IT-Security: Einfach mal machen lassen

 In einer Welt, in der Nachrichten über Cyberattacken genauso zum Alltag gehören wie der Wetterbericht, steht der Mittelstand vor einer besonders kniffligen Herausforderung: Wie kann man mit begrenzten Budgets den ständig wachsenden Bedrohungen im Cyberspace standhalten? Nicht nur Hacker, Ransomware und Co. machen Unternehmenslenkern zu schaffen. Auch Cyberversicherungen schrauben die Sicherheitsanforderungen für eine Police immer wieder nach oben. Zu guter Letzt verschärfen das Informationssicherheitsgesetz und die EU mit der NIS2-Richtlinie den Anspruch an die Cybersicherheit.

Leider verfügen viele Organisationen nicht über die erforderlichen Ressourcen, das Fachwissen und die Tools, um eine wirksame Sicherheitsstrategie zu implementieren und zu betreiben. Laut einer Studie von PwC Schweiz zum Thema Cybersecurity haben viele Unternehmen in der Schweiz Schwierigkeiten, hochqualifizierte Sicherheitsexperten zu finden, um ihre IT-In­frastruktur zu schützen und auf Sicherheitsvorfälle zu reagieren.

Endpoint-Detection-and-Response-Lösungen (EDR) für KMUs oft unverhältnismässig

Selbst Unternehmen mit dedizierten Sicherheitsteams stehen vor der Herausforderung, die ständig wachsende Menge an Security-Daten zu verarbeiten, um potenzielle Bedrohungen rechtzeitig zu erkennen und darauf zu reagieren. Die von vielen Experten geforderten EDR-Lösungen sind gerade für kleine und mittlere Unternehmen oft nicht praktikabel und die Kosten fast unerschwinglich. Die Implementierung, der Betrieb und die Wartung solcher Lösungen erfordern erhebliche Ressourcen und Fachkenntnisse, die viele KMUs möglicherweise nicht haben. Eine Studie der Allianz Risk Consulting Schweiz bestätigt, dass nur eine Minderheit der Unternehmen in der Schweiz in der Lage ist, Sicherheitsvorfälle innerhalb kürzester Zeit zu identifizieren und darauf angemessen zu reagieren. 

Managed Detection and Response als Rettungsanker

Doch es gibt eine elegante Lösung: Man betreibt EDR nicht in Eigenregie, sondern überträgt diese Aufgabe an externe Dienstleister. In diesem Fall spricht man von Managed Detection and Response (MDR).

Dahinter verbirgt sich ein Ansatz zur Sicherung von IT-Systemen und Daten vor Cyberbedrohungen. Im Wesentlichen handelt es sich dabei um einen externen Service, der von spezialisierten Anbietern bereitgestellt wird und eine umfassende Überwachung, Erkennung und Reaktion auf potenzielle Sicherheitsvorfälle umfasst. MDR-Provider nutzen fortschrittliche Technologien wie künstliche Intelligenz (KI), maschinelles Lernen und Verhaltensanalysen, um verdächtige Aktivitäten in Echtzeit zu identifizieren und Massnahmen einzuleiten. Je grös­ser dabei der Anteil von eingesetzter künstlicher Intelligenz ist, desto kostengünstiger kann die Dienstleistung angeboten werden. Managed Detection and Response ist kein in Stein gemeis­selter Service, sondern wird vom Anbieter individuell zusammengestellt.

Für wen eignet sich MDR?

MDR ist im Allgemeinen eine gute Wahl für Organisationen, die eine umfassende Sicherheitsüberwachung benötigen, ohne die gesamte Verantwortung intern zu tragen. Die externe Dienstleistung ermöglicht die Konzentration auf das Kerngeschäft, während Experten die Sicherheit überwachen.

Managed Detection and Response eignet sich vor allem für kleine und mittlere Unternehmen, die oft mit knappen Ressourcen für die Internetsicherheit zu kämpfen haben. MDR-Services ermöglichen es ihnen, externe Experten für die Überwachung und Reaktion auf Sicherheitsvorfälle zu nutzen, ohne ein eigenes Sicherheitsteam aufzubauen.

Aber auch Unternehmen mit komplexen IT-Infrastrukturen profitieren davon. Wenn sehr viele Endpoints, Cloud-Dienste, Netzwerke und Anwendungen im Einsatz sind, kann durch MDR (endlich) eine ganzheitliche und lückenlose Überwachung erzielt werden.

