Inhalt
Eine leistungsstarke IT Security stützt sich grundsätzlich auf zwei Säulen: Einerseits auf die Verhinderung oder zumindest die Verlangsamung erfolgreicher Cyberangriffe durch umfangreiche Sicherheitsmechanismen und zum anderen auf eine schnelle Erkennung und Abwehr erfolgreicher Cyberangriffe, welche die Sicherheitsmechanismen umgehen konnten.
Je weiter die Digitalisierung voranschreitet, desto herausfordernder wird es, Unternehmen vor Schäden aus erfolgreichen Cyberangriffen zu schützen. Raffiniert aufgebaute Malware, Ransomware, bösartige Skripte und Advanced Persistent Threats (APT’s), die meist mittels Social Engineering den Weg ins Netzwerk finden, bedrohen die IT-Sicherheit von Unternehmen weltweit.
In den letzten Jahren hat sich dabei eine Tendenz verstärkt, die mittlerweile zu einer der größten Gefahren im Bereich der Cyberabwehr geworden ist: Es fehlt an notwendiger Manpower. Der Fachkräftemangel schlägt auch in den IT Security Branchen voll durch. Vor allem kleinere und mittlere Unternehmen können freie Stellen nur schwer besetzen. Spezialisierte IT-Sicherheitsdienstleister bieten hier mit Managed Detection & Response (MDR) Services die dringend benötigte Unterstützung. Diese zusätzliche, externe Manpower entlastet unternehmensinterne IT Security-Teams bzw. bietet Unternehmen die Möglichkeit, über ein „eigenes“ IT Security-Team zu verfügen.
Fully- oder Co-Managed Detection & Response Service – inwieweit sich diese beiden Ansätze unterscheiden und wann welcher Service für Ihr Unternehmen sinnvoll ist, erfahren Sie in diesem Beitrag.
Was bedeutet Managed Detection & Response?
Der alleinige Einsatz klassischer Sicherheitsmaßnahmen gewährleistet längst kein wirkungsvolle IT Security mehr. Heute zählt eine aktive, schnelle und umfassende Gefahrenerkennung und -abwehr mehr denn je. Dafür setzen bereits viele Unternehmen unterschiedlichste „Threat Detection and Response“ Tools ein, die das Ziel haben, stattfindende Angriffsaktivitäten zeitnah aufzuspüren, zu melden und somit das Sicherheitsniveau maßgeblich zu erhöhen: EDR (Endpoint Detection & Response), NDR (Network Detection & Response) oder XDR (Extended Detection & Response) gelten derzeit als relevante sicherheitstechnische Lösungen, die aktuellen und zukünftigen Cyberbedrohungen wirkungsvoll gegenüberstehen.
Hinter den drei Buchstaben von EDR, NDR oder XDR verbergen sich zusammenfassend „Detection and Response“-Modelle, die Cyberbedrohungen detektieren, also erkennen, und diese in unterschiedlicher Ausgestaltung managen. Die Lösungen werden eingesetzt, um Angriffe auf Unternehmensnetzwerke frühzeitig zu erkennen und schnellstmöglich zu stoppen.
Verantwortliche IT Security Teams – zumeist Cyber Defense Analysten und Threat Hunter – erhalten durch Detection & Response Lösungen umgehend Meldungen über identifizierte Auffälligkeiten sowie sicherheitsrelevante Daten, die auf akute Bedrohungslagen hinweisen könnten. Damit werden sie in die Lage versetzt, in kürzester Zeit angemessen darauf zu reagieren und großen Schaden von Unternehmen abwehren zu können.
Warum Managed Detection & Response Services?
Einer großangelegten Studie zufolge gefährdet fehlende Manpower in 85 % aller Unternehmen die Cybersicherheit. Entlastung auf dem Arbeitsmarkt ist nicht in Sicht, im Gegenteil: Alle Indikatoren weisen darauf hin, dass sich das Problem in den nächsten Jahren nochmals deutlich verschärfen wird.
Managed Detection & Response Services (MDR) setzen genau an dieser eklatanten Schwachstelle an. Der Begriff steht für die verwaltete Erkennung und Reaktion von Angriffen. Hier steht nicht die Technologie oder eine Lösung im Vordergrund, sondern ein Service, der von spezialisierten IT Security Dienstleistern bereitgestellt wird. Unternehmen können durch eine Inanspruchnahme eines MDR Services auf Dienstleistungen von professionellen IT Security-Providern zurückgreifen, die auf die Erkennung, Analyse und Abwehr von Cyberangriffen spezialisiert sind – idealerweise 24/7. So kann der für ein Unternehmen extern verantwortliche IT Security Analyst beispielsweise mit Hilfe des Einsatzes eines Orchestrierungs-Tools (Security Orchestration Automation and Response, kurz: SOAR) bei Erkennung und Bestätigung einer realen Bedrohung umgehend entsprechende Abwehrmaßnahmen in die Wege leiten. Die MDR-Leistungen können je nach Bedarf eines Unternehmens in Anspruch genommen werden und entlasten interne IT-Sicherheitsteams von anfallenden Routineaufgaben oder der zeitintensiven Bearbeitung von Fehlalarmen.
