Wie Managed Security das Leben von IT-Teams erleichtert

Cyberkriminelle setzen auf immer mehr Schadprogramme und ausgefeilte Angriffsmethoden, um Unternehmen anzugreifen. Allein 2022 zählten die Security-Experten von G DATA CyberDefense fast 50 Millionen neue Samples. Im Vergleich zu 2021 ist das ein Anstieg von 107 Prozent. Oft verschaffen sich die Angreifer schon Monate, bevor der eigentliche Angriff startet, einen Zugang zum Unternehmensnetzwerk und spionieren dieses aus. Dies gelingt insbesondere durch das Ausnutzen von ungeschlossenen Sicherheitslücken in Betriebssystemen oder Anwendungen. Erst zu einem späteren Zeitpunkt starten die Kriminellen ihre eigentliche Attacke, wie zum Beispiel die Verschlüsselung ganzer Systeme mit Ransomware.

Klassische Antivirenlösungen schützen vor Schadprogrammen und sind gute sowie bewährte Komponenten einer Security-Architektur. Sie verhindern damit sehr viele Cyberangriffe und deren fatale Folgen. Es gibt nur ein entscheidendes Problem: Sie kommen aufgrund der Masse an Angriffen und auch bei individualisierten Attacken schnell an ihre Grenzen. Virenschutz-Software ist darauf ausgelegt, Angriffe durch präventive Schutztechnologien abzuwehren – und das gelingt bei einer Fülle neuer Schadprogramme nicht immer. Das ist ein Problem für IT-Verantwortliche, denn nur ein einziger erfolgreicher Angriff kann schnell zu IT-Ausfällen und Umsatzverlusten führen. Welche Möglichkeit haben aber Unternehmen, ihre IT-Systeme vor der Flut an Schadprogrammen zu schützen und zu verhindern, dass Cyberkriminelle ungestört das Netzwerk ausspionieren? Ein Ansatz ist Managed Endpoint Detection and Response (kurz MEDR).

MEDR zielt darauf, Angriffe zu entdecken, die durch die Schutztechnologien einer klassischen Virenschutzlösung nicht erkannt werden. Die Dienstleistung setzt daher auf Sensoren, um schadhafte Aktivitäten im Netzwerk und auf den Endpoints aufzudecken, diese zu analysieren und zu stoppen. Eine Managed-Endpoint-Detection-and-Response-Lösung überwacht alle Vorgänge kontinuierlich und in Echtzeit. Damit geht sie noch zwei Schritte weiter als Standard-Sicherheitslösungen: MEDR setzt auch auf Security-Technologien, ergänzt diese aber durch Sensorik und ermöglicht eine Reaktion auf schädliche Aktionen im Netzwerk. Zwar enthalten auch moderne Sicherheitslösungen mit einer speziellen Verhaltenserkennung Funktionen, um Bedrohungen durch ihr Agieren zu entdecken. MEDR setzt aber auf eine deutlich erweiterte Sensorik bei der Erkennung von Schadprogrammen und schädlichen Vorgängen.

Ein entscheidender Unterschied ist auch die oben kurz erwähnte Möglichkeit, auf Ereignisse umgehend zu reagieren. Um potenziell schädliche Vorgänge zu analysieren und richtig einzuschätzen, kommen erfahrene Analyst*innen zum Einsatz. Sie sind ein wichtiger Bestandteil von Managed Endpoint Detection and Response. Sie prüfen verdächtige Ergebnisse, die aus der Sensorik stammen, und reagieren sofort, wenn dies nötig ist. Sie haben Zugriff auf alle relevanten Informationen, die erforderlich sind, um eine Entscheidung zu treffen, ob eine Aktion im Netzwerk legitim ist oder nicht. Damit stoppen sie einen Cyberangriff bereits in der Anfangsphase, bevor dieser richtig startet und verhindern weitreichende Schäden. Je nach Vorfall reagiert MEDR auch automatisiert, damit keine Zeit für eine manuelle Analyse verstreicht. Managed Endpoint Detection and Response ist dazu lernfähig. Durch Machine Learning und die Erkenntnisse von manuellen Analysen trainiert sich die MEDR-Lösung, um Bedrohungen noch besser erkennen und stoppen zu können.

