Was ist Managed Detection and Response (MDR)?
Managed Detection and Response, kurz MDR, ist eine vollständig gemanagte Cybersicherheitslösung, die mit einer Kombination aus Sicherheitsexperten, Bedrohungsdaten und fortschrittlichen Tools dafür sorgt, dass Unternehmen rund um die Uhr vor Bedrohungen geschützt sind.
Über die zunehmende Bedrohung der Cybersicherheit für Privatpersonen und Unternehmen weltweit wird viel berichtet. Weniger bekannt ist jedoch, wie schwer sich einige Unternehmen tun, die Wirksamkeit ihrer Abwehr- und Reaktionsmechanismen aufrechtzuerhalten.
Laut einer Kaspersky-Studie sagen 41 % der InfoSec-Experten, dass die Cybersicherheitsteams ihrer Unternehmen „ziemlich“ oder „in erheblichem Maße“ unterbesetzt sind. Dieser Trend macht Sicherheitsexperten zu äußerst gefragten Fachkräften und für Unternehmen wird es immer schwieriger, genügend Mitarbeiter mit den entsprechenden Qualifikationen zu finden und zu halten. Und der Fachkräftemangel trifft jede Art von Unternehmen: Das Weltwirtschaftsforum hat ermittelt, dass unzureichende Qualifikation für 52 % der öffentlichen Einrichtungen die größte Herausforderung im Bereich der Cyberresilienz darstellt. Gleichzeitig ist weniger als die Hälfte der kleineren Unternehmen gut genug aufgestellt, um auf Cyberangriffe zu reagieren und ihre Systeme nach einem Angriff wiederherzustellen.
Abhilfe verspricht hier die Auslagerung an so genannte Managed Services, die Zugang zu passenden Lösungen und zum nötigen Fachwissen bieten, um Daten, Systeme, Anwendungen und Benutzer abzusichern. Einer der effektivsten Services ist Managed Detection and Response (MDR). Allerdings setzt sich die Erkenntnis in den Unternehmen nur allmählich durch, wie sehr sie von MDR-Sicherheit profitieren können. Untersuchungen von Gartner haben ergeben, dass im Jahr 2023 nur 30 % der Unternehmen aktiv Remote-Funktionen von MDR-Anbietern nutzen, um Bedrohungen abzuwehren und einzudämmen. Bis 2025 soll dieser Anteil auf voraussichtlich 50 % steigen. Und das wird auch Zeit: Kaspersky MDR (Managed Detection and Response) verarbeitete 2023 mehr als 430 Sicherheitsvorfälle, von denen die meisten kritischen Vorfälle vor allem Regierungsbehörden, industrielle Betriebe und Finanzinstitutionen betrafen. Hinzu kommt, dass sich die Bedrohungslandschaft ständig weiterentwickelt und es vielen Unternehmen schwer fällt, hier Schritt zu halten.
Aber wie funktioniert eigentlich eine extern verwaltete Bedrohungserkennung und -abwehr?
Wie funktioniert MDR in der Praxis? Managed Detection and Response ist eine Lösung, die Cybersicherheit in Form eines verwalteten Services bietet. Ziel ist es, Bedrohungen schneller zu identifizieren und abzuwehren, um so deren mögliche Auswirkungen auf Unternehmen auf ein Minimum zu reduzieren. MDR besteht aus einer Kombination aus menschlichen Sicherheitskompetenzen und fortschrittlichen Technologien, was erhebliche Synergien hinsichtlich Kosten- und Ressourcenaufwand bringt.
Ein gutes MDR-Angebot umfasst in der Regel fünf Hauptfunktionen:
Priorisierung von Ereignissen
Die Einstufung von Ereignissen nach Relevanz oder Risikograd erfolgt zum einen durch qualifizierte Mitarbeiter, zum anderen aufgrund von vorgegebenen automatisierten Regeln. Fehlalarme und Warnungen, die sich aller Wahrscheinlichkeit nach als hinfällig erweisen, werden zurückgestellt, während die wirklich großen Probleme in der Warteschlange ganz oben eingereiht werden, damit sie von den anderen MDR-Diensten bearbeitet und eingehender bewertet werden können.
