Hier finden Sie Antworten auf die wichtigsten Fragen zu ForeNova, unserer MDR-Lösung und unseren Services. Die FAQs geben einen schnellen Überblick über Funktionen, Betrieb, Support und technische Rahmenbedingungen.
ForeNova ist ein in Europa gegründetes Cybersecurity-Unternehmen mit der Mission, Managed Detection and Response (MDR) auf Enterprise-Niveau für den Mittelstand in ganz Europa zugänglich zu machen. Wir bieten erstklassigen Schutz zu attraktiven Konditionen, indem wir unsere starke lokale Präsenz in Deutschland mit fortschrittlicher Technologie und der Expertise unseres strategischen Partners Sangfor, einem führenden Technologieunternehmen aus Asien, verbinden.
Unser 24/7 deutschsprachiges SOC in Nürnberg, kombiniert mit dedizierten lokalen Customer Success Managern (CSMs), bietet MDR-Schutz auf Enterprise-Niveau, zugeschnitten auf den Mittelstand, sowie MSP-/MSSP-Partner. Wir verbinden moderne Technologien für Endpoints, Netzwerken, Firewalls, M365 und Cloud-Workloads mit globaler Expertise und persönlicher Betreuung. So sichern wir GDPR-/NIS2-Konformität, attraktive Preise und eine nahtlose Integration in bestehende Umgebungen.
Sangfor ist ein strategischer Technologiepartner von ForeNova. Dadurch verbinden wir leistungsstarke Technologie mit lokaler, europäischer Betriebs- und Fachkompetenz und liefern hochwertige MDR-Services aus unserem SOC in Deutschland. Wir nutzen die Technologie von Sangfor, passen sie an unsere Anforderungen an und entwickeln sie für den europäischen Markt weiter.
Unser primäres Security Operations Center befindet sich in Nürnberg, Deutschland. Die gesamte kundennahe Kommunikation, Berichterstattung und Unterstützung wird von unserem deutschsprachigen Team übernommen. Für einen durchgängigen 24/7/365-Schutz arbeiten wir im Follow-the-Sun-Modell außerdem mit dem SOC unseres Technologiepartners Sangfor in Kuala Lumpur, Malaysia.
Managed Detection and Response (MDR) ist ein Cybersecurity-Service, der Unternehmen bei der Ekennung, Untersuchung und Reaktion auf Sicherheitsvorfälle unterstützt. Dabei verbinden sich moderne Technologien wie KI und XDR mit der Arbeit eines SOC-Teams (Security Operations Center), das Bedrohungen aktiv bewertet und darauf reagiert. MDR schließt die Lücke zwischen einzelnen Sicherheitstools und umfassendem Schutz, verkürzt die Zeit bis zur Erkennung und Reaktion auf Vorfälle und hilft Unternehmen bei der Einhaltung von DSGVO und NIS2.
Nein. Beide sind Managed-Security-Services, setzten aber unterschiedliche Schwerpunkte. MDR konzentriert sich auf 24/7-Überwachung, Bedrohungserkennung, Analyse und schnelle Reaktion auf Angriffe in Endpoints, Netzwerken und Cloud-Umgebungen. Ein MSSP deckt meist ein breiteres Spektrum an operativen Sicherheitsaufgaben ab, etwa Firewall-Management, VPNs, Compliance-Audits oder Vulnerability Scanning. MDR ist deshalb besonders geeignet für Unternehmen, die gezielte Bedrohungsabwehr und schnelle Reaktionszeiten suchen. Wenn Sie bereits einen MSSP nutzen, kann ForeNova´s NovaMDR™™ diesen als spezialisierte Ebene für tiefere Erkennung ergänzen.
EDR (Endpoint Detection & Response) und XDR (Extended Detection & Response) sind Technologien, auf denen MDR häufig aufbaut. MDR ergänzt diese um einen Managed-Service mit SOC-Analysten, die Bedrohungen aus Endpoints, Netzwerken und Cloud-Umgebungen überwachen, bewerten und darauf reagieren. MXDR (Managed Extended Detection & Response) beschreibt MDR-Ansätze, bei denen SOC-Analysten auf Basis eines XDR-Backends arbeiten und Ereignisse sowie Logs aus Quellen überwachen, die über den Endpoint hinausgehen. Wenn also zusätzlich Netzwerk-, M365- oder Firewall-Daten überwacht werden, entspricht das funktional MXDR.
