Nur wenige Unternehmen haben intern die richtigen Tools, Mitarbeiter und Prozesse, um ihr Sicherheitsprogramm effizient rund um die Uhr zu verwalten und sich gleichzeitig proaktiv vor neuen Bedrohungen zu schützen. Daher vertrauen immer mehr Unternehmen auf Managed Detection and Response (MDR) Services.
Laut den Prognosen von Gartner im „Market Guide for Managed Detection and Response Services“ (August 2020) werden im Jahr 2025 die Hälfte aller Unternehmen MDR-Services nutzen. Zum Vergleich: 2019 lag der Anteil noch unter 5 Prozent.
Für viele Unternehmen ist der Security-Service-Markt allerdings noch Neuland und überzogene Werbeversprechen und Fachjargon sorgen für Verwirrung. Daher fällt es Unternehmen oft schwer, eine fundierte Entscheidung zu treffen. In unserem Buyers Guide fassen wir die zentralen Punkte zusammen, die es bei der Auswahl eines MDR-Anbieters zu beachten gilt. Zudem zeigen wir Ihnen, wie verschiedene MDR-Anbieter im Direktvergleich abschneiden.
Gegenwärtig leidet die Cybersecurity-Branche unter einem enormen Fachkräftemangel. Echte Experten sind knapp und teuer. Dementsprechend fällt es Unternehmen auch schwer, handlungsfähige Security Operations (SecOps) aufzubauen, um Bedrohungen zu erkennen, zu analysieren und darauf zu reagieren, bevor Schaden entsteht.
Tools wie Endpoint Detection and Response (EDR) unterstützen Unternehmen zwar bei der Suche nach Bedrohungen und der Reaktion auf Sicherheitsvorfälle. Die Tools lassen sich jedoch nur mit spezialisierten Fachkräften in vollem Umfang nutzen. Bei der Umfrage „7 Uncomfortable Truths of Endpoint Security“ unter 2.300 IT- Experten im Jahr 2019 gaben 54 Prozent der Befragten an, dass es ihnen an den nötigen Fachkräften fehle und sie deshalb ihre „EDR-Lösung nicht optimal nutzen“ konnten.
Dieses Problem ist weit verbreitet: Laut Angaben der Analystenfirma ESG im Video-Blog „SOAPA Discussion on EDR and XDR“ fehlen 34 Prozent aller Unternehmen die Fachkräfte, die in der Lage sind, bei einem Angriff auf einen Endpoint die Ursache und die Angriffskette zu ermitteln.
Wie können Unternehmen also dem rasanten Anstieg an zunehmend komplexen Bedrohungen Herr werden, ohne massiv in IT- Security-Personal zu investieren? Die Antwort lautet: Durch den Einsatz von Managed Security Services. Genauer gesagt: Managed Detection and Response (MDR) Services.
Bei Managed Detection and Response (MDR) Services lagern Unternehmen den Sicherheitsbetrieb an externe Experten aus. MDR-Anbieter übernehmen dabei Aufgaben der IT-Security-Abteilung ihrer Kunden. Zu den Serviceleistungen gehören Analysen durch ein Expertenteam, Bedrohungssuche (Threat Hunting), Überwachung in Echtzeit sowie die Reaktion auf Vorfalle, kombiniert mit Technologien zum Erfassen und Analysieren von Bedrohungsdaten.
MDR-Anbieter nutzen oft eine Kombination aus Host- und Network-Layer-Technologien sowie umfassende Analysen, Bedrohungsdaten, forensische Daten und menschliche Expertise, um Bedrohungen schnell zu erkennen und zu beseitigen.
Ziel dabei ist es Bedrohungen in Kundenumgebungen aufzuspüren und zu stoppen, die von präventiven Sicherheitslösungen nicht erkannt wurden. Diese Lösungen – wie etwa Firewalls, Virenschutz und Inhaltsfilterung – können bekannte, gängige Bedrohungen abwehren. Sie bieten jedoch keinen verlässlichen Schutz gegen neue, komplexe Cyberangriffe. MDR-Anbieter schließen diese Lücke mit der sogenannten „Threat Detection and Response“.
