Der Kunde ist ein etablierter IT-Dienstleister im Gesundheitswesen, dessen Geschäftsmodell auf der sicheren Verarbeitung hochsensibler Daten basiert. Angesichts steigender regulatorischer Anforderungen (u. a. §75b SGB V) und zunehmender Cyber-Bedrohungen entschied sich das Unternehmen für den Aufbau einer modernen Cloud-Sicherheitsarchitektur mit SIEM-Integration und SOC-Betrieb durch die PROTOS Technologie GmbH.

Regulierung & Bedrohungen im Gleichschritt

Das Projekt stand von Beginn an vor der Aufgabe, eine leistungsfähige SIEM- und SOC-Architektur aufzubauen, die sowohl den steigenden Cyberbedrohungen als auch den hohen regulatorischen Anforderungen gerecht wird. Im Mittelpunkt stand dabei die Herausforderung, sensible Gesundheitsdaten zuverlässig zu schützen und gleichzeitig die Nachweispflichten sowie eine revisionssichere Protokollierung sicherzustellen.

Neben der technischen Absicherung galt es, die Anforderungen aus ISO 27001, BSI-KRITIS, NIS2 und DSGVO vollständig zu erfüllen und in die Sicherheitsarchitektur zu integrieren. Ein weiteres Ziel war es, die Reaktionszeiten im Incident Response signifikant zu verkürzen und ein hybrides Betriebsmodell nach dem Prinzip der „Shared Responsibility“ zu etablieren, in dem klare Eskalationswege und Kommunikationsketten definiert sind.

Da die Mitarbeitenden des Kunden über unterschiedliche Vorkenntnisse im Bereich Cybersecurity verfügten, musste zudem ein umfassendes Awareness- und Change-Management-Programm entwickelt werden. Auf diese Weise sollten sowohl die technische Resilienz als auch die organisatorische Sicherheit nachhaltig gestärkt werden.

Projektanfang: Von der Ist-Analyse zur Roadmap für Sicherheit

Im Rahmen des Projektstarts führte PROTOS eine umfassende Analyse der technologischen und organisatorischen Gegebenheiten durch. Dabei wurde eine Ist-Analyse der IT-Sicherheitsarchitektur, Compliance-Prozesse und bereits bestehender Tools vorgenommen.

„Wir haben zunächst gemeinsam mit dem Kunden die bestehende Infrastruktur kartiert und alle sicherheitsrelevanten Systeme – von Firewalls über Entra ID bis zu den M365-Umgebungen – erfasst. Dabei ging es nicht nur um Technik, sondern auch um organisatorische Abläufe und Verantwortlichkeiten. Nur so konnten wir eine saubere Roadmap entwickeln, die sowohl regulatorische Vorgaben als auch die Unternehmensziele berücksichtigt“, Jan Reimers, Vice SOC Manager & Analyst bei PROTOS. 

Von Korrelation bis Automatisierung – Security, die mitwächst

Im Anschluss an die Bestandsaufnahme konzipierte und implementierte PROTOS eine Cloud-basierte SIEM-Lösung auf Basis von Microsoft Sentinel.

Zentrale Schritte zusammengefasst:

• Anbindung aller sicherheitsrelevanten Systeme (Azure Tenants, Firewalls, Entra ID, M365, Microsoft Defender)

• Aufbau einer CMDB für Asset-, Service- und Organisationsmodellierung

• Entwicklung eines hybriden SOC-Betriebsmodells inkl. Eskalationsketten und SLAs

• Umsetzung von über 200 neuen oder angepassten Erkennungsregeln (KQL) und automatisierten SOAR-Playbooks

• Aufbau eines Vulnerability-Management-Systems mit Qualys VMDR und Defender VM

Kevin Jägle, SOC Analyst bei PROTOS, berichtet aus der Praxis: “Besonders wichtig war der Aufbau der API-Integrationen und CI/CD-Pipelines, um Sicherheits-Workflows zu automatisieren. Wir haben früh auf Infrastructure-as-Code gesetzt, damit Anpassungen an Policies und Compliance-Checks reproduzierbar und skalierbar bleiben. Damit konnten wir die Grundlage für ein modernes SecDevOps-Modell schaffen.“

Im Betrieb: Reaktion in Minuten statt Stunden 

Nach der erfolgreichen Implementierung übernahm das PROTOS SOC den 24/7-Betrieb. Durch kontinuierliches Monitoring, Threat Hunting und automatisierte Reaktionsprozesse werden Sicherheitsvorfälle frühzeitig erkannt und behandelt.

„Wir konnten bereits wenige Wochen nach dem Go-Live einen verdächtigen Zugriff über kompromittierte Anmeldedaten in der Azure-Umgebung identifizieren. Dank Sentinel-Korrelation und automatisierten SOAR-Playbooks wurde der Account sofort gesperrt und der Angriff eingedämmt. Innerhalb von Minuten war der Vorfall unter Kontrolle – ohne dass es zu einem Datenabfluss kam“, Erik Driene, SOC Analyst bei PROTOS. 

Neben der operativen Abwehr begleitet PROTOS den Kunden beim Aufbau eines eigenen SOC-Teams im Rahmen eines „Cloud Center of Excellence“ und führt Awareness-Trainings durch, um Mitarbeiter für aktuelle Cybergefahren zu sensibilisieren.

Sicherheit in Zahlen: Vom Audit bis zur Reaktionszeit

• Reduzierung der durchschnittlichen Incident-Response-Zeit von >4h auf <15 Minuten

• Einführung von 200+ Use Cases & Korrelationen für SIEM-Regeln

• 100 % Erfüllung der regulatorischen Anforderungen (ISO 27001, DSGVO, BSI-KRITIS, NIS2)

• Etablierung eines hybriden SOC-Betriebsmodells mit klaren Eskalationswegen

• Schulung von 50+ Mitarbeitern im Bereich Cybersecurity & Compliance

Mit PROTOS: Zukunftssichere Cloud-Sicherheit für KRITIS-Umgebungen 

Mit der Unterstützung von PROTOS Technologie konnte der Kunde eine hochsichere, regulatorisch konforme und zukunftssichere Cloud-Sicherheitsarchitektur etablieren. Die Kombination aus strategischer Beratung, technischer Umsetzung und operativem SOC-Betrieb stellt sicher, dass kritische Infrastrukturen geschützt sind und die Resilienz gegenüber Cyberangriffen nachhaltig gesteigert wurde.

„Für uns war es entscheidend, nicht nur ein Projekt umzusetzen, sondern die Weichen für eine langfristige Sicherheits- und Cloud-Strategie zu stellen. Der Kunde profitiert heute von einer Architektur, die sowohl technologisch als auch organisatorisch skalierbar ist, regulatorische Anforderungen dauerhaft erfüllt und mit zukünftigen Bedrohungslagen mitwachsen kann. Damit ist nicht nur die aktuelle Sicherheit gewährleistet – es entsteht eine nachhaltige Basis, auf der digitale Innovation und regulatorische Sicherheit Hand in Hand gehen“, Karsten Quellec, CTO & SOC Manager bei PROTOS.

Das Projekt zeigt beispielhaft, wie PROTOS als vendor-unabhängiger Partner Kunden in hochregulierten Branchen bei der Umsetzung komplexer Cybersecurity-Anforderungen begleitet – von der Planung über die technische Implementierung bis hin zum langfristigen Betrieb.

Sie haben Fragen zu unserem Leistungsangebot rund um Cybersecurity und unserem Bericht?

Schreiben Sie unserem Experten Robert Hackenfort.