„Hinter den Kulissen schauen sich Expert*innen die Meldungen aus der MEDR-Lösung an, analysieren und bewerten diese. Dazu ist spezielles Know-how und Erfahrung nötig. Darauf basierend muss die Analystin oder der Analyst entscheiden, ob eine Reaktion, wie zum Beispiel die Trennung des Endgerätes vom Netzwerk, erfolgt oder nicht”, erklärt Sascha Levölger.

Unternehmen könnten versuchen, eigenes Personal einzustellen, um ihre IT-Systeme zu überwachen. Allerdings ist dies oft unwirtschaftlich, da es sich um hochspezialisierte und erfahrene Fachleute handelt. Diese sind nicht nur teuer, sondern auch schwer zu finden. Oft haben sie außerdem kein Interesse für ein einzelnes Unternehmen im Maschinenbau oder einer anderen Branche zu arbeiten, da sie bei der Arbeit jeden Tag mit Vorfällen und Cyberdrohungen zu tun haben möchten. Es macht daher mehr Sinn, diese Aufgabe einem qualifizierten, externen Anbieter anzuvertrauen.

Entscheiden sich Unternehmen für einen Anbieter, sollten sie sicherstellen, dass dieser vertrauenswürdig ist. Dieser Punkt ist entscheidend, denn der Dienstleister kümmert sich um die IT-Sicherheit der IT-Infrastruktur und erhält detaillierte Einblicke in einen sicherheitsrelevanten Bereich. Wichtig ist auch, dass der Anbieter über langjährige Erfahrung in IT-Sicherheit verfügt und auf diesen Bereich spezialisiert ist. Ein allgemeiner IT-Dienstleister ist wahrscheinlich keine gute Wahl, denn IT ist nicht gleich IT-Sicherheit. IT-Expert*innen sind nicht zwangsläufig auch IT-Sicherheitsspezialist*innen. Nicht umsonst gibt es eigene Studiengänge an Fachhochschulen und Universitäten. Zudem verfügt ein spezialisierter Security-Anbieter über wertvolle Erfahrungen aus Kundeneinsätzen, die auch bei MEDR wichtig für die Einschätzung von Vorfällen sein können oder betreibt selbst Forschung in diesem Bereich. Auf internationaler Ebene finden regelmäßige Konferenzen und andere Möglichkeiten zum Austausch der Security-Spezialist*innen statt, um sich über neue Cybercrime-Strategien und Angriffsarten zu informieren. Kund*innen profitieren von einer weitreichenden und fundierten Expertise ihres Dienstleisters. Ein weiterer entscheidender Punkt ist das Thema Support: Bei einem komplexen Thema wie IT-Sicherheit macht es Sinn, einen Dienstleister zu wählen, der einen Support in Landessprache anbietet und dabei unkompliziert und verständlich bei Problemen unterstützt.

Der Einsatz von Managed Endpoint Detection and Response ist für Unternehmen sehr sinnvoll, weil ein klassischer Virenschutz schnell Grenzen erreicht. MEDR überwacht die IT-Systeme mit allen Vorgängen kontinuierlich und in Echtzeit und bietet einen weiteren, entscheidenden Vorteil: Durch die „Respond“-Komponente lassen sich schädliche Aktionen im Zuge von Cyberangriffen sofort stoppen – ohne, dass größere Schäden entstehen.

„Bei MEDR geht es im Kern um drei Dinge: Das Erkennen von Angriffen, das Stoppen dieser Attacke durch eine angemessene Reaktion und das Erledigen aller dazu notwendigen Tätigkeiten durch einen qualifizierten Anbieter”, so Sascha Levölger.

Eine Managed-Endpoint-Detection-and-Response-Lösung gewährleistet zudem ein hohes Schutzniveau, ohne dass hochspezialisiertes und teures Fachpersonal rekrutiert werden muss und ist daher auch wirtschaftlich für Unternehmen. IT-Verantwortliche sollten daher über den Einsatz dieser Dienstleistung nachdenken.