Wie KMUs mit MDR ihre Cybersecurity stärken

In KMUs ist die IT-Sicherheit besonders knifflig: Fehlende Fachkräfte und begrenzte Budgets machen es schwierig, alle erforderlichen Schutzmassnahmen lückenlos umzusetzen. Das setzt natürlich voraus, dass man überhaupt weiss, welche Massnahmen man umsetzen muss. 

Das Bundesamt für Cybersicherheit (BACS) hat zwar einen IT-Grundschutz definiert; und auch Versicherungen legen ein Mindestmass an Cyberschutz für Versicherte fest. Aber die Realität zeigt: Vieles bleibt unzureichend umgesetzt, Einfallstore bestehen weiterhin und Unternehmen haben Schwierigkeiten, Bedrohungen frühzeitig zu erkennen.

Die Verluste durch Cybercrime steigen jedes Jahr. (Source: Screenshot)

Nicht unbedingt müssen KMUs alle Fragen zur Cybersecurity selber beantworten. Mit Managed Detection and Response (MDR) erhalten sie die Möglichkeit, externe Expertise beizuziehen. Was MDR ist und wie KMUs davon profitieren, zeigten zwei Experten von Arctic Wolf in einem gemeinsamen Webinar mit Netzmedien. Arctic Wolf betreibt ein Security Operations Center (SOC), auf dem seine MDR-Lösungen basieren.

Fachkräfte, Budget, Prozesse

Zum Einstieg skizzierte Alexander Schmidt, Senior Sales Engineer bei Arctic Wolf, drei Problemherde, mit denen IT-Teams von KMUs besonders oft kämpfen: So sind die ohnehin schon kleinen IT-Teams oft mit Alltags-IT-Problemen ausgelastet. Verstärkt durch den Fachkräftemangel investiert das Unternehmen weniger in Kompetenzen. Cybersecurity wird zum Nebenthema und die Awareness für mögliche Probleme nimmt ab. Dies in einer Zeit, in der Cyberkriminelle dank künstlicher Intelligenz ihre Angriffe stets besser verschleiern können, wie Schmidt mit Praxisbeispielen illustrierte.

Alexander Schmidt, Senior Sales Engineer bei Arctic Wolf. (Source: Screenshot)

Mit engen Budgets werden Cybersecurity-Investitionen zudem eher abgelehnt. Gleichzeitig aber wird die Bedrohungslage komplexer und der mögliche Schaden eines Cybervorfalls höher. Anhand einer Grafik illustrierte der Referent, wie sich die Schere zwischen Cybersecurity-Ausgaben und der durch Cybervorfälle entstandenen Schadenssumme jährlich weiter öffnet.

Selbst wenn ein KMU etwa in eine Zugangsverwaltungslösung (Identity and Access Management, IAM) investiert hat, ist das nur der Anfang. Es brauche dazu auch "das Team und die Prozesse, um diese Lösung gescheit zu betreiben", wie Schmidt zusammenfasste.

Wenn EDR-Lösungen nutzlos werden

Wie komplex das Zusammenspiel von Fachkräften, Budgets und Prozessen ist, verdeutlichte Felix Guggenheim, Senior Systems Engineer bei Arctic Wolf. Zwar investierten immer mehr Unternehmen in sogenannte "Endpoint Detection and Response" (EDR)-Lösungen. Aber es wirke so, als ob "wir immer mehr Geld für Medikamente ausgeben und trotzdem immer kränker werden", sagte Guggenheim. Es reiche nicht, eine EDR-Lösung zu haben, zitierte er eine Studie. "Es kommt auf die Qualität der Umsetzung an."

Felix Guggenheim, Senior Systems Engineer bei Arctic Wolf. (Source: Screenshot)

Dazu gehöre, die EDR-Lösung auf allen Geräten und in allen Umgebungen auszurollen und das System so zu konfigurieren, dass es bei Gefahren auch wirklich blockieren kann. "Es steckt richtig viel Arbeit dahinter, wenn es greifen soll", kommentierte Guggenheim. Zudem, fügte er hinzu, ergebe der Einsatz eines EDR-Systems nur dann Sinn, wenn ständig (also 24 / 7) jemand auf dessen Alerts reagieren könne.

Ein EDR sei "eine tolle Technologie, die auch gut funktioniert", stellte Guggenheim klar. Greifen könne sie aber nur, wenn man Zeit, Ressourcen und Wissen in deren Betrieb investiere.