Firewalls sind ein wichtiger Bestandteil des Perimeterschutzes, haben jedoch Grenzen. Sie konzentrieren sich auf ein- und ausgehenden Traffic sowie auf bekannte Bedrohungen, erkennen aber häufig keine laterale Bewegung im Netzwerk, Zero-Day-Exploits oder fortgeschrittene persistente Bedrohungen wie Ransomware, die Regeln umgehen. MDR ergänzt dies durch 24/7-Monitoring, KI-gestützte Anomalieerkennung, Threat Hunting und Expertenreaktionen über Endpoints, Netzwerke und Cloud-Umgebungen hinweg. Unsere SOC-Analysten betrachten Sicherheit ganzheitlich; Firewall-Logs sind dabei nur ein Teil des Gesamtbilds.
MDR bietet Expertenschutz rund um die Uhr, ohne dass Sie ein eigenes internes IT-Security- oder SOC-Team aufbauen müssen. Gleichzeitig ist MDR deutlich kosteneffizienter als ein Inhouse-SOC, insbesondere im aktuellen europäischen Cybersecurity-Markt mit Fachkräftemangel.
Ja. In einer Zeit hochentwickelter Bedrohungen wie Ransomware und APTs erweitert MDR die Sichtbarkeit über Endpoints, Netzwerke und Cloud-Umgebungen. Es senkt das Risiko von Sicherheitsvorfällen und reduziert Ausfallzeiten und unterstützt die 72-Stunden-Meldepflicht gemäß DSGVO sowie die Anforderungen von NIS2 an Risikomanagement und Resilienz.
Zum Kernumfang des MDR-Services gehören:
Zusätzliche, kostenfreie MDR-Services sind:
Wir bieten ein Standardpaket an, das folgende Leistungen umfasst:
Standardmäßig bieten wir flexible Vertragslaufzeiten von 1, 2 oder 3 Jahren an, abgestimmt auf die Anforderungen unserer Kunden und Partner. Auf Wunsch können wir die Vertragsbedingungen individuell anpassen. Zusätzlich planen wir künftig ein nutzungsbasiertes Abrechnungsmodell, das noch mehr Flexibilität für einen effizienten und skalierbaren Schutz bietet.
Ja. Unser Service ist rund um die Uhr verfügbar – sowohl technisch, etwa bei der Sammlung, Korrelation und Erkennung von Ereignissen, als auch operativ bei Monitoring, Reaktion, Reporting und Beratung. Wie Vorfälle und potenzielle Incidents außerhalb der regulären Geschäftszeiten bearbeitet werden, hängt von der Vereinbarung mit dem jeweiligen Kunden sowie von der Erreichbarkeit der Ansprechpartner auf Kunden- und ForeNova-Seite ab.
MDR sammelt Daten in Form von Low-Level-Events und Logs, erkennt Anomalien, korreliert Daten aus verschiedenen Quellen, reichert potenzielle Incidents mit Threat Intelligence an, untersucht Vorfälle, benachrichtigt die Verantwortlichen und reagiert auf Bedrohungen.
Zu den Kernfunktionen gehören Monitoring, Detection, Korrelation, Response, Benachrichtigung, Threat Hunting, Reporting sowie jederzeit verfügbare Echtzeit-Dashboards.
Wenn unsere SOC-Analysten einen potenziell schädlichen Incident bestätigen, geben sie ihn an unsere CSMs weiter, die unsere Kunden umgehend über den vereinbarten Kommunikationskanal informieren. Falls erforderlich und möglich, führen die SOC-Analysten auch Reaktionsmaßnahmen aus, um die akute Bedrohung zu stoppen, etwa durch das Beenden eines schädlichen Prozesses oder die Isolierung des betroffenen Endpoints vom restlichen Netzwerk.
Die Identifikation eines potenziell schädlichen Incidents erfolgt auf mehreren Ebenen; die endgültige Entscheidung trifft unser erfahrenes SOC-Team. Die Benachrichtigung erfolgt inklusive aller Incident-Details per E-Mail. Auf Wunsch ist auch die Kommunikation und Zustellung über Microsoft Teams möglich.
Bei kritischen Incidents werden Kunden innerhalb von 30 Minuten nach der ersten Erkennung benachrichtigt. Bei nicht kritischen Incidents erfolgt die Benachrichtigung innerhalb von 60 Minuten nach der Erkennung.
Ja. Wenn unser SOC ein kompromittiertes Endgerät erkennt, sendet es über den NovaGuard Manager einen Isolationsbefehl an den Lightweight Endpoint Agent. Dieser blockiert sofort alle ein- und ausgehenden Netzwerkverbindungen auf dem Gerät; nur der Management-Kanal zum NovaGuard-/XDR-Manager bleibt offen. Dadurch werden aktive Angriffe gestoppt und laterale Bewegungen verhindert, während der Endpoint für das SOC weiterhin erreichbar bleibt. So sind forensische Analysen, Logabrufe und Remote-Remediation weiterhin möglich. Die Isolierung kann vom SOC aufgehoben werden; die kontrollierte Wiederanbindung erfolgt ebenfalls über den NovaGuard Manager.
