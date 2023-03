Heute ist eine aktive, schnelle und umfassende Gefahrenerkennung und -abwehr von Cyberangriffen wichtiger denn je. Unternehmen setzen bereits viele unterschiedlichste »Threat Detection and Response« Tools ein. Ziel ist es, Angriffsaktivitäten zeitnah aufzuspüren, zu melden und somit das Sicherheitsniveau maßgeblich zu erhöhen. EDR, XDR oder MDR gelten derzeit als relevante sicherheitstechnische Antworten auf aktuelle und zukünftige Bedrohungen: Die Zeiten, in denen der Einsatz von Antivirenlösungen für eine solide Absicherung der Unternehmensnetzwerke ausreichend war, sind längst vorbei.

Der Umgang mit Schwachstellen ist und bleibt laut Bundesamt für Sicherheit in der Informationstechnik (BSI) eine der größten Herausforderungen der Informationssicherheit. Neben raffiniert aufgebauter Malware müssen IT Security-Teams auch Social-Engineering-Angriffe, Advanced Persistent Threats und bösartige Skripte im Auge behalten. Hinter den drei Buchstaben von EDR, XDR oder MDR und verbergen sich »Detection and Response«-Modelle, die Cyberbedrohungen detektieren, also erkennen, und auf diese reagieren. Die Lösungen und Services gelten als besonders relevant, um ein Unternehmensnetzwerk gegenüber Cyberangriffen abzusichern, bei denen klassische Sicherheitsmaßnahmen nicht mehr greifen.

Was ist Endpoint Detection & Response (EDR)?

Endpunkte, also alle Geräte, die mit einem Netzwerk verbunden sind, stellen potenzielle Einfallstore für Cyberbedrohungen dar: EDR steht für eine auf diese Endgeräte bezogene Detektion und Reaktion. Der Fokus liegt also auf der Erhöhung der Visibilität von Anomalien auf dem Endpunkt. Dadurch unterscheiden sich EDR-Systeme von anderen technischen Sicherheitslösungen wie Firewalls: Der Schutz findet direkt auf den Endgeräten und nicht an der Netzwerkgrenze statt. In Zeiten des Internet of Things und einem stark gestiegenen Anteil von Mitarbeitern, die aus dem Homeoffice arbeiten, ist auch bei kleinen und mittleren Unternehmen der Umfang der Endgeräte im Unternehmen stark angestiegen. Mit Endpoint Detection & Response werden die Aktivitäten der Endgeräte in Echtzeit erfasst, protokolliert und analysiert, um mögliche Angriffe frühzeitig zu erkennen. Die Möglichkeit der zentralisierten Bereitstellung von Artefakten und Spuren, die Angreifer hinterlassen, bietet Analysten einen umfassenden Blick auf die gesamte Sicherheitslage. Auch die Reaktionen werden durch EDR-Systeme deutlich beschleunigt. Unterstützt wird die schnelle Reaktionsfähigkeit durch umfangreiche Automatisierungs-Möglichkeiten und die Verwendung von APIs.

Identifizierte Auffälligkeiten werden von EDR-Lösungen an die IT-Sicherheitsteams gemeldet, die so zeitnah reagieren können. Genutzt wird EDR vor allem von IT-Sicherheitsanalysten und den sogenannten »Threat Huntern«, speziell geschulte IT-Sicherheitsexperten, die IT-Systeme mithilfe von Bedrohungsinformationen vor Angriffen schützen. Damit kennzeichnet EDR die ersten Schritte hin zu einer automatisierten Bedrohungsabwehr, die von IT-Spezialisten kontrolliert wird.

Was ist Extended Detection & Response (XDR)?

Extended Detection & Response ist ein erweiterter Lösungsansatz, der die Prinzipien des EDR aufgreift und um Automatisierungsansätze und die Verwendung von künstlicher Intelligenz (KI) ergänzt. XDR fokussiert nicht nur auf die Endpunkte im Unternehmen, sondern überwacht ganzheitlich den gesamten Datenverkehr sowie Applikationen innerhalb eines Netzwerks – dazu gehören E-Mail, Server, Endpunkte, Netzwerk sowie Cloud Workloads. Durch den Einbezug der Aktivitätsdaten aller Risikoebenen der IT ermöglicht XDR eine mehrschichtige Verteidigungsstrategie über nur eine konsolidierte Management-Konsole. Das Vorgehen: Eine XDR Security Plattform erfasst die kompletten Daten aus der IT-Infrastruktur und speichert diese in einer Datenbank. Die Daten werden automatisch analysiert, sortiert und priorisiert und den IT Security Experten über ein zentrales Dashboard zur Verfügung gestellt. Die Analysten arbeiten so mit detaillierten und korrelierten Informationen zu Bedrohungen. Zudem liefert ihnen eine XDR-Lösung automatisierte Reaktionsempfehlungen.

Die Analyse der detektierten Angriffsaktivitäten ist aufgrund der diversen Parameter mit einer rein manuellen Auswertung kaum möglich – hier kommen unter anderem KI-Ansätze ins Spiel. Mit deren Unterstützung werden durch ein XDR-System IT-Sicherheitsbedrohungen umfassend, zuverlässig und vor allem schnell erkannt.

