IT-Sicherheit ist ein komplexes Thema und es gibt auf dem Markt eine Fülle von Lösungen und Dienstleistungen. IT-Teams tun sich oft schwer bei der Entscheidung, was sie genau brauchen, um ihre IT-Infrastruktur vor Cyberattacken abzusichern. Erschwert wird die Arbeit durch knappe Budgets, Ressourcenknappheit bei der Bewältigung von Aufgaben und dem Fachkräftemangel. Gerade IT-Security-Fachpersonal ist stark gefragt, wie auch die aktuelle Studie „Cybersicherheit in Zahlen” von G DATA, Statista und brand eins zeigt. Wichtig ist daher genau zu überlegen, was sinnvoll für die eigene IT ist und was das IT-Team leisten kann und was nicht. Damit dürften einige Entscheidungen leichter sein. In diesem Kontext beantworte ich drei wichtige Fragen.
Macht der Einsatz einer cloudbasierten Sicherheitslösung Sinn?
Grundsätzlich lautet die Antwort „Ja”. Cloudbasierte Sicherheitslösungen werden auf einem (virtuellen) Server gehostet und stehen Unternehmen damit „as-a-Service“ zur Verfügung. Eine cloudbasierte Lösung ist darüber hinaus flexibel einsetzbar, jederzeit skalierbar (wenn das Netzwerk um weitere Endpoints wächst) und über die Internetleitung immer verfügbar. Investitionen in spezielle Server-Hardware sind ebenfalls nicht nötig, wodurch das oft knappe Budget für IT und IT-Sicherheit geschont wird.
Die Informationen rund um den Einsatz der Software und die Security-Architektur, zum Beispiel Client-Spezifikationen, verbleiben durch die Cloud-Basis allerdings nicht allein beim Kunden, sondern gelangen auch zum Anbieter. Über diesen Punkt müssen sich IT-Teams im Klaren sein. Dieser Aspekt sollte im Zweifelsfall mit dem Dienstleister besprochen werden, damit klar ist, um welche Informationen es geht. Generell sollten Unternehmen bei der Wahl des passenden Anbieters darauf achten, dass dieser nicht nur die passende Lösung bietet, sondern auch erfahren und insbesondere vertrauenswürdig ist.
IT-Sicherheit ist Vertrauenssache und Kund*innen sollten sich auf die Integrität ihres Dienstleisters verlassen können. Dabei stellt sich auch die Frage nach dem Standort des Anbieters – unterliegt er der EU-Datenschutzgrundverordnung oder hat er einen Sitz außerhalb der Europäischen Union und hat damit andere Datenschutzregelungen zu beachten? Nicht jedes Unternehmen möchte seine Informationen in den Händen eines großen Cloud-Anbieters sehen. Diese Fragen müssen bei der Wahl der richtigen Security-Software geklärt werden.
Bei einer On-Premise-Lösung ist die Software auf jedem einzelnen Client installiert und jedes Update muss auch auf jedem Gerät ausgerollt werden. Darüber hinaus betreibt das IT-Team einen zentralen Management-Server, über den die Sicherheitslösung gesteuert wird. Auf der anderen Seite behalten Unternehmen bei dieser Art von Sicherheitslösung allerdings die Datenhoheit – es besteht volle Kontrolle über alle Informationen aus der Security-Software und es ist klar, wer Zugriff darauf hat. Unternehmen können sich zudem auch bei dieser Variante auf einen leistungsfähigen Schutz vor Schadprogrammen verlassen. IT-Teams müssen letztlich überlegen, ob sie die Sicherheitslösung selbst lokal betreiben möchten oder nicht. Einige Hersteller kündigen allerdings ihre On-Premise-Lösungen ab, sodass IT-Verantwortliche entweder einen Wechsel in die Cloud oder des Anbieters in Erwägung ziehen müssen. Bei G DATA haben Unternehmen weiterhin die Wahl, ob eine On-Premise- oder eine Cloud-Lösung die beste Wahl für sie ist.
IT-Teams sollten auch darüber nachdenken, eine gemanagte Sicherheitslösung einzusetzen, denn schnell ergibt sich die Frage, ob es überhaupt genug Ressourcen gibt, um die Security Software selbst zu betreiben, zu steuern und sofort zu reagieren, wenn es zu einem sicherheitskritischen Vorfall kommt. Ein weiteres Problem ist das Know-how. IT-Sicherheit ist ein umfassendes und komplexes Themenfeld. Ohne das entsprechende Fachwissen ist die effektive Absicherung eines Unternehmens nicht leistbar. Also Hand aufs Herz – können mittelständische Firmen das alles leisten? Realistisch eingeschätzt, können das die meisten nicht. Die unternehmenseigene IT-Abteilung hat eine Fülle an Aufgaben, so dass IT-Sicherheit zwar angegangen wird - aber nicht in dem Umfang, wie es für einen umfassenden und effektiven Schutz vor Cyberangriffen nötig ist. Ein weiteres Problem ist der aktuell herrschende Fachkräftemangel, den es auch in der IT- und IT-Sicherheitsbranche gibt. „Gute Leute sind schwer zu finden“ heißt es oft und genau dieses Problem haben Unternehmen: Es beeinflusst deren IT-Sicherheit nachhaltig.
