Security-Sourcing – gezielt ausschreiben, wirksam absichern

1. Fachbereiche früh einbinden

Security betrifft nicht nur die IT – auch Daten­schutz, Risiko­manage­ment, Revi­sion und betrof­fene Fach­bereiche müssen ein­ge­bunden werden.

Besonders bei SOC- und SIEM-Themen geht es oft um Prozesse, Melde­pflichten und Daten­flüsse, die außer­halb der IT verortet sind. Erfolg­reiches Security-Sourcing beginnt daher mit einem struk­tu­rierten Anfor­derungs­work­shop: Welche Angriffs­flächen sind relevant? Welche Services müssen abge­sichert werden? Welche regula­torischen Anfor­derungen gelten? 

Die früh­zeitige Ein­bindung stellt sicher, dass Use Cases voll­ständig berück­sichtigt werden und das spätere Betriebs­modell organi­sa­torisch trag­fähig ist. Zudem erhöht sie die Akzeptanz und minimiert Wider­stände im späteren Rollout und Betrieb.

2. Reifegrad intern ehrlich bewerten

Nicht jedes Unter­neh­men ist bereit für ein voll­umfäng­liches 24/7-SOC oder kom­plexe MDR-Sze­narien. Oft fehlt es an inter­nen Rol­len, Pro­zessen oder Gover­nance-Struk­turen, um externe Security-Ser­vices effektiv zu inte­grieren. 

Vor dem Sour­cing sollte des­halb geprüft werden: Wie aus­gereift ist das beste­hende Sicher­heits­manage­ment? Gibt es eine doku­men­tierte Inci­dent-Response-Stra­tegie? Ist das ITSM in der Lage, Security-Tickets zu prio­­risieren und zu ver­folgen? 

Solche Fra­gen helfen, realistische Betriebs­modelle auszuwählen – etwa ein Co-Managed SOC, das eng mit inter­nen Security-Verant­wort­lichen zusam­men­ar­beitet, oder ein stufen­weiser Aus­bau auf Basis defi­nierter Ma­turi­täts­ziele.

3. Betriebsverantwortung sauber regeln

Security-Services bringen neue Zu­stän­dig­keiten ins Haus – und genau hier ent­ste­hen oft Miss­ver­ständ­nisse. Klärt in der Aus­schrei­bung und im Ver­trag, wer bei einem Se­curity-In­cident welche Auf­ga­ben über­nimmt: Wer ist Melde­ver­ant­wort­licher? Wer ent­schei­det über die Ein­lei­tung von Gegen­maß­nahmen? Wer doku­men­tiert? 

Diese Zu­stän­dig­kei­ten soll­ten in Run­books, RACI-Ma­trizen und Kommu­ni­kations­plänen klar beschrieben sein. 

Auch Schnitt­stellen zum in­ter­nen Not­fall­manage­ment oder zur IT-Lei­tung müssen berück­sich­tigt wer­den. Nur wenn alle Betei­lig­ten ihre Rol­le verstehen – auch unter Stress – funktio­niert die Zu­sam­men­arbeit zwischen inter­nem Team und ex­ter­nem Pro­vider im Ernst­fall rei­bungs­los.

4. Fragen und Antworten

Security-Ver­träge müssen mehr leisten als klassi­sche IT-Betriebsverträge. Neben Verfüg­bar­keiten sollten auch Sicher­heits­kenn­zahlen (KPIs) wie "Time to Detect" oder "Time to Respond" vertraglich geregelt sein. 

Auch Melde­pflichten – z. B. bei An­griffen, System­kom­promittie­run­gen oder behörd­lichen Anfragen – ge­hören in den Ver­trag. 

Ebenso wichtig: Rechte zur Audi­tierung, Ein­blick in Log­daten und die Pflicht zur Ko­operation bei Prü­fungen (z. B. durch Aufsichts­behörden). Die Vertrags­struktur sollte Ri­si­ken ange­messen ab­bilden, ohne über­zogene Garan­tien zu fordern. Beson­ders in re­gu­lier­ten Bran­chen sind Vertragsanhänge zur regulatorischen Konformität (z. B. DORA, ISO 27001) heute Standard.

5. Verhandlungsverfahren

Security-Services entfalten nur dann Wir­kung, wenn sie reibungs­los mit beste­henden Providern und Systemen zusammen­spielen. 

Ein SOC benötigt Zugriff auf Logdaten aus Netzwerk, Servern und Cloud-Platt­formen. EDR-Systeme müssen in bestehende Client-Manage­ment-Prozesse integriert sein. 

Gleich­zeitig kann es bei Incident Response zu Über­schnei­dungen mit beste­henden Betriebs­verträgen kommen. Deshalb sollten Schnitt­stellen – technisch wie organi­satorisch – früh­zeitig identi­fiziert und abge­stimmt werden. 

Wichtig sind auch klare Zuständigkeiten bei Events mit mehreren Beteiligten (z. B. Cloud-Provider, Netzbetreiber, interne IT). Idealerweise wird dies im Vorfeld durch ein technisches Architekturdiagramm und eine Schnittstellenmatrix begleitet.