Der Tag, an dem Cybersecurity plötzlich Chefsache wurde
Strukturierte Risikosteuerung in einem internationalen Netzwerkbetrieb
Es gibt diese Termine, die brennen sich ein. Bei mir war es eine Vorstandssitzung an einem Dienstagmorgen. Auf der Agenda stand ein Punkt, der erst einmal nach „regulatorischem Update“ klang. Tatsächlich ging es um die Auswirkungen der NIS2-Richtlinie und damit um eine Entscheidung, die deutlich größer war als ein reines Compliance-Thema.
Also CISO in einem international tätigen Netzwerkunternehmen stehe ich hier in der Pflicht. Mehr als 20 Netzknoten weltweit, über 4.000 Router in rund 250 Kundennetzwerken, dazu ein Team von über 150 Mitarbeitenden, die geschäftskritische SD-WAN- und SASE-Umgebungen betreuen. Unsere Kunden erwarten, dass ihre globale Konnektivität immer stabil, performant und einfach sicher läuft. Punkt.
Die Frage des Vorstands war nüchtern formuliert:
„Sind wir NIS2-pflichtig – und was heißt das für uns konkret?“
Eine einfache Frage. Die Antwort war es nicht.
Realität statt Bauchgefühl: Die IT-Musterung
Mir war schnell klar: Wir brauchen Fakten. Keine PowerPoint-Annahmen, keine „wird schon passen“-Haltung. Also haben wir RIEDEL Networks mit einer umfassenden IT-Musterung beauftragt. Ziel war es, eine strukturierte Analyse unserer IT-Sicherheitsarchitektur in Kombination mit einer klaren regulatorischen Einordnung zu erhalten. Warum? Um eine belastbare Entscheidungsgrundlage zu haben.
Die Ergebnisse waren direkt. Teilweise unangenehm. Aber genau das war notwendig: Wir bekamen eine klare Bewertung, wo wir regulatorisch stehen. Außerdem erhielten wir eine detaillierte technische Bestandsaufnahme unseres aktuellen Sicherheitsniveaus und sehr konkrete Handlungsempfehlungen, welche Themen wir direkt, und welche eher sekundär angehen sollten. Die klare Priorisierung nach Risiko und Umsetzbarkeit hat uns enorm dabei geholfen, den Überblick zu behalten und uns nicht nur vage mit den Ergebnissen zu befassen.
Unterm Strich war klar: Wir bewegen uns eindeutig im relevanten Umfeld der NIS2-Anforderungen. Unsere Security-Landschaft funktionierte – aber sie war nicht auf das Zielniveau ausgerichtet, das künftig erwartet wird. Nach der Präsentation saß ich noch einen Moment im Raum und dachte:
Das Thema lässt sich nicht einfach via Patch lösen. Das ist Strukturarbeit. Und zwar richtig.
Der Scheideweg: Eigenes SOC oder Managed Security?
Damit stand die strategische Frage im Raum: Wählen wir den DIY-Ansatz und bauen uns ein eigenes Security Operations Center auf, oder gehen wir den Weg über einen Managed Security Service Provider?
Ein internes SOC klingt erst einmal nach maximaler Kontrolle. In der Realität bedeutet das allerdings einen 24/7-Schichtbetrieb, regelmäßig zu schulendes Personal, eine komplett neue Tool- und Monitoring-Architektur inkl. langwierige Analyse- und Auswahlphase mit teils jahrelanger Lizenzbindung und viele weitere Stolpersteine, die das Thema schon in der theoretischen Planung zu einem Schreckgespenst machten. Insbesondere das selbstständige Design von Playbooks, Regeln und Prozesse für Incidents und die dazugehörige Compliance-Dokumentation schreckten mich und mein Team ziemlich ab. Uns war klar, dass der Schlüssel zur erfolgreichen Cybersecurity in der permanente Weiterentwicklung der gesamten Struktur liegt. Und zwar nicht nur ein Jahr lang, sondern dauerhaft.
Ich habe gerechnet. Mehrfach. Realistisch hätten wir zwölf bis achtzehn Monate gebraucht, um ein professionelles SOC aufzubauen. Das hätte zugleich erhebliche Investitionen und eine Lösung für den bekannten Fachkräftemangel als zusätzliches Risiko erforderlich gemacht. Ganz ehrlich: Das war mir als Zusatzprojekt einfach zu heiß. Im Vorstand habe ich damals gesagt: „Ein SOC kauft man nicht. Man baut es. Und das dauert Jahre. Die Frage ist nur, ob wir diese Zeit haben.“
Ein SOC kauft man nicht. Man baut es. Und das dauert Jahre. Die Frage ist nur, ob wir diese Zeit haben.
Zeit war genau der kritische Faktor. Der regulatorische Druck war da. Das Risiko ebenfalls. Also haben wir uns bewusst gegen den Eigenbau entschieden und für die Einführung von RIEDEL Enterprise Defense [R.E.D.].
Vier Wochen, die viel verändert haben
Was danach passierte, hat selbst mich überrascht. Innerhalb von weniger als vier Wochen wurde R.E.D. in unserer globalen Infrastruktur implementiert. Dabei war die enge Abstimmung mit unseren internen Teams der Schlüssel zum Erfolg. Klar, es war intensiv, es war teilweise auch chaotisch, aber es war vor allem zielgerichtet.
Angeschlossen wurden mehr als 20 internationale Netzknoten, über 4.000 Router, rund 250 Kundennetzwerke, sämtliche Endpoints unserer Mitarbeitenden und unsere komplette Unternehmensinfrastruktur. Also im Grunde alles, was kritisch ist.
Parallel startete die Onboarding-Phase. Und hier wurde deutlich, dass wir nicht einfach nur eine neue Technologie eingeführt haben, sondern ein einen großen Schritt in Richtung Resilienz. Gemeinsam mit dem Team von RIEDEL wurden Incident-Playbooks definiert, Eskalationsstufen festgelegt, Verantwortlichkeiten sauber geregelt und Reporting-Formate exakt auf meine Anforderungen als CISO zugeschnitten.
Ich erinnere mich noch genau daran, als ich zum ersten Mal auch im täglichen Betrieb den Vorteil so richtig gespürt habe. Nämlich genau an dem Tag, als ich die zuvor in mühevoller Kleinstarbeit gesammelten Einzelreportings aus den letzten Jahren durchgesehen und archiviert habe. Im Vergleich hierzu habe ich jetzt ein wirklich korreliertes Lagebild. Keine fragmentierten Einzelmeldungen mehr aus verschiedenen Tools, oder ewig lange E-Mail Ketten mit Beschreibungen und Verläufen. Stattdessen einen festen Ansprechpartner, der mir auf Wunsch Reportings erstellt und Daten in Echtzeit abrufen kann. Das klingt banal vielleicht auf den ersten Blick banal, ist es aber nicht. Es verändert die Qualität von Entscheidungen massiv.
Von Reaktion zu Steuerung
Vor der Einführung von R.E.D. war Security bei uns in Teilen reaktiv. Einzelne Meldungen, punktuelle Bewertungen, viel manuelle Abstimmung. Heute überwacht ein Managed SOC unsere Infrastruktur rund um die Uhr. Ereignisse werden analysiert, priorisiert und im an uns strukturiert eskaliert.
Ich erhalte regelmäßige Reports und KPI-Dokumentationen zur Weitergabe an unser Management und bei Bedarf detaillierte Incident-Analysen mit klaren Empfehlungen. Das gibt mir vollständige Transparenz über die aktuelle Bedrohungslage, unsere Reaktionszeiten und die die Qualität der Incident-Bearbeitung bzw. auftretender Trends. Für mich ist das eine ungemeine Erleichterung, denn ich kann gegenüber dem Vorstand guten Gewissens berichten. Zahlen- und faktenbasiert und ohne das ungute Bauchgefühl und die Frage im Hinterkopf, ob wir wirklich alles mitbekommen. Ich weiß was bei uns passiert und wie wir reagieren. Das ist ein Unterschied, den man erst versteht, wenn man ihn erlebt hat.
ISO 27001:2022 – plötzlich machbar
Ein weiterer Meilenstein war unsere erfolgreiche Zertifizierung nach ISO/IEC 27001:2022. Was früher wie ein bürokratisches Mammutprojekt gewirkt hat, wurde quasi zur logischen Konsequenz der neuen Struktur. Prozesse waren klar definiert, Maßnahmen dokumentiert, Workflows nachweisbar eingeführt und die Verantwortlichkeiten klar definiert. Für die Auditoren konnten wir also ein integriertes Sicherheitsframework präsentieren, anstatt auf ein Sammelsurium einzelner Tools zu blicken, dem wir selbst nicht wirklich trauten. Ohne die zuvor etablierte SOC- und SIEM-Struktur wäre die Zertifizierung um einiges schwieriger und sicherlich nicht so schnell möglich gewesen, da bin ich mir ziemlich sicher.
Fokus auf das Kerngeschäft
Wir betreiben komplexe SD-WAN- und SASE-Infrastrukturen für unsere Kunden. Unser Produktversprechen orientiert sich an in Konnektivität, Performance, Stabilität und Servicequalität. Cybersecurity darf dieses Versprechen nicht ausbremsen, sondern muss dazu beitragen es zu gewährleisten.
Heute ist IT-Security für uns kalkulier-, mess-, skalier- und auditierbar. Das Thema ist nicht mehr von operativer Unsicherheit geprägt. Die Kosten sind klar kalkulierbar. Die Prozesse definiert. Die Risiken sind transparent. Und ja nicht zu vergessen ist die sehr wichtige menschliche Seite: Wir schlafen nachts ruhiger. Nicht, weil es weniger Bedrohungen gibt. Sondern weil wir wissen, dass nichts unbemerkt bleibt. Also zumindest sehr wahrscheinlich nichts.
Rückblick: Die eigentliche Entscheidung
Rückblickend war die Entscheidung gegen ein eigenes SOC keine Frage unserer technischen Kompetenz. Es war eine Managemententscheidung. Wir haben uns gefragt, wo wir unsere Ressourcen am sinnvollsten einsetzen. Worin unser echter Wettbewerbsvorteil liegt. Welche Risiken wir selbst tragen wollen und welche wir professionell managen lassen sollten.
Mit der IT-Musterung und der Einführung von R.E.D. haben wir regulatorische Sicherheit geschaffen, operative Resilienz aufgebaut und unser ganz eigenes Cybercrime-Risiko strukturiert reduziert. Für mich persönlich hat sich die Rolle spürbar verändert. Früher war ich häufig derjenige, der gewarnt hat. Heute liefere ich belastbare Zahlen, strukturierte Berichte und konkrete Entscheidungsgrundlagen. Security ist für uns kein reiner Kostenfaktor mehr. Sie ist ein strategischer Stabilitätsfaktor. Und genau das war am Ende das Ziel.
Fazit
Die Einführung von [R.E.D.] nach der IT-Musterung durch RIEDEL Networks war für uns kein klassisches IT-Projekt. Es war ein unternehmerischer Wendepunkt. Wir haben den regulatorischen Druck genutzt, um strategische Klarheit zu schaffen und durch die nun integrierte Sicherheitsarchitektur alte Strukturen und Gewohnheiten abgebaut.
Und ich kann heute sagen stolz sagen:
Wir haben nicht nur Compliance erreicht. Wir haben echte Kontrolle gewonnen.