Kunden greifen vor allem aus den folgenden Gründen auf MDR-Services zurück:
Ein guter MDR-Service besitzt die nötige Expertise zum Erkennen und Stoppen aller Arten von Angriffen. Er hat die entsprechenden Fachkräfte, die auf dem Personalmarkt bekanntermaßen Mangelware sind, und ist rund um die Uhr verfügbar. Das bedeutet, diese Experten überwachen Ihre Umgebung lückenlos und können zu jeder Zeit auf Bedrohungen reagieren, also auch an Wochenenden, Feiertagen und nachts. Die Zusammenarbeit mit einem guten MDR-Service können Sie sich so vorstellen, als gäbe es in Ihrem Unternehmen ein großes, rund um die Uhr verfügbares Sicherheits-Team ohne krankheits- oder urlaubsbedingte Ausfallzeiten.
Die meisten Unternehmen schaffen es kaum, sich selbst um die Bedrohungssuche, Reaktion auf Vorfälle und Überprüfung der Systemintegrität zu kümmern. Durch das Auslagern von Detection-and-Response-Aufgaben ermöglichen sie es den internen IT-Mitarbeitern, sich auf andere Bereiche zu konzentrieren. Einige Unternehmen wiederum nutzen MDR-Services, um alltägliche Sicherheitsaufgaben auszulagern, damit die interne IT sich anderen Aufgaben und Projekten widmen kann.
Unternehmen, die ihr eigenes SecOps-Programm implementieren möchten, erkennen schnell, wie schwierig sich der Aufbau eines Security Operation Centers (SOC) gestaltet. Selbst in kleinen und mittelständischen Unternehmen werden mindestens vier Cybersecurity-Analysten benötigt, um ein SOC rund um die Uhr, jeden Tag im Jahr zu besetzen. In der Realität sind es noch mehr, denn erstens kann niemand ununterbrochen acht Stunden aufmerksam auf einen Bildschirm starren und zweitens werden Reservekräfte für Urlaub und Krankheit benötigt.
Größere Unternehmen benötigen noch viele zusätzliche teure Fachkräfte. Darüber hinaus braucht es Teamleiter und IT-Engineers zur Anpassung und Wartung von Tools. Zu diesen Personalkosten kommen weitere Kosten hinzu für Tools, die das Team zum Arbeiten benötigt, z. B. Endpoint Protection, Network Protection, Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM), Security Orchestration Automation and Responses (SOAR), Datenfeeds usw.
Bei einem guten MDR-Service haben Sie die Gewissheit, dass ein Expertenteam Ihre Systeme rund um die Uhr überwacht, nach Bedrohungen sucht, verdächtige Aktivitäten prüft und auf potenzielle Vorfälle reagiert. Ein dediziertes Team von Bedrohungsexperten sorgt für Schutz, auf den Sie sich verlassen können.
MDR-Anbieter unterscheiden sich unter anderem in ihrer Erfahrung beim Erkennen und Reagieren auf Bedrohungen. Die aktuelle Kundenzahl gibt Ihnen nicht nur Aufschluss darüber, wie viele Unternehmen dem MDR-Anbieter vertrauen, sondern zeigt auch, wie gut der Anbieter auf eine breite Palette an verdächtigen Aktivitäten reagieren kann. Achten Sie darauf, dass der Anbieter Erfahrung in der Zusammenarbeit mit Unternehmen hat, die Ihrem Unternehmen ähnlich sind (Größe, Branche, Sicherheitsanforderungen).
Die MDR-Services der verschiedenen Anbieter beinhalten teilweise sehr unterschiedliche Leistungen. Immer mehr MDR-Kunden wünschen sich, dass MDR-Anbieter im Kundenauftrag gezielte Maßnahmen ergreifen, um Bedrohungen unschädlich zu machen, anstatt nur über aktive Bedrohungen zu informieren. Doch nur wenige MDR-Services bieten diese Option an. Das Gros der Anbieter konzentriert sich vornehmlich oder ausschließlich auf das Erkennen von Bedrohungen und das Benachrichtigen der Kunden. Sämtliche Reaktions- und Bereinigungsmaßnahmen bleiben dem Kunden überlassen. Bei effektiven MDR-Services analysieren Sicherheitsexperten potenzielle Bedrohungen methodisch, minimieren falsche Positivmeldungen (False Positives), bekämpfen bestätigte Bedrohungen und unterstützen Unternehmen mit genauen Informationen und Empfehlungen bei der Verbesserung ihres allgemeinen Sicherheitsstatus.
Achten Sie darauf, dass der MDR-Anbieter Ihre Umgebung wirklich lückenlos überwacht und rund um die Uhr auf Vorfälle reagieren kann.