Solch gemanagte Detection & Response Services können dabei entweder als Fully Managed – oder als Co-Managed-Service ausgestaltet sein.
Was umfasst ein Fully Managed Detection & Response Service?
Ein Fully Managed Detection & Response Service ist als “Komplettpaket” zu verstehen, bei dem alle für ein Unternehmen notwendigen bzw. sinnvoll erachteten IT Security Tools von einem Service Provider zur Verfügung gestellt und für das Unternehmen verwaltet und betrieben werden. Hierbei kann es sich z.B. um ein SIEM (Security Information and Event Management) handeln, ergänzt um ein SOAR-System zur schnelleren, teilweise automatisierten Analyse und Abwehr eines Cyberangriffes. An SIEM und SOAR sind alle Systeme angebunden, die einen potenziellen IT-Sicherheitsvorfall initial erkennen, weitere Informationen zur Beurteilung liefern oder Schutzmaßnahmen einleiten können. Konkret kann es sich dabei z.B. um die Anbindungen der bereits erwähnten EDR/NDR/XDR Lösungen handeln. Es können aber auch weitere Lösungen angebunden werden, wie beispielsweise Phishing Detection, Threat Intelligence oder Vulnerability Management.
Security Service Provider führen beim Fully MDR Service die Implementierung und den Betrieb aller benötigten IT Security Tools durch und überwachen 24/7 die Netzwerke und Endgeräte der Kunden auf Anomalien. Bei Bedarf werden Abwehrmaßnahmen in enger Absprache mit dem Kunden in die Wege geleitet. Zusätzlich werden alle anfallenden administrativen Arbeiten – beispielsweise das Auswerten von Logfiles, die Aktualisierung der eingesetzten Tools mit Patches und Updates oder die Erstellung von Berichten – durch den externen Dienstleister übernommen.
Was versteht man unter Co-Managed Detection & Response Service?
Ein Co-Managed Detection & Response Service zeichnet sich durch eine individuelle und flexible Inanspruchnahme aus: Das Managen und die Verwaltung bestimmter Security Tools wird auf einen Service-Provider übertragen. Der Ansatz der Co-Managed Detection & Response Services basiert dabei auf der Tatsache, dass viele Organisationen und Unternehmen bereits in IT Security Tools wie AntiPhishing, SIEM, EDR/NDR/XDR und SOAR investiert haben, dann aber feststellen mussten, dass ein lückenloser, effizienter Betrieb an ausreichend Manpower scheitert. Fehlende Expertise (oder bei Bedarf auch Tools) lassen sich bei Co-Managed Detection & Response Services nach dem Baukastenprinzip hinzubuchen – mit planbaren, transparenten und skalierbaren Kosten.
Co-Managed Detection & Response Services sind dabei nicht als Ersatz, sondern als Ergänzung zur bereits bestehenden IT-Sicherheitsarchitektur zu sehen, um sicherzustellen, dass auf identifizierte IT-Sicherheitsbedrohungen umgehend und angemessen reagiert werden kann. Und dies erfolgt aufgrund der Expertise und Manpower des MDR Service Providers so schnell, dass maßgeblicher Schaden vom betreffenden Unternehmen abgewendet oder zumindest stark reduziert wird. Darüber hinaus bieten Co-Managed Detection & Response Services noch einen weiteren, nicht zu unterschätzenden Vorteil: Die Kunden erhalten qualitativ hochwertige Beratungsleistungen und einen wertvollen Wissenstransfer. Denn eine enge, kooperative Zusammenarbeit ist maßgeblicher Teil aller Co-Managed-Serviceansätze. Erfahrene, externe Spezialisten kompensieren das fehlende Expertenwissen im Unternehmen – und die unternehmensinterne IT profitiert durch den fachlichen Austausch von deren Erfahrung und Know-How.
Individuelle Inanspruchnahme von IT-Sicherheits-Services nach Baukastenprinzip mit flexiblen, hybriden Ansätzen: Co-Managed Detection & Response Services schließen bei fehlenden Ressourcen, Expertise oder Fachkräften Lücken in der Cyberabwehr und stellen eine wertvolle Alternative zu kompletten Inhouse-Konzepten oder Fully Managed Services dar.
Fazit
Erfahrene Fachkräfte im Bereich der IT Security sind auf dem Arbeitsmarkt kaum noch zu bekommen. Vor allem kleine und mittlere Unternehmen stehen allzu häufig ohne die dringend benötigte menschliche Expertise dar, selbst wenn technische Security Lösungen im Unternehmen vorhanden sind. Managed Detection & Response (MDR) Services füllen die Lücken in der Cyberabwehr. Während Fully Managed Detection & Response Services als Komplettpaket alle notwendigen Tools und Leistungen bereitstellen, gleichen modular und flexibel aufgebaute Co-Managed Detection & Response Services fehlende Ressourcen und Kapazitäten in bestimmten Bereichen aus.
Sie haben Interesse an Managed oder Co-Managed Detection & Response Services? Kontaktieren Sie uns am besten gleich online oder telefonisch unter: +49 30 5557021 11. Wir beraten Sie gerne unverbindlich und individuell in einem persönlichen Gespräch!