Organisationen wie Kritische Infrastrukturen, die sich vor fortschrittlichen Bedrohungen schützen müssen, zählen ebenfalls zu den Profiteuren. MDR-Anbieter verfügen über Echtzeitanalysten, die verdächtige Aktivitäten erkennen und darauf reagieren können. Dies ist besonders wichtig, um gezielte Angriffe und Zero-Day-Bedrohungen zu erkennen.

Die Vorteile von MDR  liegen auf der Hand

MDR-Services ermöglichen es Organisationen, Bedrohungen frühzeitiger zu identifizieren und präventive Massnahmen zu ergreifen. Die Dienstleister verfügen über spezialisiertes Fachwissen und umfangreiche Erfahrung, die viele Organisationen intern nicht besitzen. Sie sind in der Lage, komplexe Vorfälle effektiv zu bewältigen und Sicherheitsbedrohungen zu identifizieren. Je mehr KI zum Einsatz kommt, desto vergleichsweise günstiger ist der Preis, den sich auch KMUs leisten können. Organisationen können sicher sein, dass sie jederzeit vor hochentwickelten Bedrohungen geschützt sind, ohne eigene Sicherheitsexperten einstellen und schulen zu müssen. Und: MDR unterstützt Unternehmen dabei, die Einhaltung von Datenschutz- und Sicherheitsvorschriften oder die Anforderungen von Cyberversicherungen zu gewährleisten.

So funktioniert MDR in der Praxis

Ein MDR-Service übernimmt für KMUs beispielsweise die Systemüberwachung rund um die Uhr, Bedrohungserkennung und -verfolgung, Vorfallreaktion sowie Erkennungs- und Reaktionsfunktionen. Ein MDR-Service ist in der Lage, Bedrohungen innerhalb von wenigen Minuten  zu erkennen und darauf zu ­reagieren. Dazu nutzen IT-Sicherheitsanbieter Cybersicherheitstechnologien und Telemetriedaten, die sie  sammeln und auswerten. Für eine effektive Gefahrenabwehr bieten Cyber­security-Anbieter ihren Kunden Zugriff auf eine Bibliothek mit vordefinierten Mustern, die Kunden nutzen können, um benutzerdefinierte Regeln zu erstellen. Bei bestimmten Erkennungen oder verdächtigem Verhalten von Dateien oder Prozessen werden dann entsprechende Aktionen ausgelöst.

Der Unterschied zwischen EDR und MDR

Endpoint Detection and Response und Managed Detection and Response sind zwei wichtige Ansätze in der IT-Sicherheit. Obwohl sie ähnlich klingen, unterscheiden sie sich deutlich.

Endpoint Detection and Response kommt auf Endpoints (z. B. Computer oder Server) zum Einsatz. Die Lösung konzentriert sich darauf, Angriffe auf spezifische Geräte zu erkennen und einzudämmen. EDR analysiert das Unternehmensnetzwerk anhand von Funktionen wie Bedrohungserkennung, Verhaltensanalyse und Reaktion auf Sicherheitsvorfälle. Endpoint Detection and Response wird in der Regel in Eigenregie der IT-Abteilung betrieben.

Managed Detection and Response ist ein Security-Service, den externe Dienstleister für eine Organisation betreiben. Dies beinhaltet Sicherheitsüberwachung und -management über die gesamte IT-Umgebung des Auftraggebers hinweg. MDR-Anbieter können EDR-Lösungen als Teil ihres Toolkits verwenden: Deswegen ist MDR keine «Entweder-oder»-Entscheidung. Menschen spielen in dieser Dienstleistung eine wichtige Rolle, da sie Echtzeitanalysen durchführen und auf Bedrohungen reagieren können. Kostengünstige MDR-Services ersetzen bereits einen Grossteil der manuellen Aktivitäten durch künstliche Intelligenz.

Fazit

Wenn Cyberangriffe immer raffinierter und zielgerichteter werden, müssen Unternehmen mit hochwertigen Security-Massnahmen kontern. Durch die Auslagerung der Sicherheitsüberwachung und -reaktion an spezialisierte Dienstleister für Managed Detection and Response erzielen Unternehmen ein starkes Sicherheitsniveau und das bei überschaubaren Kosten.

>Mehr erfahren<