KI-Wettrüsten

Im Laufe des Webinars nannten die Experten weitere komplexe Problemstellungen abseits von EDR. Dazu gehört ein robustes Patch-Management - also das Priorisieren und Einspielen von Sicherheits-Updates, um Schwachstellen zu beheben.

Schliesslich kamen sie auch auf künstliche Intelligenz (KI) zu sprechen - für die Cybersecurity ein zweischneidiges Schwert: Denn während Kriminelle mit KI immer realistischer wirkende Deepfakes generieren und Cyberangriffe schneller durchführen können, machen Lösungsanbieter damit ihre Erkennungs- und Abwehrsysteme effizienter.

KI kann auf beiden Seiten genutzt werden - zum Angriff und zur Verteidigung. (Source: zVg)

Als mögliche Angriffsmethode nutzen Kriminelle laut Guggenheim KI, um "möglichst viel Lärm" zu erzeugen - also ein Ziel mit einer kaum mehr verarbeitbaren Menge an Warnungen zu fluten. Das derart angegriffene Ziel werde dadurch gezwungen, "noch mehr KI einzusetzen, um dieser Flut Herr zu werden".

Mit dem KI-Trend werden auch weniger versierte Kriminelle zu Malware-Entwicklern - Vibe-Coding sei Dank. Für Anbieter von Abwehrlösungen bedeutet dies, dass ihre Lösungen deutlich mehr Malware-Varianten erkennen müssen.

Alles in allem beschleunige KI die Entwicklungen im Cybersecurity-Bereich deutlich. Das Fazit, welches viele KMUs ziehen dürften, ist ernüchternd: "Ohne KI geht es nicht mehr, mit KI ist die Situation auch nicht viel besser", fasste Schmidt zusammen.

Hilfe holen - und zwar frühzeitig

Schon das Setzen der idealen Cybersecurity-Prioritäten dürfte manches KMU überfordern. Dazu zeigte Alexander Schmidt das Bild eines Gebäude-Rohbaus und kommentierte: "Die Priorisierung sollte eigentlich auf dem Monitoring liegen". Und genau diese Aufgabe könnte ein ausgelagertes SOC oder eben eine MDR-Lösung übernehmen.

Felix Guggenheim fügte den Ratschlag hinzu, externe Hilfe frühzeitig in Anspruch zu nehmen. Denn: Ein SOC sei "extrem gut darin", ein KMU beim Aufbau einer sicheren IT-Infrastruktur zu unterstützen.

Die Vorteile eines SOC gemäss Arctic Wolf. (Source: zVg)

Konkret macht ein SOC zunächst die Angriffsoberfläche sichtbar. Dabei entsteht "eine 360-Grad-Sicht darauf, was eigentlich in einer Umgebung läuft", erklärte Guggenheim. Darauf aufbauend wird ein Verbesserungsprozess etabliert, um Systeme zu härten. Ziel sei es, mögliche Angriffe zu verhindern oder deren Ausbreitung zu verlangsamen. Und das "Kernthema" des SOC sei schliesslich, rund um die Uhr auf Alarme zu reagieren, Angriffe zu erkennen und Schaden abzuwenden. "Ich kann den Zugriff nicht immer verhindern, aber ich kann ihn schnell entdecken und abklemmen, wenn noch kein Schaden entstanden ist."

Falls auch dies nicht gelingt - wenn es also zum Ernstfall kommt, hält ein SOC ein Incident Response Team bereit. Dessen Spezialisten untersuchen den entstandenen Schaden und unterstützen das Opfer dabei, "den Betrieb wieder möglichst schnell zum Laufen zu bringen".

Eine "Notlösung" sei MDR aber nicht, betonten die Referenten in einer Fragerunde am Ende des Webinars. Guggenheim erklärte, wie proaktive und reaktive Massnahmen eine ganzheitliche Cybersecurity-Lösung bildeten. "Ich kann in einem Gebäude ja nicht die Türe weglassen, nur weil ich ein Monitoring habe", sagte er dazu. Und umgekehrt müsse man überwachen, ob die Türe aufgebrochen werde.

 

Hier geht es zur vollständigen Videoaufzeichnung des Webinars.

Der Kenncode lautet: *2atKG1X

Und die Slides der Präsentation können Sie hier als PDF herunterladen.

 

Übrigens haben die Referierenden im Webinar auf Bemühungen des BACS hingewiesen, eine neue Methode zum Umgang mit Cyberrisiken zu entwickeln. Eine erste Testversion seiner Cybersicherheits- und Resilienzmethode - kurz CSRM – stellte die Behörde 2025 vor, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.