Unser Backend nutzt fortschrittliches XDR, Big-Data-Analytik, Korrelation, KI, Machine Learning, Orchestrierung und verschiedene Formen der Automatisierung.
Ja. ForeNova verwendet mehrere fortschrittliche KI-Engines, unter anderem zur Korrelation und Erkennung von Anomalien in großen Datenmengen, sowie KI-LLMs, die unseren SOC-Analysten während der Analyse Kontext und hilfreiche Informationen bereitstellen.
ForeNova nutzt zwei primäre Sensortypen zur Erfassung von Events: Endpoint-Sensoren für Windows- und Linux-Systeme sowie Netzwerk-Sensoren, die den IPv4- und IPv6-Netzwerkverkehr überwachen. Zusätzlich werden Microsoft Office 365 und Firewalls von Drittanbietern über Integrationen unterstützt. Aktuell sind unter anderem Palo Alto, Check Point, WatchGuard und Fortinet angebunden.
Unterstützt werden derzeit Firewalls von Palo Alto, Check Point, WatchGuard und Fortinet sowie Microsoft Office 365 (M365).
Ja. Wir prüfen fortlaufend unsere Integrationsanforderungen und planen, in naher Zukunft weitere wichtige Firewall-Anbieter insbesondere für den deutschen Markt anzubinden. Die konkrete Roadmap ist noch nicht final bestätigt, aktuell evaluieren wir Integrationen mit Lösungen von Cisco, Sophos, SonicWall, Forcepoint und Lancom.
Unterstützt werden Windows- und Linux-Systeme in den folgenden Versionen:
Windows OS
Linux OS
Hinweis: Die Liste der unterstützten Betriebssysteme kann sich ändern. Maßgeblich sind die jeweils aktuell freigegebenen Versionen; die Liste ist nicht als vollständige Aufzählung aller unterstützten Subversionen zu verstehen.
Zu den typischen Log-Typen gehören Prozesse, Programme, Pfade, DNS-Abfragen und IP-Informationen.
Zu den typischen Log-Typen gehören Anwendungsdaten wie HTTP, DNS und FTP, außerdem TCP/IP-Daten für IPv4 und IPv6, Domains und URLs, Netzwerkalarme und IP-Informationen.
Erfasst werden Microsoft-Logdaten, darunter Audit-Informationen, E-Mail-Informationen und Konfigurationsprüfungen.
Ja. Die gesamte Kommunikation zwischen Agenten, Sensoren, Proxy und Plattform erfolgt über sichere HTTPS-Protokolle. Wir verwenden Verschlüsselung mit TLS 1.3 oder höher, gegenseitige Authentifizierung mittels Zertifikaten sowie Integritätsschutz gegen Abfangen und Manipulation.
Die Bereitstellung ist nicht disruptiv und erfordert kein Ersetzen bestehender Lösungen. Je nach Anforderung unterstützt unser Team bei der Installation der Endpoint- und/oder Netzwerk-Sensoren in der Umgebung und verbindet diese mit der MDR-Plattform.
Der Endpoint-Sensor (NovaGuard Agent) unterstützt Windows und Linux und kann entweder einzeln auf Endpoints installiert werden, etwa per Offline-Installation oder über einen Downloadlink, oder in großen Umgebungen per Masseninstallation, zum Beispiel über Active Directory, Desktop-Management-Software, integrierte Internet-Zugriffssteuerungssysteme, virtuelle Maschinen oder ein Linux-Bulk-Installations-Tool.
Der Network-Sensor (NovaSensor) ist sowohl als Software-Sensor als auch als Hardware-Gerät verfügbar. Für das Monitoring des Traffics wird ein SPAN-Port verwendet; das Hardware-Gerät ist als einfaches Plug-and-Play-System konzipiert.
Die Daten werden stets in unserem proprietären XDR-Backend verarbeitet und in unserem Rechenzentrum in Frankfurt gespeichert. Für die menschliche MDR-Bearbeitung betreiben wir unser eigenes SOC in Nürnberg und nutzen zusätzlich ein SOC in Kuala Lumpur, Malaysia. Alle Datenflüsse sind vollständig offengelegt und nach ISO 27001 zertifiziert. Die zur Analyse aus den Kundenumgebungen erhobenen Daten verlassen Deutschland niemals; sie verbleiben in unserem Rechenzentrum in Frankfurt.
NovaMDR™ erfasst, verarbeitet und speichert Daten im ForeNova-Rechenzentrum, konkret in der Equinix-Location (Equinix FR7) in Frankfurt.
