Mit Managed Security das Leben von IT-Teams erleichtern
Antiviren-Software ist die Grundlage, um Netzwerke vor Cyberattacken zu schützen. Aktuelle Angriffsmethoden führen uns aber vor Augen, dass deren Wirksamkeit begrenzt ist. Daher setzen viele Firmen auf Managed Endpoint Detection and Response, kurz MEDR.
Cybercrime ist ein schnelllebiges Geschäft: Im vergangenen Jahr haben Kriminelle pro Minute 93 neue Varianten ihrer schädlichen Software veröffentlicht, wie der aktuelle Bedrohungsreport von G Data zeigt. Ihr Kalkül: Antiviren-Lösungen halten mit dem hohen Tempo nicht Schritt und erkennen die neue Malware-Variante nicht, sodass sie ungehindert ins Netzwerk eindringen können. Aber auch Schwachstellen in Anwendungen öffnen Cyberkriminellen immer wieder eine Tür ins Netzwerk.
Grundsätzlich sind klassische Antiviren-Lösungen ein bewährter Schutz vor Cyberattacken. Aber immer wieder kommen sie aufgrund massenhafter Angriffe und bei gezielten Attacken schnell an ihre Grenzen. Antiviren-Programme sind darauf ausgelegt, Angriffe durch präventive Schutztechnologien abzuwehren – und das gelingt leider nicht immer. Daher suchen viele IT-Verantwortliche nach Lösungen, um ihre IT-Systeme besser vor Schadprogrammen zu schützen. Ein Ansatz ist Managed Endpoint Detection and Response (kurz Managed EDR/MEDR).
Virenschutz plus Echtzeit-Überwachung
MEDR ist darauf ausgerichtet, Angriffe zu entdecken, die eine klassische Virenschutzlösung nicht erkennt. Dabei geht sie zwei Schritte weiter: MEDR setzt auf Security-Technologien, ergänzt diese aber durch Sensorik und ermöglicht eine Reaktion auf schädliche Aktionen. Ein wichtiger Bestandteil von Managed Endpoint Detection and Response sind erfahrene Analystinnen und Analysten. Ihre Aufgabe besteht darin, potenziell schädliche Vorgänge zu analysieren, einzuschätzen und im Ernstfall zu reagieren. Sie haben Zugriff auf alle relevanten Informationen, die nötig sind, um eine Entscheidung zu treffen, ob eine Aktion im Netzwerk legitim ist oder nicht. Damit stoppen sie einen Cyberangriff bereits in der Anfangsphase und verhindern weitreichende Schäden. Je nach Vorfall reagiert MEDR auch automatisiert, damit keine Zeit bei einer manuellen Analyse verstreicht.
Der Vorteil für Unternehmen, wenn sie mit einem externen Anbieter zusammenarbeiten: Sie brauchen kein spezielles Fachpersonal. Denn das Einstellen von Security-Expertinnen und -Experten ist ohnehin unwirtschaftlich, da es sich um hoch spezialisierte und erfahrene Fachleute handelt. Diese sind nicht nur teuer, sondern auch schwer zu finden.
Augen auf bei der Dienstleister-Wahl!
Wer mit einem Dienstleister zusammenarbeiten will, sollte sicherstellen, dass dieser vertrauenswürdig ist. Schliesslich kümmert er sich um die IT-Sicherheit der IT-Infrastruktur und erhält detaillierte Einblicke in einen sicherheitsrelevanten Bereich. Ebenfalls sollten Verantwortliche darauf achten, dass der Anbieter auf IT-Sicherheit spezialisiert ist und über langjährige Expertise verfügt. Denn ein spezialisierter Security-Anbieter bringt aus Kundeneinsätzen wertvolle Erfahrungen mit, die auch bei MEDR wichtig sind.
Fazit
MEDR deckt drei wesentliche Aspekte der IT-Sicherheit ab: Das Erkennen von Angriffen, das Stoppen dieser Attacken und das Erledigen aller dazu notwendigen Tätigkeiten durch einen qualifizierten Anbieter. Somit gewährleistet eine MEDR-Lösung ein hohes Schutzniveau und ist für Unternehmen wirtschaftlich.