Bei der Auswahl eines MDR-Service gilt es zu ermitteln, ob die genutzte Technologie im Kaufpreis inbegriffen ist. Bei manchen Anbietern müssen Sie nämlich Ihre eigenen Tools (z. B. Endpoint Protection und EDR) separat erwerben. Andere Anbieter bieten die gesamte Technologie zusätzlich zur Service-Komponente.
Bei MDR geht es um proaktives Handeln. Anders als IT-Forensik und Incident Response Services, die in der Regel zur Unterstützung von Kunden dienen, wenn ein Krisenfall bereits eingetreten ist (z. B. bei Sicherheitsvorfällen oder Datenpannen), bietet MDR einen rund um die Uhr proaktiven Service. Dabei werden Kundenumgebungen kontinuierlich auf verdächtige Aktivitäten überwacht. Kommt es zu einem Vorfall, erhalten Kunden in Echtzeit Hilfe.
Informieren Sie sich darüber, wie Sie mit dem Anbieter in Kontakt treten können. Können Sie anrufen? Können Sie per E-Mail kommunizieren? Kommunizieren Sie direkt mit einem Security-Analysten oder mit einem anderen Ansprechpartner (z. B. einem Account Manager)? Die Unterschiede zwischen den MDR-Anbietern sind hier oft sehr groß: Bei einigen Anbietern können sich Kunden direkt an einen Ansprechpartner wenden, bei anderen erfolgt die Kommunikation über ein Portal. Egal, wie die Kommunikation erfolgt: MDR-Anbieter sollten zu jedem Fall eine Zusammenfassung liefern, damit Ihr Team weiß, welche Bedrohungen erkannt wurden und welche Maßnahmen noch ergriffen werden müssen.
MDR-Anbieter müssen über eine klare TDR-Strategie verfügen. Andernfalls ist der Service nur bedingt skalierbar und verdächtige Aktivitäten in Kundenumgebungen werden möglicherweise nicht erkannt.
In der IT-Security geht es um Sekunden. Die folgenden Kennzahlen von MDR-Anbietern sind in diesem Zusammenhang relevant:
– Durchschnittliche Zeit bis zur Erkennung
– Durchschnittliche Zeit bis zur Reaktion
– Durchschnittliche Zeit bis zur Behebung
Lassen Sie sich erklären, wie der MDR-Anbieter vorgeht, wenn verdächtige Aktivitäten erkannt werden. Wie bereits erläutert, erhalten Sie bei vielen MDR-Services nur eine Überwachung Ihrer Umgebung und eine Benachrichtigung, wenn eine verdächtige Aktivität bemerkt wurde. Im Idealfall kann der MDR-Anbieter jedoch auch Maßnahmen in Ihrem Auftrag ergreifen, und bei Bedrohungen erfolgt eine proaktive Reaktion durch Experten und nicht nur eine automatische Abwehr durch ein Tool.
Threat Hunting ist nicht gleich Threat Hunting. Obwohl Threat Hunting definitionsgemäß eine menschliche Komponente voraussetzt, deklarieren manche Anbieter automatische, maschinelle Benachrichtigungen (fälschlicherweise) als Threat Hunting. Ein wichtiger Aspekt ist zudem die Frage, ob der MDR-Anbieter proaktiv nach Bedrohungen sucht, selbst wenn keine konkreten Hinweise auf verdächtige Aktivitäten oder Vorfälle vorliegen. Fragen Sie nach, bei welchen Aktivitäten eine Bedrohungsanalyse durchgeführt wird.
Die Einblicke mancher MDR-Anbieter beschränken sich auf Endpoints. Zwar sind Endpoint-Daten sehr wichtig, doch sie alleine reichen nicht aus. Um echte MDR-Services handelt es sich in diesen Fällen nicht, sondern eher um „Managed EDR“- Losungen. Diese bieten nur eine begrenzte Transparenz über Bedrohungen, die sich möglicherweise in Ihrer Umgebung befinden.
Die technische Expertise von MDR-Anbietern sollte über das Know-how hinausgehen, das Unternehmen sich in der Regel selbst aneignen können. Hierzu zählen natürlich auch Sicherheitsanalysten. Darüber hinaus sollte der MDR-Service auch Zugang zu Bedrohungsdaten haben und bei neuen Bedrohungen mit Bedrohungsforschern zusammenarbeiten.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…