Alle Daten, beispielsweise Event-Logs, die von den ForeNova-Sensoren erfasst werden, werden in unserem proprietären Data Lake in einem Frankfurter Rechenzentrum gespeichert und verlassen Deutschland nicht.
Wir erfassen ausschließlich Endpoint-Events und Netzwerk-Logs, keine eigentlichen Inhalte wie Dokumente. Die erfassten Daten werden in unserem XDR-Backend auf Anomalien analysiert und in unserem Data Lake in Frankfurt gespeichert.
Original-Logs, also beispielsweise von den Endpoint-Sensoren erfasste Events, werden 180 Tage aufbewahrt. Service-Daten werden während der gesamten aktiven Laufzeit des Services dauerhaft gespeichert, zum Beispiel Incidents, Reports und andere im Rahmen des Services erzeugte Objekte. Kundendaten werden 30 Tage nach Ablauf oder Kündigung des Vertrags aufbewahrt.
Derzeit sind die Aufbewahrungsfristen für Datenkategorien global festgelegt; alle Kunden erhalten dieselbe Datenverarbeitung. ForeNova ist jedoch stets offen dafür, Ihre Anforderungen anzuhören und sorgfältig zu prüfen.
In jeder NovaMDR™-Komponente sind alle Datenartefakte mit einer eindeutigen Customer-ID versehen. Dadurch ist eine vollständige Trennung von den Daten anderer Kunden gewährleistet und es kann immer nur auf Ihre Daten zugegriffen, diese angezeigt, abgerufen oder gelöscht werden.
Unsere Endpoint- und Network-Sensoren erfassen Logs auf der Endpoint- und Netzwerkebene und senden sie sicher zur Analyse und Speicherung an unser XDR-Backend. Unser M365-Connector bezieht Microsoft-Logs über die öffentliche API, sobald die Integration eingerichtet ist. Unser XDR Proxy erfasst Logs von Drittanbieterlösungen, etwa Firewalls, sobald die Integration eingerichtet ist.
Ja. Die DSGVO gibt Ihnen das Recht, eine Kopie Ihrer Daten zu erhalten. Sie können nach Erhalt auch deren Löschung verlangen. Wir organisieren sichere Übertragungen im Einzelfall. Das Datenformat kann je nach Quelle variieren, zum Beispiel Roh-Logs im Originalformat oder Plattform-Exporte in JSON für mehr Portabilität. Berichte liegen in der Regel als PDF vor. Als Auftragsverarbeiter arbeitet ForeNova mit Ihnen zusammen, um eine für beide Seiten geeignete Lösung zu finden.
Als schlüsselfertiger Service ist die erste Anfrage für eine Datenkopie oder Löschung in Ihrem NovaMDR™-Abonnement enthalten. Zusätzliche oder mehrere Anfragen erfordern eine separate Abstimmung und eine bedarfsorientierte Aufwandsschätzung.
Ja. Die DSGVO gibt Ihnen das Recht, Ihre Daten löschen zu lassen.
ForeNova lokalisiert zunächst alle Vorkommen Ihrer Daten in unseren Komponenten und Subkomponenten. Anschließend wenden wir ein Überschreibverfahren an, bei dem Software-Algorithmen sämtliche Speichersektoren auf HDDs oder SSDs mit bedeutungslosen Zeichen wie 0 und 1 überschreiben, um eine sichere Löschung zu gewährleisten.
Ja. Wir können per E-Mail ein Unternehmensschreiben bereitstellen, das Zeitstempel der Löschung und die verwendeten Methoden enthält. Dieses Dokument dient als Löschzertifikat für Audit-Zwecke.
Wir stehen unseren Kunden und Partnern nahe und hören auf ihre Anforderungen, Bedürfnisse und Anwendungsfälle. Unsere internen Prozesse werden laufend optimiert, und unser Product-Management-Team arbeitet eng mit unserem Technologiepartner zusammen, um neue Funktionen speziell für die Anforderungen des europäischen Marktes zu entwickeln.
Anforderungen und Feedback werden kontinuierlich aus verschiedenen Quellen wie Kundenfeedback, Ausschreibungen, RFIs und Markttrends gesammelt und vom Product-Management-Team ausgewertet. Wenn möglich, werden sie gemeinsam mit unserem R&D-Team in die Entwicklung aufgenommen.
Unser Ziel ist höchste Kundenzufriedenheit und eine nahezu 100-prozentige Verlängerungsquote. Sollte NovaMDR™ dennoch nicht mehr passen, organisiert Ihr Customer Success Manager einen reibungslosen Übergang. Der Zugriff auf das Customer Security Portal endet um Mitternacht am letzten Tag der Laufzeit; bitte laden Sie vorher alle Berichte und Daten herunter.
