Vom Systemhaus zum Managed Security Service Provider: pco GmbH baut erfolgreiche SOC-Services auf mit Trend Micro

Überblick

Seit der Gründung 1984 hat sich die Osnabrücker pco GmbH (www.pcoonline.de) von einem überwiegend regional tätigen Systemhaus zu einem der führenden deutschen IT-Dienstleister entwickelt. In den letzten Jahren haben sich dabei insbesondere Security Operations Center (SOC)-Services, bei denen pco hauseigene Expertise mit technischen Infrastrukturen & Experten-Support von Trend Micro verbindet, als stark nachgefragter Schwerpunkt im umfangreichen Leistungsportfolio etabliert. Die Transformation vom reinen Systemhaus mit Bereitschaftsdienst zum 24x7 Managed Security Service Provider (MSSP) erfolgte dabei schrittweise und als logische Konsequenz der veränderten Kundenbedürfnisse und technischen Möglichkeiten

Organische Service-Entwicklung durch Kundenbedarf

„Ab 2018 haben sich viele unserer mittelständischen Kunden auf den Weg in die Cloud gemacht“, sagt Marcel Sievers, Business Development Manager bei pco. „Trend Micro hatte zu diesem Zeitpunkt mit seinen Software-as-a-Service (SaaS)-Angeboten bereits überzeugende Lösungen für Sicherheit in und aus der Cloud im Programm. Kunden mussten also nicht mehr alle Systeme selbst im Rechenzentrum betreiben, sondern konnten dieselbe Leistung mit weniger Aufwand und stabiler von Trend Micro beziehen. Das Potenzial war unübersehbar.“

In Folge konnte pco nahezu alle Kunden von den Effizienzvorteilen überzeugen und auf SaaS-Lösungen mit entsprechenden Lizenzmodellen umstellen. Der Trend zur Cloud war also bereits in vollem Gange, als das Thema durch die Covid-Pandemie und Homeoffice-Pflicht noch zusätzliche Fahrt aufnahm. Aber Ausnahmesituationen ziehen kriminelle Elemente an, und so stieg die Zahl der Cyberangriffe auch bei pco Kunden. Es folgte eine Welle von Hilferufen, die verdeutlichte, wie hoch der Bedarf an professionellem Security Support tatsächlich war.

Fachkräftemangel gefährdet Sicherheit

„Bei Notrufen können wir nicht Nein sagen“, so Marcel Sievers, daher begleitete pco vor Ort mehrere große Cybervorfälle bei mittelständischen Unternehmen mit 3.000 bis 5.000 Mitarbeitern. „Bei diesen Rettungsmaßnahmen hat unser Team erkannt: Trend Micro bietet eine Top-Lösung nicht nur für akute Vorfälle, sondern auch für Früherkennung und Nachforschung.“ In Folge baute pco seine Leistungen um das Trend Micro Portfolio herum auf und hatte damit unmittelbaren Erfolg bei Mittelstandskunden, aber dann offenbarte sich ein Problem: „Viele Kunden hatten in die Sicherheit investiert, aber kritische Alarme wurden zu spät entdeckt. In den Log-Dateien konnten wir alle Frühwarnungen detailliert erkennen, es fehlten in den Unternehmen nur einfach die Mitarbeiter für Auswertung und Reaktion. Diese Aufgaben können von der IT-Abteilung nicht nebenbei erledigt werden.“

Bei unserem SOC-Service arbeiten wir seit Jahren hervorragend mit Trend Micro zusammen.

Marcel Sievers
Business Development Manager, pco

Aus Rufbereitschaft wird 24x7 SOC

Um diesen Kundenbedarf zu adressieren, hat sich pco vom klassischen Bereitschaftsmodell eines Systemhauses verabschiedet und ein SOC mit dedizierter Sicherheitsbereitschaft geschaffen. Gegen eine Bereitstellungsgebühr erhalten Kunden die Möglichkeit, Alarme und Benachrichtigungen direkt an pco zu übergeben. Im SOC werden Netzwerke, Server, Internetservices und alle anderen sicherheitsrelevanten Systeme oder Log-Dateien 24x7 von den pco SOC-Analysten überwacht und analysiert.

