatz zu klassischen Einzellösungen verbindet Open XDR bestehende Sicherheitssysteme herstellerübergreifend. Dadurch entsteht ein zentraler Überblick über die Sicherheitslage, ohne dass bestehende Tools vollständig ersetzt werden müssen.

Was ist der Unterschied zwischen XDR, MDR und MXDR?

XDR steht für Extended Detection & Response. XDR korreliert Sicherheitsdaten über verschiedene Bereiche wie Endpoint, Netzwerk, Cloud und Identity.

MDR steht für Managed Detection & Response. Dabei übernehmen Security-Spezialisten die Überwachung, Analyse und Reaktion auf Sicherheitsvorfälle als Service.

MXDR kombiniert beides: eine XDR-Plattform mit einem gemanagten Security Operations Service. Das bedeutet: Technologie, Monitoring, Triage und Response werden gemeinsam betrieben.

Warum ist Open XDR sinnvoll?

Open XDR ist herstellerunabhängig und verhindert Vendor Lock-in. Unternehmen sind dadurch nicht gezwungen, alle Security-Produkte von einem einzigen Anbieter zu verwenden.

Bestehende Lösungen wie Firewalls, EDR-Systeme, Cloud-Dienste, E-Mail-Security oder Identity-Systeme können weiterhin genutzt und in eine zentrale Sicherheitsplattform integriert werden. Das ist besonders sinnvoll für Unternehmen mit gewachsenen IT-Landschaften.

Ersetzt Managed Open XDR unsere bestehende Firewall, unser Antivirus oder unser EDR?

Nein. Managed Open XDR ersetzt bestehende Sicherheitslösungen in der Regel nicht, sondern ergänzt sie.

Die Plattform sammelt und korreliert Informationen aus vorhandenen Systemen. Dadurch werden einzelne Signale aus Firewall, Endpoint, Cloud, Netzwerk und Identity in einen grösseren Zusammenhang gebracht. Bestehende Investitionen bleiben erhalten.

Security Operations

Was passiert, wenn ein Sicherheitsalarm ausgelöst wird?

Ein Alarm wird zuerst analysiert und priorisiert. Dieser Prozess heisst Triage. Dabei wird geprüft, ob es sich um einen Fehlalarm oder um einen echten Sicherheitsvorfall handelt.

Bei einem bestätigten Vorfall werden geeignete Massnahmen eingeleitet. Dazu gehören je nach Situation die Eindämmung des Angriffs, die Entfernung der Ursache, die Wiederherstellung betroffener Systeme und die Dokumentation des Vorfalls.

Was bedeutet Triage im Security-Kontext?

Triage bedeutet die erste Bewertung und Priorisierung eines Sicherheitsalarms.

Nicht jeder Alarm ist automatisch ein echter Angriff. Viele Unternehmen erhalten sehr viele Warnmeldungen. Durch Triage wird entschieden, welche Meldungen kritisch sind und sofort untersucht werden müssen.

Eine professionelle Triage reduziert Alarmrauschen und fokussiert auf echte Sicherheitsvorfälle.

Was ist ein False Positive?

Ein False Positive ist ein falscher Alarm.

Das System meldet eine potenzielle Bedrohung, obwohl kein echter Angriff vorliegt. Zu viele False Positives führen zu Alert Fatigue und können dazu beitragen, dass echte Angriffe übersehen werden.

Was ist ein True Positive?

Ein True Positive ist ein echter Sicherheitsvorfall.

Das bedeutet, dass eine Warnmeldung auf eine tatsächliche Bedrohung hinweist. In diesem Fall wird der Vorfall weiter untersucht und es werden passende Gegenmassnahmen eingeleitet.

Was bedeutet Incident Response?

Incident Response beschreibt die strukturierte Reaktion auf einen Sicherheitsvorfall.

Dazu gehören typischerweise die Erkennung des Vorfalls, die Eindämmung des Angriffs, die Entfernung der Ursache, die Wiederherstellung betroffener Systeme und die Nachbearbeitung.

Ziel ist es, den Schaden zu begrenzen, den Normalbetrieb sicher wiederherzustellen und aus dem Vorfall zu lernen.

Was ist Threat Hunting?

Threat Hunting bedeutet proaktive Angriffssuche.

Dabei wird nicht nur auf Alarme gewartet. Security-Analysten suchen aktiv nach verdächtigen Mustern, versteckten Angriffsspuren oder Anzeichen für kompromittierte Systeme.

Threat Hunting hilft dabei, Bedrohungen zu erkennen, bevor sie zu einem grösseren Sicherheitsvorfall werden.

Managed Service

Wer überwacht unsere Systeme?

Die Überwachung erfolgt durch ein Security Operations Center, kurz SOC.

Im SOC analysieren Security-Spezialisten Sicherheitsmeldungen, prüfen verdächtige Aktivitäten und koordinieren bei Bedarf die Reaktion auf Sicherheitsvorfälle.

Was ist ein SOC?

