MDR Insights #6 – Eskalation in Echtzeit

Managed Detection and Response (MDR) verspricht, Bedrohungen frühzeitig zu erkennen und gezielt darauf zu reagieren – idealerweise bevor es zu echten Schäden kommt. Doch wie sieht das in der Praxis wirklich aus? Wie läuft ein Sicherheitsvorfall konkret ab, wenn das MDR-Team aktiv eingreift? Was sieht der Kunde? Und welche Rollen übernehmen Sophos, Comp4U und der Kunde?

In diesem sechsten Teil der MDR-Insights-Serie werfen wir einen detaillierten Blick hinter die Kulissen.
Anhand eines realitätsnahen Fallszenarios zeigen wir den vollständigen Ablauf einer MDR-Eskalation: von der ersten auffälligen Detection über die Erstellung eines Cases und die Entscheidung zur Eskalation – bis hin zu Maßnahmen, Kommunikation und Nachbereitung.

Ziel ist es, ein realistisches Bild davon zu vermitteln, wie MDR nicht nur „meldet“, sondern konkret handelt, dokumentiert, priorisiert und koordiniert – abgestimmt auf den Kunden und abgesichert durch klare Prozesse.

Von der Detection zur Eskalation – wie MDR arbeitet

Die Stärke eines MDR-Dienstes liegt nicht nur in der Erkennung von Bedrohungen, sondern in der geordneten Bearbeitung sicherheitsrelevanter Ereignisse. Damit das zuverlässig funktioniert, folgt Sophos MDR einem klar definierten Analyse- und Eskalationsmodell – basierend auf Telemetrie, Kontextbewertung und Kundenkonfiguration.

Die typischen Schritte:

Bereits die ersten beiden Schritte – Detection und Case-Korrelation – erfolgen vollautomatisiert durch das MDR-System, unterstützt durch moderne KI-Modelle. Diese arbeiten fehlerresistent, konsistent und in Sekundenbruchteilen – ein wesentlicher Vorteil gegenüber rein manuellen Prozessen. Die KI agiert dabei nicht isoliert, sondern als integraler Bestandteil des Analysten-Teams: schnell, skalierbar und präzise – ohne menschliche Ermüdung oder Interpretationsspielräume.

1. Detection:
   Jeder sicherheitsrelevante Vorgang (z. B. ungewöhnlicher Prozessstart, auffälliger DNS-Call, unerwartete Netzwerkkommunikation) wird als Detection erfasst – zugeordnet nach MITRE ATT&CK-Taktiken wie „Execution“, „Persistence“ oder „Command & Control“.
2. Korrelation zum Case:
   Einzelne Detections werden bewertet und bei inhaltlichem Zusammenhang zu einem Case zusammengefasst – ein sicherheitsrelevanter Vorgang mit nachvollziehbarem Verlauf.
3. Analyse durch MDR-Team:
   Der Case wird durch erfahrene Analysten des Sophos SOC geprüft. Hier fließt neben technischen Parametern auch Kontext ein: betroffener Benutzer, Asset-Wert, zeitliche Nähe zu anderen Ereignissen, Threat Intelligence, ggf. Rückmeldung durch Comp4U.
4. Eskalation (wenn erforderlich):
   Nur wenn ein Fall eindeutig sicherheitsrelevant ist und über den Schwellenwert hinausgeht, wird eine Eskalation ausgelöst. Die Schwere des Falls entscheidet dabei, welche Form der Eskalation zur Anwendung kommt:
• Kooperative Eskalation: Bei moderaten, nicht zeitkritischen Bedrohungen wird Comp4U und/oder der Kunde aktiv einbezogen.
• Vollständiger SOC-Eingriff: In Fällen mit hohem Eskalationspotenzial oder akuter Bedrohungslage handelt das MDR-Team eigenständig nach dem vordefinierten Playbook.
• Informative Eskalation: Bei unklaren, aber beobachtungswürdigen Vorfällen erfolgt eine transparente Benachrichtigung ohne unmittelbaren Handlungsbedarf.

Das System erkennt automatisch, welche Eskalationsart auf Basis der Konfiguration erlaubt ist – und welche Reaktionstrigger aktiv sind (z. B. automatische Isolation eines Endpoints).

Ein typisches Eskalationsszenario aus der Praxis

Das folgende Beispiel zeigt, wie sich ein realitätsnaher Vorfall entwickelt – vom ersten Anzeichen bis zur konkreten Maßnahme. Es handelt sich um ein vereinfachtes, aber praxisrelevantes Szenario auf Basis echter Abläufe innerhalb eines MDR-gestützten Sicherheitsbetriebs bei einem Comp4U-PlatinPLUS-Kunden.

Ausgangspunkt: Eine scheinbar harmlose, aber manipulierte E-Mail

Ein Mitarbeiter öffnet eine scheinbar legitime E-Mail mit einem Link zu einem „freigegebenen Dokument“. Die Sophos Mail Protection erkennt keine Malware, da der Link zum Zeitpunkt der Zustellung noch unauffällig ist – ein bekanntes Vorgehen bei „Delayed Activation“-Phishing-Kampagnen.

Erste Detection: Verdächtiger DNS-Traffic

Kurz nach dem Klick wird entweder über den Sophos Endpoint oder die Firewall ein ungewöhnlicher DNS-Request registriert – Ziel ist eine Domain mit kürzlicher Registrierung, die keiner bekannten Kategorie zugeordnet werden kann.

