Mit XDR die Fertigung vor Cyberangriffen schützen
Industrieunternehmen bauen auf Endpoint Detection & Response, um Cyberangriffe zu verhindern. Doch Angreifer nutzen heute immer ausgefeiltere Angriffsmethoden. Sie dringen über Netzwerke ebenso ein wie über die Cloud. Extended Detection & Response (XDR) bietet wirksamen Schutz.
Die moderne Industrie nutzt längst die Potenziale der Digitalisierung. Ihre Fertigungsstrassen arbeiten weitgehend automatisiert und vernetzt, die Wartung erfolgt auf Big-Data-Analysen basierend und vorausschauend. Produktionsdaten liegen in der Regel in der Cloud, was nicht nur ihre Verwaltung vereinfacht, sondern auch den schnellen und effizienten Austausch mit externen Geschäftspartnern und Zulieferern ermöglicht. Doch die Digitalisierung spielt auch den Cyberkriminellen in die Hände. Längst sind Angreifer nicht mehr nur auf Endpoints angewiesen, um in Unternehmensnetzwerke einzudringen. Angriffe sind heute an verschiedensten Punkten denkbar, beispielsweise an Maschinensteuerungen oder Sensoren in der Produktion. Die dafür nötige Schadsoftware wird bereits im Darknet gehandelt – etwa in Form von Ransomware-as-a-Service.
Dass eine umfassende Endpoint Detection & Response nicht ausreicht, um Angriffe wirksam zu verhindern, wird Anwendern in der Regel erst dann deutlich, wenn die Produktion steht und eine Lösegeldforderung vorliegt. Angesichts der verschärften Bedrohungslage wird es immer wichtiger, Cyberangriffe bereits im Entstehen aufzuspüren, die betroffenen Systeme zu identifizieren und rechtzeitig Gegenmassnahmen einzuleiten.
Bedrohungen aufspüren – mit EDR nahezu unmöglich
Doch dies alles ist keineswegs so einfach wie es klingt. Denn IT und OT bilden vor allem in Industrieunternehmen ein äusserst konvergentes und unüberschaubares System. Welche Systeme Zugang zum Internet haben, auf welchem Stand die einzelnen Bestandteile sind oder wohin sie kommunizieren, ist kaum nachvollziehbar. Angriffe lassen sich aufgrund dieser Komplexität nur schwer aufspüren, geschweige denn nachvollziehen. Verstellt wird der zentrale Blick auf das Bedrohungsgeschehen zudem durch das Vorhalten der Analysedaten in einzelnen Silos. Hier die relevanten Informationen herauszufiltern – egal, ob innerhalb eines SOC, eines SIEM oder eines SOAR – erfordert eine zeitraubende und mühevolle Analysearbeit durch die internen Security-Spezialistinnen und -Spezialisten.
All dies schwächt die Reaktionsfähigkeit von Unternehmen gegenüber aktuellen Bedrohungen deutlich. Abhilfe schafft Extended Detection & Response (XDR). Sie ist in der Lage, aus den Hunderten täglich im Unternehmensnetzwerk eingehenden Meldungen die tatsächlich kritischen herauszufiltern und relevante Bedrohungen aufzuspüren.
XDR – mit Threat Intelligence und KI gegen Angreifer
XDR geht weit über EDR hinaus und ergänzt SIEM, SOC und SOAR. Die Technologie sammelt die Informationen aus allen dem Unternehmensnetzwerk angeschlossenen Sicherheitssystemen in einem Data Lake. Sie analysiert diese Daten automatisiert mit Mitteln der künstlichen Intelligenz. Auf diese Weise schafft XDR Transparenz über alle Vektoren hinweg – von den Endpunkten über Netzwerke, Server und E-Mail-Systeme bis hin zu Cloud-Workloads. Die Daten werden korreliert und False Positives aussortiert. Während beim Einsatz eines SIEM der Grossteil der Analysearbeit dem Security-Team überlassen bleibt, ist XDR in der Lage, aus Tausenden Warnungen in kurzer Zeit die wirklich relevanten herauszufiltern.
Durch XDR-Sensoren an kritischen Punkten im Netzwerk können zudem auch solche Assets in die Überwachung eingebunden werden, auf denen keine moderne Security-Lösung installiert werden kann (zum Beispiel industrielle Legacy-Systeme) oder darf (beispielsweise aus Compliance- oder Lizenzierungsgründen). Gerade solche Systeme stellen in Industrieumgebungen ein nicht zu unterschätzendes Risiko dar.