SOC steht für Security Operations Center.

Ein SOC ist die Sicherheitsleitstelle eines Unternehmens oder eines Managed Security Providers. Dort werden sicherheitsrelevante Ereignisse überwacht, analysiert und bearbeitet.

Ein SOC arbeitet häufig mit verschiedenen Stufen:

  • Tier 1: Erste Analyse und Triage
  • Tier 2: Tiefere Untersuchung und Incident Handling
  • Tier 3: Deep Dive, Threat Hunting und Malware-Analyse

Brauchen wir mit Managed Open XDR noch ein eigenes Security-Team?

Nicht zwingend.

Managed Open XDR ist besonders für Unternehmen sinnvoll, die keine eigene 24/7-Security-Organisation aufbauen können oder wollen. Der Service übernimmt Monitoring, Triage und Response-Unterstützung.

Die interne IT bleibt wichtig, muss aber nicht jedes Security-Ereignis selbst rund um die Uhr analysieren.

Wir haben bereits Microsoft Defender. Brauchen wir trotzdem Managed Open XDR?

Ja, das kann sinnvoll sein.

Microsoft Defender ist ein starkes Security-Tool, aber ein Tool allein ersetzt kein 24/7-Monitoring, keine strukturierte Triage und keine Incident Response. Viele Unternehmen haben gute Sicherheitsprodukte, aber nicht genug Zeit oder Personal, um alle Meldungen konsequent zu analysieren.

Managed Open XDR kann bestehende Microsoft-Sicherheitsdaten einbinden und mit weiteren Quellen korrelieren.

Was bedeutet 24/7 Detection & Response?

24/7 Detection & Response bedeutet, dass Sicherheitsereignisse rund um die Uhr überwacht und bei Bedarf bearbeitet werden.

Cyberangriffe passieren nicht nur während Bürozeiten. Deshalb ist kontinuierliche Erkennung und Reaktion ein wichtiger Bestandteil moderner Cybersicherheit.

Integration & Technik

Welche Systeme können integriert werden?

Typische Integrationen sind:

  • Firewalls
  • EDR-Systeme
  • Active Directory / Microsoft Entra ID
  • Cloud-Plattformen
  • E-Mail-Security
  • Netzwerkgeräte
  • Syslog-Quellen
  • API-basierte Security-Produkte

Je nach Umgebung können weitere Systeme angebunden werden.

Müssen überall neue Agents installiert werden?

Nicht zwingend.

Je nach Umgebung können Daten über APIs, Webhooks, Syslog, bestehende Security-Produkte oder Log Collector angebunden werden. Agent-basierte Integration ist nur eine von mehreren Möglichkeiten.

Was ist ein Log Collector?

Ein Log Collector ist eine zentrale Komponente in der Kundenumgebung, die relevante Logs sammelt und an die XDR-Plattform weiterleitet.

Das ist besonders nützlich, wenn Kunden aus Sicherheits- oder Bandbreitengründen nicht jede Quelle direkt mit der Cloud verbinden möchten.

Was ist Syslog?

Syslog ist ein verbreitetes Standardprotokoll zur Übertragung von Logdaten.

Viele Firewalls, Server, Netzwerkgeräte und Security-Systeme können Ereignisse per Syslog weiterleiten. Dadurch lassen sich bestehende Systeme effizient in eine zentrale Sicherheitsplattform integrieren.

Was ist eine API-Integration?

Eine API-Integration verbindet Systeme über eine technische Schnittstelle.

Dadurch kann die Plattform zum Beispiel Alerts aus bestehenden Security-Produkten abrufen oder bestimmte Reaktionsmassnahmen auslösen, sofern das angebundene Produkt dies unterstützt.

Reaktion auf Vorfälle

Kann die Plattform automatisch auf Angriffe reagieren?

Ja, je nach Integration und Freigabe können Reaktionen automatisiert oder teilautomatisiert erfolgen.

Beispiele sind:

  • Blockieren einer IP-Adresse
  • Isolieren eines Endpoints
  • Sperren eines Benutzerkontos
  • Quarantäne einer Datei
  • Beenden eines verdächtigen Prozesses

Solche Abläufe werden über Playbooks gesteuert.

Was ist ein Playbook?

Ein Playbook ist ein definierter Ablauf für einen bestimmten Sicherheitsfall.

Es beschreibt, welche Schritte bei einem Vorfall durchgeführt werden sollen. Zum Beispiel: Alarm prüfen, betroffene Systeme identifizieren, Benutzerkonto sperren, Kunden informieren und Bericht erstellen.

Playbooks sorgen dafür, dass Vorfälle strukturiert und wiederholbar bearbeitet werden.

Werden Massnahmen immer automatisch ausgeführt?

Nicht zwingend.

Je nach Kundenanforderung können Reaktionen automatisch, halbautomatisch oder nach Freigabe erfolgen. Besonders bei kritischen Systemen ist es oft sinnvoll, bestimmte Massnahmen zuerst durch den Kunden bestätigen zu lassen.