Suche nach Bedrohungen
Automatisierung ist ein äußerst leistungsfähiges Instrument zur Erkennung potenzieller Bedrohungen. Aber sie sie ist auch kein Allheilmittel. Erfahrene „Threat Hunter“ sind sehr versiert darin, anormale Aktivitäten und Verhaltensweisen zu erkennen, die Cyberkriminelle bei der Vorbereitung einer potenziellen Datenschutzverletzung oder eines Angriffs an den Tag legen. Durch das Zusammenspiel von menschlicher Erfahrung und digitaler Leistungsfähigkeit lassen sich Bedrohungen viel schneller herausfiltern und umgehend im Keim ersticken.
Bedrohungsuntersuchung
Nachdem eine Bedrohungen erkannt wurde, muss sie im nächsten Schritt eingehend untersucht werden. Managed Investigation Services ermitteln, was, wann und wo ein Vorfall stattgefunden hat und welche Systeme, Daten, Anwendungen und Benutzer betroffen sind oder sein könnten. Dieser gesamte Kontext ist enorm wichtig, um möglichst effektive und passgenaue Gegenmaßnahmen einleiten zu können.
Unterstützung bei der Abwehr
Bei ihrem Partner für MDR-Sicherheit können Unternehmen sowohl Beratungsleistungen als auch Lösungen in Anspruch nehmen. Die Experten stützen sich dabei auf ihre eigene Erfahrung und können auf einen enormen Fundus an bislang gesammelten Bedrohungsdaten zurückgreifen, um Unternehmen hinsichtlich der besten Vorgehensweise zu beraten. Und dabei kann es sowohl um die Beseitigung einer bevorstehenden Bedrohung gehen als auch um Maßnahmen zur Reaktion und Wiederherstellung nach einem erfolgten Angriff.
Beseitigung der Folgen
Bei der Beseitigung der Folgen geht es darum, alle Spuren einer Bedrohung zu beseitigen und Systeme, Anwendungen und Daten in den Zustand vor dem Angriff zurückzuversetzen. Dazu muss unter Umständen eine ganze Reihe von Prozessen angestoßen werden, wie z. B. die Entfernung von Malware, die Bereinigung der Registry, das Verhindern von unbefugtem Zugriff, die Wiederherstellung der Systeme usw. Welche Maßnahmen zum Einsatz kommen, hängt von der Art der Bedrohung oder des Angriffs ab und wird in Absprache mit den MDR-Sicherheitsexperten festgelegt.
Wie unterscheidet sich MDR von einer herkömmlichen Antiviren-Software?
Der größte Unterschied zwischen MDR-Diensten und einem herkömmlichen Antiviren-Schutz besteht darin, dass MDR proaktiv arbeitet, während Antivirus immer nur reagiert.
Antiviren-Systeme stützen sich im Wesentlichen auf die Erkennung von bekannten Merkmalen, wobei jede Malware-Variante eine Art eigenen Fingerabdruck hat, nach dem die Systeme Ausschau halten. Immer mehr Cyberkriminelle entwickeln jedoch einzigartige Malware-Varianten, die sich von allen anderen unterscheiden und daher nicht an ihrem Fingerabdruck zu erkennen sind. In jedem Fall aber können Antiviren-Programme diese Varianten nur dann erkennen, wenn sie bereits bekannt sind. Und so lange können sie ihre schädliche Wirkung ungehindert entfalten.
Managed Detection and Response-Tools hingegen suchen tagtäglich rund um die Uhr proaktiv nach Malware-Infektionen auf Systemen und halten deren Auswirkungen in Grenzen.
Was ist der Unterschied zwischen MDR und EDR?
EDR steht für Endpoint Detection and Response und arbeitet mit denselben automatisierten Regeln, die in der Priorisierungsphase von MDR verwendet werden. Eine EDR-Bereitstellung zeichnet Ereignisse und Verhaltensmuster auf allen Endgeräten auf und bewertet diese anhand von automatisierten Regeln, die von den Sicherheitsteams aufgestellt wurden. Verdächtig erscheinende Muster oder Aktivitäten werden zur weiteren Untersuchung an das Sicherheitsteam weitergeleitet.