So werden die verschiedenen Ereignisse zuverlässig und zeitnah korreliert und erkannt, welche Alerts wichtig sind. Aufgrund all dieser Funktionen erfolgt die Analyse der Bedrohungen deutlich schneller als dies bei EDR möglich wäre. Anwender werden in die Lage versetzt, einem erfolgten Angriff zeitnah und wirksam zu begegnen und rechtzeitig die passenden Massnahmen zu ergreifen. Doch XDR bietet noch einen weiteren Vorteil: Use Cases sind hier bereits in Form vorgefertigter Szenarien für die Endpoint- und E-Mail-Security eingebunden – ein weiterer wichtiger Faktor für eine schnelle und wirksame Gegenreaktion.
Mehr Flexibilität dank Managed Service
Ein SIEM, SOC und SOAR durch Extended Detection and Response zu ergänzen, erhöht deutlich die Sicherheit gegenüber Cyberattacken. Eine solche Ergänzung kann ganz einfach erfolgen, indem ein Anwender XDR im Managed Service eines qualifizierten Providers nutzt. Letzterer sollte ein führendes Security-Stack bereitstellen können und über ein grosses und erfahrenes Team an SOC-Spezialisten verfügen. Ein weiteres Kriterium ist ein breiter Kundenstamm, denn dann ist die Datenbasis entsprechend gross und Analysen besonders treffsicher. XDR im Managed Service zu beziehen, spart zudem deutlich Kosten, denn der Kunde erhält einen jederzeit skalierbaren und auf seine Bedürfnisse abstimmbaren Rundum-Service.
Dieser Service umfasst die Sicherheits-Expertise erfahrener SOC-Analysten, die rund um die Uhr die Ereignisse der XDR-Lösung im Blick behalten und kritische Alerts auswerten. Um Indikatoren zu suchen und Bedrohungen einzuschätzen, nutzen sie sowohl eigene Erfahrungswerte als auch weltweite Threat-Datenbanken. Auf diese Weise werden gefährliche Angriffe im Moment ihres Entstehens transparent – ganz egal, wo sie im Netzwerk auftreten. Bei einem erfolgten Angriff erhalten Anwender qualifizierte und detaillierte Handlungsanweisungen, sodass sie die Attacke wirksam stoppen können.
Eine zentrale Konsole zeigt an, welche Systeme betroffen sind und wie ein Angriff bisher verlaufen ist. Dank der automatisierten, intelligenten Auswertung, die XDR leistet, profitieren Unternehmen insgesamt von einer deutlich höheren Transparenz über die Bewegungen von Angreifern und einer weitaus besseren Reaktionsfähigkeit im Ernstfall. XDR bietet dafür eine äusserst hohe Effizienz: Dank intelligenter und automatischer Auswertungsmechanismen reduziert es die Anzahl der Security-Events um bis zu 90 Prozent. Und – in Zeiten anhaltenden Fachkräftemangels ebenfalls wichtig – das Arbeitsvolumen übersteigt die menschliche Leistung deutlich. Laut ESG Research Insights Report kann XDR die Arbeit von acht Vollzeit-Mitarbeitenden leisten und diese sich wieder anderen wichtigen Aufgaben widmen.
Angreifern einen Schritt voraus dank höherer Transparenz
Angesichts einer immer komplexeren Bedrohungslandschaft ist es für Unternehmen heute ein Muss, XDR einzusetzen. Gartner nennt XDR sogar als einen der Top-Security- und Risk-Management-Trends. Unternehmen sollten also die Chancen ergreifen, die ihnen XDR bietet. Diese liegen nicht allein in der Verlagerung der Analysearbeit auf externe, erfahrene Fachleute per Managed XDR. Sie liegen auch in der Entlastung der eigenen IT-Abteilung und einem deutlichen Zuwachs an Security-Know-how. Denn die Anbieter von Managed XDR arbeiten für zahlreiche Kunden weltweit und kennen aktuelle Bedrohungsszenarien. Ihr Wissen geben sie in der Kommunikation mit dem Kunden weiter. Unternehmen können dabei flexibel gestalten, wie sie XDR nutzen wollen und den Anteil des Managed Service auf ihre Anforderungen zuschneiden. Wie auch immer sie XDR nutzen – die neue Technologie versetzt sie in jedem Fall in die Lage, den Angreifern einen entscheidenden Schritt voraus zu sein.
Wie die Schweiz ihre digitalen Daten besser schützen kann
ICT Day und Roadshow 2025, Zürich
OpenAI sichert sich massive Cloud-Kapazitäten von Oracle
Mobile Banking: Hätten Sie’s gerne einfach oder lieber kompliziert?
Microsoft GSA – eine neue Ära für sicheren Zugriff auf Firmenressourcen
Update: Googles KI-Videotool Veo 3 kommt in die Schweiz
Wie sich der CFO vom Zahlenhüter zum Zukunftsgestalter mausert
Wie die BKB mit ADOGRC neue Standards in der Compliance setzt
ETH-Spin-off Tinamu ernennt neuen CTO