Was passiert nach einem bestätigten Sicherheitsvorfall?

Nach einem bestätigten Vorfall wird der Incident dokumentiert. Dazu gehören Informationen über Ursache, betroffene Systeme, getroffene Massnahmen und empfohlene nächste Schritte.

Eine saubere Dokumentation hilft bei der Nachbearbeitung, bei internen Entscheidungen und bei möglichen Compliance-Anforderungen.

Compliance & Schweiz

Warum ist Managed Open XDR für Schweizer Unternehmen relevant?

Schweizer Unternehmen stehen unter wachsendem Druck, Cyberrisiken professionell zu managen. Besonders regulierte Branchen und kritische Infrastrukturen müssen Sicherheitsvorfälle schnell erkennen, bewerten und dokumentieren können.

Managed Open XDR unterstützt dabei, Sicherheitsereignisse zentral zu überwachen, nachvollziehbar zu bearbeiten und operative Cyberrisiken zu reduzieren.

Was bedeutet Data Residency?

Data Residency bedeutet, dass Daten in einer bestimmten geografischen Region gespeichert und verarbeitet werden.

Für Schweizer Unternehmen kann das wichtig sein, wenn regulatorische, vertragliche oder interne Vorgaben verlangen, dass Daten in der Schweiz bleiben.

Was bedeutet DSG oder revDSG?

DSG beziehungsweise revDSG bezeichnet das Schweizer Datenschutzgesetz.

Es regelt, wie Personendaten bearbeitet und geschützt werden müssen. Für Sicherheitsservices ist wichtig, dass Datenverarbeitung transparent, zweckgebunden und angemessen geschützt erfolgt.

Was ist KRITIS?

KRITIS steht für kritische Infrastruktur.

Dazu gehören Organisationen, deren Ausfall schwerwiegende Folgen für Wirtschaft, Gesellschaft oder öffentliche Sicherheit haben kann. Beispiele sind Gesundheitswesen, Energieversorgung, Telekommunikation oder öffentliche Verwaltung.

Was ist BACS?

BACS steht für Bundesamt für Cybersicherheit.

Für Schweizer Unternehmen ist BACS insbesondere im Zusammenhang mit Cybervorfällen, Meldeprozessen und nationaler Cybersicherheit relevant.

Was bedeutet ISO 27001?

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme.

Er beschreibt, wie Unternehmen Informationssicherheit systematisch organisieren, kontrollieren und verbessern können.

Nutzen für Unternehmen

Welches Problem löst Managed Open XDR konkret?

Viele Unternehmen haben bereits Security-Tools, aber zu wenig Zeit, Personal oder Know-how, um alle Alarme richtig zu bewerten.

Managed Open XDR löst dieses Problem, indem es Sicherheitsdaten bündelt, Alarme priorisiert und echte Vorfälle strukturiert bearbeitet.

Der Fokus liegt auf der Reduktion operativer Cyberrisiken durch 24/7 Detection & Response.

Für welche Unternehmen ist der Service geeignet?

Der Service eignet sich besonders für Unternehmen, die:

  • keine eigene 24/7-Security-Organisation betreiben
  • viele Security-Alerts erhalten
  • bestehende Tools besser nutzen möchten
  • Compliance-Anforderungen erfüllen müssen
  • ihre Cyber-Resilienz erhöhen wollen
  • eine herstellerunabhängige Lösung suchen

Ist Managed Open XDR nur für grosse Unternehmen geeignet?

Nein.

Gerade mittelständische Unternehmen profitieren davon, weil sie häufig dieselben Cyberrisiken wie grosse Unternehmen haben, aber nicht dieselben internen Ressourcen.

Managed Open XDR ermöglicht professionelle Sicherheitsüberwachung ohne den vollständigen Aufbau eines eigenen Security Operations Centers.

Warum reicht klassische IT-Betreuung nicht aus?

IT-Betrieb und Security Operations sind nicht dasselbe.

Interne IT-Teams kümmern sich oft um Verfügbarkeit, Benutzer, Systeme und Support. Security Operations fokussiert auf Angriffserkennung, Triage, Incident Response und kontinuierliche Überwachung.

IT betreibt Systeme. Security erkennt Angriffe.

Was ist der wichtigste Vorteil für Kunden?

Der wichtigste Vorteil ist Klarheit.

Statt Tausende einzelne Logs und Alarme selbst zu prüfen, erhalten Kunden priorisierte Sicherheitsinformationen, konkrete Handlungsempfehlungen und Unterstützung bei der Reaktion auf Vorfälle.

Erstabklärung

Wie kann ein Unternehmen starten?

Der erste Schritt ist eine unverbindliche Erstabklärung der bestehenden IT- und Security-Umgebung.

Dabei wird geprüft, welche Systeme bereits vorhanden sind, welche Datenquellen angebunden werden können und wie ein Managed Open XDR Service sinnvoll aufgebaut werden kann.