Viele sehen EDR als Bestandteil von MDR, der in Unternehmen mit gut etablierten Prozessen und Methoden neben qualifizierten IT-Sicherheitsexperten eingesetzt wird.
Ist Managed Detection and Response dasselbe wie XDR?
Nicht ganz. Einfacher ausgedrückt: XDR – die Abkürzung steht für Extended Detection and Response – geht noch einen Schritt über MDR hinaus. XDR nutzt riesige Datenmengen aus verschiedenen Quellen, um noch fundierter und aktiver nach Bedrohungen zu suchen und diese zu analysieren. Zusätzlich werden fortschrittlichere Tools zur Verhinderung von Datenverlusten und für das Identitäts- und Zugriffsmanagement (IAM) hinzugezogen, um einen umfassenden Überblick über die Bedrohungslandschaft im gesamten Unternehmen zu bekommen.
Welche wesentlichen Vorteile bietet MDR?
Managed Detection and Response-Services können das Sicherheitskonzept eines Unternehmens an verschiedenen Stellen optimieren und in fast allen Bereichen des Sicherheitsbetriebs leistungsfähiger machen. Zu den Vorteilen der MDR-Sicherheit gehören unter anderem:
Frühzeitiges Erkennen
Manch ein Sicherheitsvorfall bleibt monatelang unentdeckt. In dieser Zeit können Angreifer ungeheuren Schaden an Systemen, Anwendungen und Daten anrichten, ohne dass das Unternehmen etwas davon mitbekommt. MDR kann diese Zeitspanne nicht nur auf Tage oder Stunden, sondern auf Minuten verkürzen, was das potenzielle Ausmaß eines Angriffs erheblich reduziert.
Verbesserte Sicherheitsstellung
MDR-Services machen Unternehmen widerstandsfähiger gegenüber Angriffen, da wesentliche Auswirkungen im Falle einer Datenschutzverletzung mit größerer Wahrscheinlichkeit abgewendet werden können. Die gesamte Sicherheitskonfiguration wird optimiert und das Unternehmen bleibt auch dann noch gut aufgestellt, wenn sich Geschäftsanforderungen und Angriffsprofile im Laufe der Zeit weiterentwickeln.
Kontinuierliche Bedrohungserkennung
Dass Managed Detection and Response-Tools 24 Stunden am Tag, sieben Tage die Woche und 365 Tage im Jahr nach Bedrohungen Ausschau halten, bedeutet, dass sich Bedrohungen und Malware nicht im System „verstecken" können, um zu einem späteren Zeitpunkt aktiv zu werden. Datenmuster und -verhalten werden laufend analysiert, so dass anormale Aktivitäten erkannt werden, bevor ein Schaden entsteht.
Schnellere Abwehr und Beseitigung von Bedrohungen
Alle drei oben genannten Punkte sorgen für eine viel schnellere Bedrohungsabwehr und -beseitigung, als es sonst möglich wäre. Dank der frühzeitigen Erkennung können unter MDR die richtigen Maßnahmen zeitnah und gezielt im betroffenen Bereich eingeleitet werden.
Entlastung des Sicherheitspersonals
Vor dem Hintergrund des Fachkräftemangels sollte sich das Sicherheitsteam nicht mit einem bunten Strauß von Sicherheitstechnologien herumschlagen müssen, die den Zeitdruck und den Stress der Mitarbeiter noch verstärken. Der allgegenwärtige Zeitmangel führt dazu, dass Vorfälle übersehen und die zur Verfügung stehenden Mittel nicht richtig genutzt werden. Dieser Druck lässt sich mindern und die Effektivität des internen Teams im Alltag erhöhen, indem ein Großteil der Arbeitslast an Managed Services und erfahrene externe Profis ausgelagert wird.