Bei Auffälligkeiten und akuten Gefahren löst die Leitstelle sofort aussagekräftige Alarme aus und leitet angepasste Abwehrmaßnahmen ein. In enger Zusammenarbeit mit dem Second Level Support der IT-Abteilung beim Kunden können bei Bedarf weiterführende Maßnahmen geplant und sofort umgesetzt werden. Zudem hat pco spezielle Runbooks entwickelt, die bei diesen Prozessen Unterstützung liefern.

Trend Micro XDR als technologische Basis

Der SOC-Service von pco basiert technologisch auf Trend Micro XDR, einer Plattform für Extended Detection & Response (XDR) im gesamten Unternehmen. XDR erfasst und korreliert automatisch sicherheitsrelevante Daten über Endpunkte, Email, Server, Cloud-Workload und Netzwerke hinweg. Der so entstandene Data Lake wird zusätzlich mit Trend Micro Threat Intelligence und Schwachstelleninformationen der Zero Day Initiative angereichert und mittels fortschrittlicher Methoden wie Machine Learning analysiert. Bei einem Managed XDR Service überwachen und analysieren zudem Trend Micro Bedrohungsexperten ununterbrochen die eingehenden Telemetriedaten aus der Kundenumgebung, sodass Unternehmen früher vor neuen und versteckten Gefahren gewarnt werden.

Teamwork bei jedem Vorfall

„Bei unserem SOC-Service arbeiten wir seit Jahren hervorragend mit Trend Micro zusammen. Unsere Experten bringen ihr fach- und kundenspezifisches Know-how ein und übernehmen das Krisenmanagement, während uns die Kollegen von Trend Micro den Rücken freihalten und im Hintergrund Analysen, Reports und Empfehlungen liefern“, so Marcel Sievers.

Das Krisenmanagement erstreckt sich dabei nicht nur auf den strukturierten technischen Wiederanlauf, sondern umfasst auch die offene Kommunikation mit Geschäftsführungen und den Kontakt zu Cyberversicherungen oder Strafverfolgungsbehörden. Langjährige Erfahrung und die Position als BSIanerkannter APT Response Provider ermöglichen es pco dabei, viele Klippen im vornherein zu umschiffen, zum Beispiel bei der Klärung von Haftungsfragen im Kundensinne. Durch die etablierte Zusammenarbeit mit den LKAs der Bundesländer und dem Bundeskriminalamt ist es außerdem bereits gelungen, die Veröffentlichung sensibler gestohlener Daten zu verhindern und Lösegeldforderungen von Ransomware-Erpressern ins Leere laufen zu lassen.

Die steigende Komplexität unserer Angriffsoberflächen und die permanenten Umwälzungen der Bedrohungslandschaft übersteigen die Möglichkeiten interner IT-Abteilungen. Mit dem pco SOC-Service und Trend Micro Service One Complete stehen uns in jeder Gefahrensituation Weltklasse-Experten zur Seite und unsere IT-Abteilung kann sich auf ihre eigentliche Kernaufgabe konzentrieren: die Unterstützung und Weiterentwicklung unseres Geschäftsbetriebs.

Stefan Siniawa
Team Lead Systemintegration and IT-Support Engbers

Modehersteller Engbers vertraut auf pco und Premium-Support

Die Vorteile eines externen SOCs überzeugten unter anderem auch die Engbers GmbH, ein deutsches Familienunternehmen mit Sitz im nordrhein-westfälischen Gronau. Der Männermodespezialist entwirft, produziert und verkauft Herrenbekleidung in Deutschland und Österreich und verfügt über 300 Geschäfte sowie rund 1,780 Mitarbeiter. Engbers kann damit exemplarisch stehen für viele mittelständische Kunden des pco SOC-Service.

„pco und Trend Micro haben mit uns gemeinsam sehr engagiert nach einer optimalen Lösung gesucht und dabei eingehend unsere Infrastruktur, Schwachstellen und Anforderungen analysiert“, sagt Stefan Siniawa, Team Lead Systemintegration & IT-Support bei Engbers. „Der SOC-Service bietet uns heute die Vorteile einer 24x7 Überwachung durch Sicherheitsexperten, ohne die immensen Kosten und den Fachkräftebedarf eines internen SOCs.“ Aufgrund der erforderlichen engen Zusammenarbeit wünschte sich engbers außerdem einen deutschsprachigen Partner in geografischer Nähe, der im Ernstfall vor Ort und ohne Sprachbarrieren Unterstützung leisten kann.

Incident Response mit Trend Micro Service One Complete

Zusätzlich zum pco SOC-Service hat sich Engbers für den Premium-Support Trend Micro Service One Complete entschieden. Darin enthalten ist globaler 24x7x365 Support mit priorisierter Fallbehandlung sowie ein designierter Service Manager und ein spezieller Onboarding-Service.

Service One Complete Kunden profitieren darüber hinaus von Targeted Attack Detection, mit der nach frühen Anzeichen für Angriffe gesucht wird. Targeted Attack Detection liefert validierte Hoch-Risiko-Alarme und informiert über gezielte Angriffe. Unternehmen erhalten Empfehlungen für nächste Schritte, die auf Prognosen der bevorstehenden Angriffsaktionen basieren. Außerdem erhalten Service One Kunden Zugriff auf das Trend Micro Incident Response Team, eine Gruppe aus hochqualifizierten Experten für Krisenmanagement, Threat Hunting, Forensik und Compliance.

SOAR entlastet SOC und macht in Zukunft den Weg frei

Selbst anhaltender Erfolg kann herausfordernd sein: Wachsende Kundenzahlen und steigende Sicherheitsvorfälle führten dazu, dass die SOC-Analysten einen zeitweiligen Onboarding-Stop für Neukunden einführen mussten, um die Servicequalität nicht zu gefährden. Diese Situation wurde durch Einführung einer leistungsstarken Security Orchestration, Automation and Response (SOAR) entschärft, mit der Trend Micro sein Portfolio erweitert hat.

Mit der SOAR-Lösung können MSSPs heute den Incident Response-Prozess über mehrere Kunden hinweg verwalten. Darüber hinaus profitieren Service Provider von intelligenter Log-Aggregation, welche die Datenaufnahme und -anreicherung aus unterschiedlichen Quellen und Sicherheitslösungen von Trend Micro und Drittanbietern (z.B. Firewall, Citrix Netscaler) ermöglicht.

„Mit der Einführung des Trend Micro SOAR und SIEM haben wir noch einmal eine deutliche Effizienzsteigerung im SOC erreicht und unsere Analysten vor allem in der Nachtschicht von Routineaufgaben entlastet“, sagt Marcel Sievers. „Kunden profitieren zudem stark durch eine viel breitere Perspektive auf ihre Angriffsoberflächen, sodass Reaktionen noch weiter beschleunigt werden.“

Transparente Kostenstruktur begeistert Kunden

Durch den personellen Ausbau des SOCs und die Einführung zusätzlicher Technologien kann pco nun einen umfangreicheren Service, schnellere Reaktionszeiten und im Umkehrschluss, mehr Sicherheit für seine Kunden bieten. Auf Basis der jetzt verfügbaren technischen Möglichkeiten wird nun die Kostenstruktur für den Kunden deutlich transparenter: In der Vergangenheit zahlten Kunden eine Grundgebühr plus einer Summe für die angefallene Arbeitszeit der Analysten. Ob dieser Aufwand durch echte Alarme oder Falschmeldungen verursacht wurde, war dabei egal. So konnte es zu monatlichen Rechnungen mit stark voneinander abweichenden Beträgen kommen. Im neuen Preismodell ist die Bearbeitung von False Positives hingegen vollkommen umsonst, was bei einem Anteil von 90 Prozent am Gesamtaufkommen einen deutlichen Unterschied macht und dem Kunden bessere Planungssicherheit bietet.

„Die bessere finanzielle Planbarkeit in Verbindung mit der erweiterten Sicherheit hat fast alle unserer Kunden sofort überzeugt, auch wenn die Gesamtkosten für unseren Service gestiegen sind“, sagt Marcel Sievers. „Mit unserem SOC haben wir uns sowohl wirtschaftlich wie auch technologisch optimal im Markt positioniert, was von unseren Kunden honoriert wird. Insofern sehen wir optimistisch in die Zukunft und freuen uns auf die weitere Zusammenarbeit mit Trend Micro.“