Managed Detection and Response (MDR) Services Buyers Guide

Nur wenige Unternehmen haben intern die richtigen Tools, Mitarbeiter und Prozesse, um ihr Sicherheitsprogramm effizient rund um die Uhr zu verwalten und sich gleichzeitig proaktiv vor neuen Bedrohungen zu schützen. Daher vertrauen immer mehr Unternehmen auf Managed Detection and Response (MDR) Services.

Laut den Prognosen von Gartner im „Market Guide for Managed Detection and Response Services“ (August 2020) werden im Jahr 2025 die Hälfte aller Unternehmen MDR-Services nutzen. Zum Vergleich: 2019 lag der Anteil noch unter 5 Prozent.

Für viele Unternehmen ist der Security-Service-Markt allerdings noch Neuland und überzogene Werbeversprechen und Fachjargon sorgen für Verwirrung. Daher fällt es Unternehmen oft schwer, eine fundierte Entscheidung zu treffen. In unserem Buyers Guide fassen wir die zentralen Punkte zusammen, die es bei der Auswahl eines MDR-Anbieters zu beachten gilt. Zudem zeigen wir Ihnen, wie verschiedene MDR-Anbieter im Direktvergleich abschneiden.

IT-Security-Abteilungen benötigen spezialisierte Fachkräfte

Gegenwärtig leidet die Cybersecurity-Branche unter einem enormen Fachkräftemangel. Echte Experten sind knapp und teuer. Dementsprechend fällt es Unternehmen auch schwer, handlungsfähige Security Operations (SecOps) aufzubauen, um Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren, bevor Schaden entsteht.

Tools wie Endpoint Detection and Response (EDR) unterstützen Unternehmen zwar bei der Suche nach Bedrohungen und der Reaktion auf Sicherheitsvorfälle. Die Tools lassen sich jedoch nur mit spezialisierten Fachkräften in vollem Umfang nutzen. Bei der Umfrage „7 Uncomfortable Truths of Endpoint Security“ unter 2.300 IT- Experten im Jahr 2019 gaben 54 Prozent der Befragten an, dass es ihnen an den nötigen Fachkräften fehle und sie deshalb ihre „EDR-Lösung nicht optimal nutzen“ konnten.

Dieses Problem ist weit verbreitet: Laut Angaben der Analystenfirma ESG im Video-Blog „SOAPA Discussion on EDR and XDR“ fehlen 34 Prozent aller Unternehmen die Fachkräfte, die in der Lage sind, bei einem Angriff auf einen Endpoint die Ursache und die Angriffskette zu ermitteln.

Wie können Unternehmen also dem rasanten Anstieg an zunehmend komplexen Bedrohungen Herr werden, ohne massiv in IT- Security-Personal zu investieren? Die Antwort lautet: Durch den Einsatz von Managed Security Services. Genauer gesagt: Managed Detection and Response (MDR) Services.

Was sind Managed Detection and Response Services?

Bei Managed Detection and Response (MDR) Services lagern Unternehmen den Sicherheitsbetrieb an externe Experten aus. MDR-Anbieter übernehmen dabei Aufgaben der IT-Security-Abteilung ihrer Kunden. Zu den Serviceleistungen gehören Analysen durch ein Expertenteam, Bedrohungssuche (Threat Hunting), Überwachung in Echtzeit sowie die Reaktion auf Vorfalle, kombiniert mit Technologien zum Erfassen und Analysieren von Bedrohungsdaten.

MDR-Anbieter nutzen oft eine Kombination aus Host- und Network-Layer-Technologien sowie umfassende Analysen, Bedrohungsdaten, forensische Daten und menschliche Expertise, um Bedrohungen schnell zu erkennen und zu beseitigen.

Ziel dabei ist es Bedrohungen in Kundenumgebungen aufzuspüren und zu stoppen, die von präventiven Sicherheitslösungen nicht erkannt wurden. Diese Lösungen – wie etwa Firewalls, Virenschutz und Inhaltsfilterung – können bekannte, gängige Bedrohungen abwehren. Sie bieten jedoch keinen verlässlichen Schutz gegen neue, komplexe Cyberangriffe. MDR-Anbieter schließen diese Lücke mit der sogenannten „Threat Detection and Response“.