Geringeres Risiko von Alarmermüdung
Mit der Einführung von Sicherheitstechnologien steigt auch die Zahl der Warnhinweise und Vorfälle, die das Sicherheitsteam in mühsamer Kleinarbeit abarbeiten muss. Ein solch banale, eintönige und damit fehleranfällige Tätigkeit führt auf Dauer dazu, dass Mitarbeiter gar nicht mehr entscheiden können, welche Probleme am dringendsten sind und bevorzugt behandelt werden müssen. Ein MDR-Service kann dem Team diesen mühsamen Part abnehmen, indem es die Hinweise analysiert und eine Prioritätenliste der drängendsten Probleme erstellt.
Worauf sollten Sie bei der Auswahl eines Managed Detection and Response-Dienstes achten?
Der Markt für MDR-Dienste ist groß: Untersuchungen von Gartner zufolge legt der MDR-Markt im kommenden Jahr um 48 % zu und wird bis 2025 ein Volumen von 2,2 Milliarden US-Dollar erreichen. Auf diesem Markt tummeln sich zahlreiche Anbieter, was es schwer macht, einen geeigneten Service zu finden, der den eigenen Gegebenheiten und Anforderungen gerecht wird. Wir empfehlen, bei der Auswahl auf die folgenden vier Punkte zu achten:
Ergänzende MDR-Kompetenzen
Wahrscheinlich gibt es in Ihrem Sicherheitsteam bereits ein beachtliches Maß an Sachkenntnis, aber wie der globale Mangel an Know-how zeigt, sind vermutlich auch bei Ihnen einzelne Bereiche weniger gut aufgestellt. Bevor Sie sich mit den verschiedenen Anbietern beschäftigen, sollten Sie diese Wissenslücken ermitteln und dann gezielt nach einem Anbieter suchen, der auf diesen Bereich spezialisiert ist und Ihr Team entsprechend ergänzen kann.
Know-how und Fähigkeiten des MDR-Anbieters
Ein guter Managed Detection and Response-Dienst verfügt über aktuelle Kenntnisse der derzeitigen Sicherheitslandschaft. Er kennt die neuesten Bedrohungen sowie viele der Faktoren, die die Internetkriminalitätfördern, einschließlich aller damit verbundenen geopolitischen und kulturellen Umstände. Dieses Wissen – in Verbindung mit seinen Sicherheitskompetenzen und Fähigkeiten – bedeutet für die meisten internen Sicherheitsteams einen Mehrwert.
Bereitstellung der MDR-Services und Zusammenarbeit
Fachkenntnis und Fähigkeiten, die ein potenzieller MDR-Sicherheitsdienst mitbringt, sind nur die eine Seite. Darüber hinaus muss er gut zu Ihrem bestehenden Team, Ihren Technologien und Ihrem gesamten Unternehmen passen. Gute Kommunikation ist hier ein wichtiges Stichwort, damit Informationen und Erkenntnisse problemlos zwischen allen Beteiligten ausgetauscht werden können. Ist sie gewährleistet, wird sich das interne Sicherheitsteam viel schneller im neuen Gefüge einfinden. Der Anbieter sollte außerdem nachweisen können, dass sein Schutz rund um die Uhr besteht, damit die Sicherheit Ihres Systems auch außerhalb der regulären Arbeitszeiten Ihres Sicherheitsteams gewährleistet ist.
Umfassende Lösungen
Letztendlich sollten Sie nach einer MDR-Lösung suchen, die alles abdeckt. Eine Lösung wie Kaspersky Managed Detection and Response bietet fortschrittliche Schutztechnologien, proaktive Bedrohungssuche, automatisierte Gegenmaßnahmen und Anleitung zur Abwehr sowie weltweit anerkanntes Fachwissen, auf das Sie jederzeit zurückgreifen können. Mit unserem MDR senken Sie nicht nur die Gefahr eines Cyberangriffs auf ein Minimum, sondern schöpfen das Potenzial Ihrer Investition in die IT-Sicherheit bestmöglich aus.
Kaspersky Managed Detection and Response und Kaspersky Incident Response wurden von Quadrant Knowledge Solutions zum Branchenführer des Jahres 2023 ernannt, als Auszeichnung für die hohe Effektivität unserer Lösungen beim Schutz von Unternehmen vor Cyberkriminellen.
Verwandte Artikel: