TERTIA zieht mit SOC-as-a-Service alle Register
Herausforderung
Die Notwendigkeit professioneller Endpoint Security hat TERTIA als Bildungsträger mit deutschlandweit rund 150 Niederlassungen früh erkannt. Seit vierzehn Jahren vertraut das Unternehmen auf die Lösungen von Panda Security/Cytomic, heute WatchGuard. Der Funktionsumfang wurde über die Zeit sukzessive ausgebaut, auch bedingt durch die steigende Anzahl an Mitarbeitenden im Homeoffice. Mithilfe der intuitiven Monitoring-Möglichkeiten konnte das IT-Team dabei in den letzten Jahren eine eindrucksvolle Zunahme der Angriffsversuche beobachten. „Nachdem unser System nachweislich immer häufiger attackiert wird, war uns schnell klar, dass wir uns nicht auf dem Status quo ausruhen dürfen. Aus den Erzählungen anderer Unternehmen wissen wir bestens, wie groß der Schaden im Ernstfall sein kann: Ein mehrwöchiger Totalausfall des IT-Systems und damit einhergehende, aufwendige Wiederherstellungsarbeiten sind wohl ein Horrorszenario für jede IT-Abteilung“, so Marcel Mörchen, IT-Leiter Technik bei TERTIA. Es reifte der Plan zur Einführung eines Security Operations Centers (SOC), das die Bedrohungslage rund um die Uhr überwacht.
Lösung
Von der ursprünglichen Idee, ein solches selbst aufzubauen, kam man bei TERTIA angesichts der hohen Initialkosten für eine entsprechend leistungsfähige Lösungslandschaft inklusive nötigem Personalaufwand schnell ab. Die Entscheidung fiel schließlich für WatchGuard MDR – aus mehreren Gründen: Neben der einfachen Implementierung zählte vor allem die gute Erfahrung der letzten vierzehn Jahre: „Der Faktor Vertrauen nimmt bei der Umsetzung von Security-Themen einen hohen Stellenwert ein, gerade wenn es um die nötige Rechtevergabe zum Zugriff auf das IT-System geht. Die Zusammenarbeit mit WatchGuard haben wir immer als positiv und konstruktiv erlebt, auch wenn es mal Probleme zu lösen gab“. Im März 2024 fiel der offizielle Startschuss für den MDR-Service von WatchGuard.
Ergebnis
Einen Eindruck von der Reaktionsstärke des WatchGuard SOC konnte sich TERTIA bereits in der Testphase verschaffen. Mörchen erinnert sich: „Eines Tages kam die Nachricht aus dem SOC, dass es im Hinblick auf IT-Bewegungen Auffälligkeiten gab. Die Ursache konnte zügig gefunden und behoben werden. Jedoch war es für uns absolut beachtlich, wie schnell der Hinweis uns erreichte und in welcher Detailtiefe die Scans erfolgen“. Die Logdaten der insgesamt 4.300 Endgeräte von TERTIA werden im SOC von WatchGuard konsequent überwacht. Um im absoluten Notfallszenario keine Zeit zu verlieren, sind die WatchGuard-Security-Experten zudem bevollmächtigt, verdächtige Clients direkt zu isolieren, um einer möglichen Ausweitung des Angriffs im Netzwerk vorzubeugen. Parallel dazu erfolgt die Rücksprache mit dem WatchGuard-Partner Frederic Nowak (Geschäftsführer von Nowak EDV) im Hinblick auf weitere Schritte. Abwarten und damit gegebenenfalls in Kauf nehmen, dass die Verseuchung weiter voranschreitet, ist keine Option. „Von einem isolierten Endgerät geht keine Gefahr aus und wir gewinnen wertvolle Zeit. Wenn ein Mitarbeiter kurzfristig nicht arbeiten kann, ist das was ganz anderes, als wenn die gesamte Firma zum Erliegen kommt, weil man zu lange gezögert hat“, wie Nowak betont. Im Zuge dessen lassen sich Endgeräte, die besonderer Aufmerksamkeit bedürfen – wie beispielsweise Server, gezielt priorisieren. Darüber hinaus geben detaillierte Berichte regelmäßig und leicht nachvollziehbar Auskunft zum Status quo der Schutzvorkehrungen und machen beispielsweise darauf aufmerksam, wenn ein Dienst keine Rückmeldung gibt oder es Aktualisierungsbedarf bei den Clients gibt. So kann das IT-Team strukturiert prüfen und auf Endpoints erkannte Lücken gezielt schließen. „Für uns geht das Konzept auf. Mit den Experten von WatchGuard im Rücken sehen wir uns bestens aufgestellt. Meldungen über neue, erfolgreiche Angriffsversuche, die Unternehmen weltweit in Atem halten, nehmen wir inzwischen weitaus entspannter zur Kenntnis“, so Marcel Mörchen abschließend.