Weitere Detections: Lokale Prozesse & Netzwerkverhalten

Fast zeitgleich meldet die Sophos Firewall eine Verbindung zu einer verdächtigen IP-Adresse außerhalb Europas – basierend auf Reputationsdaten und nicht klassifizierter Herkunft. Der Endpoint zeigt einen PowerShell-Prozess mit codierten Parametern, die nicht im Klartext erkennbar sind – ein häufiges Merkmal bei verschleierten oder automatisierten Angriffen. NDR-E (sofern aktiv) erkennt untypisches Kommunikationsmuster für das betroffene Gerät.

Case-Bildung und Eskalationsentscheidung

Die MDR-Plattform verknüpft die Ereignisse automatisch zu einem Case. Aufgrund der MITRE-Zuordnung (Initial Access, Execution, Command & Control) und der erkannten Toolsignaturen wird der Fall vom Analystenteam als kritisch eingestuft.

Da es sich um einen hochpriorisierten Incident mit laufender Kommunikation zum mutmaßlichen Command&Control-Server handelt, wird eine vollständige Eskalation ausgelöst – inklusive sofortiger Isolierung des Endpoints durch das SOC.

Wer macht was ? MDR-Team, Comp4U, Kunde

Im Moment der Eskalation ist vor allem eines entscheidend: klare Zuständigkeiten und verlässliche Kommunikation. Damit im Ernstfall keine wertvolle Zeit verloren geht, sind die Rollen zwischen Sophos MDR, Comp4U und dem Kunden klar definiert – angepasst an die Eskalationsart, die sich aus der Einschätzung des MDR-Teams ergibt.

Sophos MDR (SOC):

• Analyse der Detections, Bewertung des Kontextes
• Entscheidungsfindung zur Eskalationsart
• Umsetzung technischer Sofortmaßnahmen (z. B. Endpoint-Isolation, Zugriffssperre)
• Dokumentation des Vorfalls und Vorbereitung der Übergabe

Comp4U:

• Entgegennahme und Prüfung der Eskalationsmeldung
• Validierung der Maßnahmen und ggf. Abstimmung mit dem Kunden
• Weiterführende Analyse (z. B. Sichtung betroffener Systeme, forensische Erstbewertung)
• Koordination eventueller Folgeaktivitäten (z. B. Passwortreset, MFA-Pflicht, Benutzerkommunikation)

Der Kunde:

• Wird informiert oder – je nach Eskalationskonfiguration – aktiv einbezogen
• Erhält strukturiertes Briefing zu Vorfall, Maßnahmen, offenen Punkten
• Kann mit Comp4U oder intern entscheiden, ob weitergehende Prüfungen erfolgen

Wichtig: In kritischen Situationen kann der Kunde darauf vertrauen, dass bereits reagiert wurde – vorausgesetzt, das MDR-Team ist entsprechend autorisiert, eigenständig zu handeln. Damit bleibt der Zeitvorteil in jedem Fall erhalten. Gleichzeitig bleibt die Transparenz über alle Schritte jederzeit gewahrt.

Was bleibt nach der Eskalation?

Ein erfolgreich abgewehrter Vorfall ist kein Endpunkt – sondern der Startpunkt für Verbesserungen. Das MDR-Team hört an dieser Stelle nicht auf, sondern liefert gezielt Informationen, Bewertungen und strukturierte Dokumentation. Diese bilden die Grundlage dafür, auf Kundenseite gezielte Maßnahmen zu ergreifen – mit dem Ziel, die Ursachen zu adressieren und vergleichbare Vorfälle künftig zu vermeiden.

Nach einer kritischen Eskalation erhält der Kunde:

• Eine vollständige Dokumentation des Vorfalls (Detection Chain, Maßnahmen, Zeitstempel)
• Eine forensisch belastbare Nachvollziehbarkeit der Vorgänge
• Handlungsempfehlungen für Prävention, Härtung und Monitoring

Optional: Gemeinsames Review mit Comp4U, um Lessons Learned abzuleiten

Ziel ist es, aus jedem realen Vorfall nicht nur zu reagieren, sondern systematisch zu lernen.

Das schafft Vertrauen – nicht nur bei IT-Teams, sondern auch bei der Geschäftsführung und im Rahmen externer Audits. Denn die empfohlenen Maßnahmen umfassen sowohl technische Aspekte (z. B. Härtung, Monitoring, Segmentierung) als auch organisatorische Anpassungen (z. B. Richtlinien, Schulung, Zuständigkeiten). Comp4U unterstützt hier gemeinsam mit dem eigenen Tochterunternehmen Datiq je nach Bedarf in beiden Bereichen – praxisnah und ergebnisorientiert.

Ihr Vorfall – unser Einsatzplan

Comp4U sorgt nicht nur für die schnelle Reaktion im Ernstfall – sondern auch dafür, dass aus Vorfällen Sicherheit wird: mit klarer Struktur, vollständiger Transparenz und konkreten Verbesserungen.

Sie möchten wissen, wie Sie MDR optimal in Ihre Security-Strategie integrieren – oder wie Playbooks, Audits und Eskalationslogik konkret auf Ihre Umgebung abgestimmt werden können?

Unsere Security-Expert:innen helfen Ihnen gerne weiter – fundiert, produktunabhängig und auf Augenhöhe.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500