Warum entscheiden sich Unternehmen für einen MDR-Service?

Kunden greifen vor allem aus den folgenden Gründen auf MDR-Services zurück:

• Begrenzte IT-Security-Ressourcen: In vielen Unternehmen beschränkt sich die IT-Security-Strategie auf präventive Maßnahmen, da es an den erforderlichen Ressourcen zum Aufbau umfassender Security Operations (SecOps)-Programme mangelt.
• Keine effiziente Nutzung von EDR-Tools: Manche Unternehmen haben bereits in EDR-Lösungen investiert, um bei einem Vorfall reagieren zu können oder um proaktiv nach Bedrohungen zu suchen und sie zu stoppen. Sie können jedoch intern kein umfassendes SecOps-Programm aufbauen und benötigen deshalb Unterstützung durch externe Experten.
• Erweiterung der vorhandenen SecOps: Selbst Unternehmen mit internen Bedrohungsexperten haben Mühe, ihre Security-Abteilung rund um die Uhr zu besetzen (nachts, an Wochenenden und Feiertagen). Oft fehlt es zudem an Spezialisten, beispielsweise für die Malware-Analyse oder die Reaktion auf Vorfälle. Manche Unternehmen wiederum lagern SOC-Aufgaben an externe Anbieter aus, damit sich die interne IT-Abteilung auf andere Bereiche konzentrieren kann.
• Doppelte Kontrolle: Da vier Augen bekanntlich mehr sehen als zwei, setzen selbst Unternehmen mit internen Security Operations Centern auf zusätzliches externes Monitoring ihrer Umgebung.

Die Vorteile von MDR-Services

Rund um die Uhr verfügbares Expertenteam

Ein guter MDR-Service besitzt die nötige Expertise zum Erkennen und Stoppen aller Arten von Angriffen. Er hat die entsprechenden Fachkräfte, die auf dem Personalmarkt bekanntermaßen Mangelware sind, und ist rund um die Uhr verfügbar. Das bedeutet, diese Experten überwachen Ihre Umgebung lückenlos und können zu jeder Zeit auf Bedrohungen reagieren, also auch an Wochenenden, Feiertagen und nachts. Die Zusammenarbeit mit einem guten MDR-Service können Sie sich so vorstellen, als gäbe es in Ihrem Unternehmen ein großes, rund um die Uhr verfügbares Sicherheits-Team ohne krankheits- oder urlaubsbedingte Ausfallzeiten.

Mehr Handlungsspielraum für die IT

Die meisten Unternehmen schaffen es kaum, sich selbst um die Bedrohungssuche, Reaktion auf Vorfälle und Überprüfung der Systemintegrität zu kümmern. Durch das Auslagern von Detection-and-Response-Aufgaben ermöglichen sie es den internen IT-Mitarbeitern, sich auf andere Bereiche zu konzentrieren. Einige Unternehmen wiederum nutzen MDR-Services, um alltägliche Sicherheitsaufgaben auszulagern, damit die interne IT sich anderen Aufgaben und Projekten widmen kann.

Kosteneinsparungen

Unternehmen, die ihr eigenes SecOps-Programm implementieren möchten, erkennen schnell, wie schwierig sich der Aufbau eines Security Operation Centers (SOC) gestaltet. Selbst in kleinen und mittelständischen Unternehmen werden mindestens vier Cybersecurity-Analysten benötigt, um ein SOC rund um die Uhr, jeden Tag im Jahr zu besetzen. In der Realität sind es noch mehr, denn erstens kann niemand ununterbrochen acht Stunden aufmerksam auf einen Bildschirm starren und zweitens werden Reservekräfte für Urlaub und Krankheit benötigt.

Größere Unternehmen benötigen noch viele zusätzliche teure Fachkräfte. Darüber hinaus braucht es Teamleiter und IT-Engineers zur Anpassung und Wartung von Tools. Zu diesen Personalkosten kommen weitere Kosten hinzu für Tools, die das Team zum Arbeiten benötigt, z. B. Endpoint Protection, Network Protection, Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM), Security Orchestration Automation and Responses (SOAR), Datenfeeds usw.