"Bei Managed EDR ist ständig ein Analystenteam im Hintergrund aktiv"
Wartung, Updates, Support: Der Alltag von IT-Teams lässt kaum Zeit, sich um IT-Security zu kümmern. Daher setzen immer mehr Unternehmen auf Managed Endpoint Detection and Response. Im Gespräch erklärt Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense, warum Verantwortliche den Einsatz einer gemanagten Sicherheitslösung in Betracht ziehen sollten. Interview: Tanja Mettauer
Weshalb ist der Einsatz einer cloudbasierten Sicherheitslösung sinnvoll?
Cornelia Lehle: Cloudbasierte Sicherheitslösungen werden auf einem (virtuellen) Server gehostet und stehen Unternehmen «as-a-Service» zur Verfügung. Eine cloudbasierte Lösung ist flexibel einsetzbar und skalierbar. IT-Investitionen sind dadurch deutlich planbarer und das Ausfallrisiko erfahrungsgemäss geringer.
Für welche Unternehmen eignet sich eine Managed-Lösung, für welche nicht?
Grundsätzlich kann jedes Unternehmen eine gemanagte Lösung einsetzen. Vielen Unternehmen fehlt es an Fachpersonal, Know-how und zeitlichen Ressourcen, um die Security-Software selbst zu betreiben, zu steuern und sofort zu reagieren, wenn es zu einem sicherheitskritischen Vorfall kommt. Bei einer gemanagten Sicherheitslösung erhalten Unternehmen Unterstützung durch den Anbieter und profitieren von dessen Expertise und Erfahrung. Bei Managed EDR ist rund um die Uhr und an sieben Tagen in der Woche ein Analystenteam im Hintergrund aktiv, denn kriminelle Hacker kennen keinen Feierabend und kein Wochenende. Die Fachleute greifen sofort ein und separieren beispielsweise kompromittierte Endpoints vom Netzwerk.
Welche Schritte unternimmt ein MEDR-Dienstleister in einem Verdachtsfall?
Die Analystinnen und Analysten gehen bei verdächtigen Aktivitäten nach einem festen Schema vor: 1. Verifizieren: Sie prüfen, ob es sich um eine Attacke handelt. Dies passiert auch, wenn die Sicherheitslösung bereits automatisch reagiert hat. 2. Angriffsanalyse: Welche Art von Attacke liegt vor und wie sind die Kriminellen vorgegangen? 3. Reaktion: Gegenmassnahmen einleiten, wie etwa betroffene Endpoints oder Dienste isolieren, um eine Ausbreitung der Infektion zu verhindern. 4. Informieren: Kundinnen und Kunden erhalten umgehend eine Mail oder in dringenden Fällen einen Anruf. 5. Empfehlung: Falls Kundinnen und Kunden aktiv mitarbeiten müssen, erhalten sie klare Handlungsempfehlungen.
Worauf sollten Unternehmen bei der Wahl des richtigen Anbieters für Managend EDR achten?
Entscheiden sich Unternehmen für einen Anbieter, sollten sie sicherstellen, dass dieser vertrauenswürdig ist. Denn der Dienstleister kümmert sich um die IT-Sicherheit der IT-Infrastruktur und erhält detaillierte Einblicke in einen sicherheitsrelevanten Bereich. Wichtig ist auch, dass der Anbieter über langjährige Erfahrung in IT-Sicherheit verfügt. Dabei stellt sich auch die Frage nach dem Standort des Anbieters: Unterliegt er der EU-Datenschutzgrundverordnung oder hat er einen Sitz ausserhalb der Europäischen Union und hat damit andere Datenschutzregelungen zu beachten?
Benötigen Unternehmen auch ein Security Information and Event Management (SIEM) oder eine andere Lösung, wenn sie eine Managed-EDR-Lösung nutzen?
Während sich Managed EDR auf den Endpunkt konzentriert, steht bei SIEM das gesamte Netzwerk, darunter auch Server, im Fokus. SIEM ist allerdings keine Konkurrenz zu EDR, sondern eine Erweiterung. SIEM sammelt und aggregiert Logdaten in der ganzen oder in Teilen der unternehmerischen IT-Infrastruktur. Um diese Informationen auszuwerten, braucht es Fachleute. Diese Kapazitäten haben viele Unternehmen nicht, zumal SIEM keine «Response»- oder gemanagte Komponente enthält. Managed EDR verfügt aber über genau diese beiden Merkmale.