Was kann XDR im Vergleich zu EDR mehr leisten?

XDR-Systeme beherrschen die Gefahrenerkennung und -abwehr in der gesamten IT-Infrastruktur eines Unternehmens. Es entsteht ein ganzheitliches Bild der Bedrohungslage – anders als bei EDR-Systemen, die die IT-Sicherheit ausschließlich aus Sicht der Endpunkte betrachten. Ein EDR-System kann demnach ein guter Einstieg sein, um die Visibilität auf den Endpunkten zu erhöhen.

Mit XDR wird dieser Ansatz auf die Ebenen des Netzwerkes, E-Mail, Apps, der Cloud sowie Container und Benutzer erweitert. Somit lassen sich über Korrelationen und maschinelles Lernen Angriffe bis zum Ursprung zurückverfolgen. Für einen zuverlässigen Einsatz von XDR-Lösungen wird meist ein orchestriertes System aus dem Portfolio der Komponenten eines Herstellers benötigt.

Wofür wird Managed Detection & Response (MDR) benötigt?

MDR steht für die verwaltete Erkennung und Reaktion von Angriffen. Hier steht nicht die Technologie im Vordergrund, sondern ein Service, der von spezialisierten IT-Security-Dienstleistern bereitgestellt wird. Als Managed Service erhalten Unternehmen durch MDR rund um die Uhr und an 365 Tagen im Jahr Sicherheitsleistungen von IT-Security-Teams, die auf die IT-Infrastruktur Überwachung, Analyse von IT-Sicherheitsvorfällen sowie die angemessene Reaktion spezialisiert sind. Ein externer Security-Analyst kann bei Erkennung und Bestätigung einer realen Bedrohung umgehend Abwehrmaßnahmen ergreifen.

Die meist modular aufgebauten MDR-Leistungen können je nach Bedarf eines Unternehmens in Anspruch genommen werden und entlasten interne IT-Sicherheitsteams von der zeitintensiven Bearbeitung von Alarmen. Ein weiterer, großer Vorteil bei Managed Detection & Response: Die Kunden erhalten hochwertige Beratungsleistungen und einen wertvollen Wissenstransfer.

Wann ist MDR für ein Unternehmen sinnvoll?

Kaum ein Unternehmen hat intern die passenden Tools sowie die notwendige Manpower und Expertise, um einen aktuellen Sicherheitszustand zu verwalten und sich proaktiv gegen neue Cybersicherheitsbedrohungen zu schützen: Versierte IT-Security-Experten sind Mangelware auf dem Arbeitsmarkt. Je mehr Daten generiert werden, desto komplexer gestaltet sich die Erkennung von Bedrohungen.

Es bedarf deswegen eines Dienstleisters, der je nach Bedarf ganz oder teilweise IT-Sicherheitsbedrohungen detektiert, identifiziert und darauf reagiert – und zwar so schnell, dass maßgeblicher Schaden abgewendet oder zumindest reduziert werden kann. Die Inanspruchnahme von MDR-Dienstleistern, die genau dieses leisten, wird in der IT-Security-Branche daher eine immer größere Rolle spielen. Professionelle und modernste Analysetools gepaart mit der Cyber-Defense-Expertise des MDR-Dienstleisters sorgen dafür, dass Ereignisse korrekt interpretiert, bewertet und auf tatsächliche Bedrohungen angemessen reagiert wird. Hierfür greifen MDR-Experten in der Regel auf eine Kombination aus verschiedenen Host- und Network-Security-Layer zurück. Idealerweise sollten MDR-Dienstleister eine 24/7 Verfügbarkeit ihrer Services gewährleisten.

Bei der Auswahl des MDR-Anbieters sollten Aspekte wie Unternehmensgröße, vorhandene IT-Sicherheitslösungen, Manpower, Fachkenntnisse und Erfahrung des eigenen IT-Security-Teams sowie Unternehmensrichtlinien in den Entscheidungsprozess einbezogen werden.

Fazit

Komplexe Bedrohungslagen erfordern effiziente Maßnahmen: Derzeit stehen Unternehmen weltweit im Visier von Cyberkriminellen, müssen sich mit Spionage, Erpressungsversuchen oder Social-Engineering-Angriffen auseinandersetzen. Entsprechend mehrschichtig bauen Unternehmen ihre Cyberabwehr auf – häufig mit mehreren parallel eingesetzten Tools, die jeweils ein spezielles Bedrohungsszenario abdecken. Es werden Unmengen von Daten generiert, die ausgewertet werden müssen und Kapazitäten der IT-Sicherheitsteams überlasten.

Als Managed Service erhalten Unternehmen durch MDR rund um die Uhr und an 365 Tagen im Jahr Sicherheitsleistungen von professionellen IT Security-Teams. Spezialisiert auf die Überwachung und Analyse von IT-Sicherheitsvorfällen kann schnell reagiert werden. Ähnlich wie bei Behörden und Organisationen mit Sicherheitsaufgaben (BOS), sind die IT-Sicherheitsteams an Extremsituationen gewöhnt. Kritische und vom Unternehmen als stressig empfundene Situationen werden routiniert bewältigt.

Klaus Wunder, Senior Cyber Defense Consultant SECUINFRA

Ramon Weil, Founder und CEO SECUINFRA,