Verlässlicher Schutz

Bei einem guten MDR-Service haben Sie die Gewissheit, dass ein Expertenteam Ihre Systeme rund um die Uhr überwacht, nach Bedrohungen sucht, verdächtige Aktivitäten prüft und auf potenzielle Vorfälle reagiert. Ein dediziertes Team von Bedrohungsexperten sorgt für Schutz, auf den Sie sich verlassen können.

Auswahl eines MDR-Anbieters: Fragen, die Sie stellen sollten

Allgemeine Kriterien

Wie viele Kunden nutzen den MDR-Service?

MDR-Anbieter unterscheiden sich unter anderem in ihrer Erfahrung beim Erkennen und Reagieren auf Bedrohungen. Die aktuelle Kundenzahl gibt Ihnen nicht nur Aufschluss darüber, wie viele Unternehmen dem MDR-Anbieter vertrauen, sondern zeigt auch, wie gut der Anbieter auf eine breite Palette an verdächtigen Aktivitäten reagieren kann. Achten Sie darauf, dass der Anbieter Erfahrung in der Zusammenarbeit mit Unternehmen hat, die Ihrem Unternehmen ähnlich sind (Größe, Branche, Sicherheitsanforderungen).

Was umfasst der Service? Ist Threat Response inbegriffen?

Die MDR-Services der verschiedenen Anbieter beinhalten teilweise sehr unterschiedliche Leistungen. Immer mehr MDR-Kunden wünschen sich, dass MDR-Anbieter im Kundenauftrag gezielte Maßnahmen ergreifen, um Bedrohungen unschädlich zu machen, anstatt nur über aktive Bedrohungen zu informieren. Doch nur wenige MDR-Services bieten diese Option an. Das Gros der Anbieter konzentriert sich vornehmlich oder ausschließlich auf das Erkennen von Bedrohungen und das Benachrichtigen der Kunden. Sämtliche Reaktions- und Bereinigungsmaßnahmen bleiben dem Kunden überlassen. Bei effektiven MDR-Services analysieren Sicherheitsexperten potenzielle Bedrohungen methodisch, minimieren falsche Positivmeldungen (False Positives), bekämpfen bestätigte Bedrohungen und unterstützen Unternehmen mit genauen Informationen und Empfehlungen bei der Verbesserung ihres allgemeinen Sicherheitsstatus.

Ist der Service rund um die Uhr verfügbar? Wer reagiert auf Vorfälle an einem Sonntag um 2 Uhr morgens?

Achten Sie darauf, dass der MDR-Anbieter Ihre Umgebung wirklich lückenlos überwacht und rund um die Uhr auf Vorfälle reagieren kann.

Welche Technologien nutzt der MDR-Service? Sind diese im Preis inbegriffen?

Bei der Auswahl eines MDR-Service gilt es zu ermitteln, ob die genutzte Technologie im Kaufpreis inbegriffen ist. Bei manchen Anbietern müssen Sie nämlich Ihre eigenen Tools (z. B. Endpoint Protection und EDR) separat erwerben. Andere Anbieter bieten die gesamte Technologie zusätzlich zur Service-Komponente.

Ist der Service proaktiv oder reaktiv?

Bei MDR geht es um proaktives Handeln. Anders als IT-Forensik und Incident Response Services, die in der Regel zur Unterstützung von Kunden dienen, wenn ein Krisenfall bereits eingetreten ist (z. B. bei Sicherheitsvorfällen oder Datenpannen), bietet MDR einen rund um die Uhr proaktiven Service. Dabei werden Kundenumgebungen kontinuierlich auf verdächtige Aktivitäten überwacht. Kommt es zu einem Vorfall, erhalten Kunden in Echtzeit Hilfe.

Wie kommunizieren Sie mit dem MDR-Team?