IT-Teams sollten in den meisten Fällen auf eine gemanagte Sicherheitslösung setzen, denn Cyberkriminelle kennen kein Wochenende oder einen Feierabend und nutzen gerade diese Zeiten, um anzugreifen. Unternehmen können es oft nicht leisten, die eigenen IT-Systeme 24 Stunden täglich zu überwachen und sofort zu reagieren, wenn an einem Samstagabend oder an einem Feiertag etwas passiert.
Bei einer gemanagten Sicherheitslösung erhalten Unternehmen Unterstützung durch den Anbieter und profitieren von dessen Expertise und Erfahrung. Bei Managed Endpoint Detection and Response ist an 24 Stunden täglich und an sieben Tagen in der Woche ein Analystenteam im Hintergrund aktiv, welches sofort eingreifen und beispielsweise kompromittierte Endpoints vom Netzwerk separieren kann, wenn dies nötig wird. Dies können interne IT-Teams im Regelfall nicht leisten. Daher bietet eine gemanagte EDR-Lösung für Unternehmen einen großen Nutzen: umfassende Sicherheit vor Cyberangriffen, um die sich Experten rund um die Uhr kümmern.
Brauche ich auch ein SIEM oder eine andere Lösung, wenn ich eine gemanagte EDR-Lösung nutze?
Der Nutzen einer gemanagten EDR-Lösung liegt klar auf der Hand, wie ich auch schon im Blogpost „Wie Managed Security das Leben von IT-Teams erleichtert“ zeige. Generell bietet der alleinige Einsatz von MEDR natürlich noch keine umfassende Sicherheit, auch andere Komponenten sind nötig. Der gleichzeitige Betrieb eines SIEM (Security Information and Event Management) kann für Unternehmen daher sinnvoll und eine gute Ergänzung sein. Es gibt dafür aber zwei wichtige Vorrausetzungen: Die nötigen finanziellen Mittel für die Anschaffung und Wartungsupdates und ausreichende personelle Ressourcen müssen vorhanden sein.
Während Endpoint Detection and Response sich auf den Endpunkt konzentriert, steht bei SIEM das gesamte Netzwerk, darunter auch Server im Fokus. SIEM ist allerdings keine Konkurrenz zu EDR, sondern eine Erweiterung. Das gilt auch umgekehrt. Daher kann der gleichzeitige Betrieb beider Systeme für Unternehmen eine gute Sache sein.
SIEM sammelt und aggregiert Logdaten in der ganzen oder in Teilen der unternehmerischen IT-Infrastruktur. Um diese Informationen auszuwerten und zu erkennen, ob es Unregelmäßigkeiten gibt, braucht es Fachleute, die alles genau einschätzen können. Diese Kapazitäten haben viele Unternehmen nicht, zudem SIEM keine „Response“- oder gemanagte Komponente enthält. Managed Endpoint Detection and Response verfügt aber über genau diese beiden Merkmale, wodurch sich eine Anschaffung für Unternehmen lohnen kann. Der Betrieb eines eigenen, ausgewachsenen SIEM dürfte nur für Großunternehmen wirklich lohnend sein. Ein Gewinn für die IT-Sicherheit ist es aber in jedem Fall.
Genauso kann die Anschaffung anderer Plattform, wie ein Security Monitoring oder Dienstleistungen, zum Beispiel regelmäßige Penetrationstests oder Security Assessments neben dem Betrieb einer gemanagten EDR-Lösung sinnvoll sein.
Fazit: Was brauche ich eigentlich?
IT-Teams müssen kritisch überlegen, was sie bei IT-Sicherheit selbst im Stande zu leisten sind und was sie benötigen, um die IT-Infrastruktur ihres Unternehmens effektiv vor Cyberangriffen abzusichern. Sind diese Punkte geklärt, sind die Fragen wahrscheinlich nicht schwer zu beantworten. Die meisten Unternehmen werden sich dabei aber eingestehen müssen, dass sie IT-Sicherheit kaum bis gar nicht allein bewerkstelligen können. Eine gemanagte Endpoint-Detection-and-Response-Lösung kann hier sinnvoll unterstützen und für ein gutes Security-Level sorgen. Ob darüber hinaus weitere Systeme sinnvoll sind, ist nicht nur eine Entscheidung des Budgets, sondern auch der organisatorischen und personellen Situation im betreffenden Unternehmen. Dabei sollten sich IT-Verantwortliche immer vor Augen führen, was wirklich benötigt wird, was sinnvoll und was zu bewältigen ist.