Informieren Sie sich darüber, wie Sie mit dem Anbieter in Kontakt treten können. Können Sie anrufen? Können Sie per E-Mail kommunizieren? Kommunizieren Sie direkt mit einem Security-Analysten oder mit einem anderen Ansprechpartner (z. B. einem Account Manager)? Die Unterschiede zwischen den MDR-Anbietern sind hier oft sehr groß: Bei einigen Anbietern können sich Kunden direkt an einen Ansprechpartner wenden, bei anderen erfolgt die Kommunikation über ein Portal. Egal, wie die Kommunikation erfolgt: MDR-Anbieter sollten zu jedem Fall eine Zusammenfassung liefern, damit Ihr Team weiß, welche Bedrohungen erkannt wurden und welche Maßnahmen noch ergriffen werden müssen.

Vorgehensweise und Effizienz

Wie geht der MDR-Anbieter im Bereich „Threat Detection and Response“ (TDR) vor?

MDR-Anbieter müssen über eine klare TDR-Strategie verfügen. Andernfalls ist der Service nur bedingt skalierbar und verdächtige Aktivitäten in Kundenumgebungen werden möglicherweise nicht erkannt.

Wie schnell reagiert der Service?

In der IT-Security geht es um Sekunden. Die folgenden Kennzahlen von MDR-Anbietern sind in diesem Zusammenhang relevant:

– Durchschnittliche Zeit bis zur Erkennung
– Durchschnittliche Zeit bis zur Reaktion
– Durchschnittliche Zeit bis zur Behebung

Welche Leistungen bietet der MDR-Service genau? Können in Ihrem Auftrag Maßnahmen ergriffen werden?

Lassen Sie sich erklären, wie der MDR-Anbieter vorgeht, wenn verdächtige Aktivitäten erkannt werden. Wie bereits erläutert, erhalten Sie bei vielen MDR-Services nur eine Überwachung Ihrer Umgebung und eine Benachrichtigung, wenn eine verdächtige Aktivität bemerkt wurde. Im Idealfall kann der MDR-Anbieter jedoch auch Maßnahmen in Ihrem Auftrag ergreifen, und bei Bedrohungen erfolgt eine proaktive Reaktion durch Experten und nicht nur eine automatische Abwehr durch ein Tool.

Ist die Bedrohungssuche indizienbasiert (Reaktion auf Warnhinweise), indizienlos (Suche nach Angriffsindikatoren auch ohne konkrete Hinweise) oder beides?

Threat Hunting ist nicht gleich Threat Hunting. Obwohl Threat Hunting definitionsgemäß eine menschliche Komponente voraussetzt, deklarieren manche Anbieter automatische, maschinelle Benachrichtigungen (fälschlicherweise) als Threat Hunting. Ein wichtiger Aspekt ist zudem die Frage, ob der MDR-Anbieter proaktiv nach Bedrohungen sucht, selbst wenn keine konkreten Hinweise auf verdächtige Aktivitäten oder Vorfälle vorliegen. Fragen Sie nach, bei welchen Aktivitäten eine Bedrohungsanalyse durchgeführt wird.

Welche Datenquellen sorgen für Transparenz? Beschränkt sich der Service auf verwaltete EDR?

Die Einblicke mancher MDR-Anbieter beschränken sich auf Endpoints. Zwar sind Endpoint-Daten sehr wichtig, doch sie alleine reichen nicht aus. Um echte MDR-Services handelt es sich in diesen Fällen nicht, sondern eher um „Managed EDR“- Losungen. Diese bieten nur eine begrenzte Transparenz über Bedrohungen, die sich möglicherweise in Ihrer Umgebung befinden.

Verfügt der MDR-Anbieter über Bedrohungsanalysten und hat Zugriff auf Bedrohungsdaten?

Die technische Expertise von MDR-Anbietern sollte über das Know-how hinausgehen, das Unternehmen sich in der Regel selbst aneignen können. Hierzu zählen natürlich auch Sicherheitsanalysten. Darüber hinaus sollte der MDR-Service auch Zugang zu Bedrohungsdaten haben und bei neuen Bedrohungen mit Bedrohungsforschern zusammenarbeiten.