Personalmangel und fehlendes IT-Security-Know-how erschweren im öffentlichen Sektor oft die effektive IT-Sicherheit. Das Landratsamt Dachau hat sich daher für Managed EDR entschieden. IT-Leiter Thomas Rüby erklärt die Gründe für die Entscheidung.
Das Landratsamt Dachau setzt auf G DATA 365 Managed Endpoint Detection and Response. Welche Gründe für die Anschaffung sprachen, welche Rolle der Datenschutz spielt und warum es reizvoll ist, eine Lösung bereits in der Pilotphase zu implementieren, erzählt IT-Leiter Thomas Rüby im Interview.
Wieso haben Sie sich entschlossen, Ihre vorherige Endpoint Security Software durch eine Managed-EDR-Lösung abzulösen?
Thomas Rüby: Alles begann 2022. Der Vertrag mit dem alten Anbieter hatte nicht mehr viel Laufzeit. Wir haben uns damit auseinandergesetzt, was der Security-Markt bietet und schnell festgestellt, dass rein signaturbasierte Sicherheitslösungen nicht mehr „state of the art“ sind und man wesentlich mehr für die IT-Sicherheit tun kann. Die Weiterentwicklung der Angriffsarten, zum Beispiel durch Künstliche Intelligenz, erfordert andere Abwehrmaßnahmen. Wir haben gemerkt, dass der Einsatz einer Endpoint-Detection-and-Response-Lösung Sinn macht, wir aber eine gemanagte Variante benötigen.
Wir betreuen im Landratsamt Dachau über 400 IT-Services, darunter beispielsweise auch Kassenautomaten. Wir sind IT-Allrounder, aber keine Spezialisten für IT-Sicherheit. Außerdem ist der Fachkräftemangel für uns ein großes Problem. Wir können kein 24/7-Team unterhalten, deswegen war schnell klar, dass wir auf externe Expertise setzen müssen. Bei einem Cyberangriff ist es für uns sowohl vom Know-how als auch vom Zeit- und Ressourcenaufwand her schwer, zu schauen, was passiert ist und zu reagieren. Wir wollten nicht nur eine Security Software einkaufen, sondern auch Expertise. Wir haben eine Lösung gesucht, die Schäden und Risiken zuverlässig minimiert und uns mit Wissen und Erfahrung unterstützt - damit im Bedarfsfall die richtigen Maßnahmen erfolgen.
Haben Sie verschiedene Anbieter verglichen? Was sprach besonders für G DATA?
Thomas Rüby: Wir haben uns verschiedene Anbieter angeschaut, die eine gemanagte EDR-Lösung anbieten und um Abgabe eines Angebots gebeten. Wir haben dazu ein Leistungsverzeichnis erstellt und uns aufgrund des Datenschutzes nur auf europäische Unternehmen fokussiert. G DATA hat alle Anforderungen erfüllt und dabei auch das beste Angebot abgegeben. Damit war die Entscheidung gefallen.
Für G DATA spricht, dass es sich um ein deutsches Unternehmen handelt und sowohl die Produktentwicklung als auch der Support hier in Deutschland sitzen. Der Datenschutz und die Datenhaltung hier im Inland waren weitere Pluspunkte. Außerdem hatten wir von Beginn an einen sehr guten Kontakt zu G DATA und konnten alle Fragen schnell klären. Die Chemie hat einfach gestimmt.
Warum haben Sie sich entschieden, als Pilotkunde die G DATA Managed EDR-Lösung zu beziehen, anstatt bis zur regulären Produktveröffentlichung zu warten?
Thomas Rüby: Es war klar, dass wir eine gemanagte EDR-Lösung brauchen und G DATA erfüllte alle Anforderungen. Obwohl das Produkt zu diesem Zeitpunkt noch nicht fertig war, haben wir uns trotzdem dafür entschieden. Wir wollten nicht auf einen der besten Anbieter verzichten. G DATA ist ein Security-Unternehmen, das schon sehr lange am Markt ist, ein hohes Vertrauen genießt und über viel Know-how und Erfahrung verfügt. Mich hat auch gereizt, bei der Produktentwicklung ein bisschen Einfluss zu nehmen. Manchmal habe ich das Gefühl, dass bei Lösungen viele Features entwickelt werden, die der Markt nicht benötigt. Auf der anderen Seite fehlen wiederum Funktionen, die aber nötig wären. Daher ist es interessant, als Pilotkunde mitzuarbeiten und Feedback geben zu können. Wichtig ist mir ein Gleichgewicht zwischen Leistung und Benutzerfreundlichkeit. Oft sind Produkte so mit Features überfrachtet, dass man aufwendige Schulungen braucht, von denen man auch wieder viel vergisst. Die gemanagte EDR-Lösung von G DATA konzentriert sich erst einmal auf das Wesentliche und wir können mit den Features mitwachsen. Wir haben zudem die Hoffnung, dass wir im Fall eines Vorfalls einen schnellen Zugriff auf ein deutsches Incident-Response-Team haben, damit man schnell reagieren kann und die nötigen Informationen schon vorliegen. Daher war klar, dass wir nicht bis zum regulären Release warten, sondern Pilotkunde werden.
Ist Ihnen der Standort des Anbieters und der Ort der Datenhaltung wichtig gewesen?
Thomas Rüby: Das ist uns sehr wichtig. Die Daten unserer Bürgerinnen und Bürger sind unser Heiligtum und müssen von uns auch gut geschützt werden. Wir haben hier im Haus einen zurecht sehr strengen Datenschützer, der natürlich penibel auf die Einhaltung der Gesetze achtet. Auf einen europäischen Hersteller zu setzen war daher eine klare Voraussetzung bei diesem Projekt. Bei einer gemanagten EDR-Lösung ist auch eine Cloud im Einsatz, da ist es wichtig, wo die Server stehen.
Der Standort von G DATA hier in Deutschland ist für uns von zentraler Bedeutung. Der Hersteller sitzt in Reichweite und ich habe einen guten Draht dorthin und kann mir im Fall von Problemen und Fragen direkte Unterstützung holen.
Wie waren Ihre Erfahrungen beim Onboarding von der alten Lösung zu Managed EDR?
Thomas Rüby: Wir haben sehr gute Erfahrungen beim Onboarding gemacht. Wir wurden gut betreut. Es gab lediglich Probleme bei der Deinstallation der vorherigen Sicherheitslösung. Diese ließen sich aber auch schnell lösen. Meine Administratoren, die unter anderem auch die Softwareverteilung vornehmen, haben das schlanke Setup und die Ressourcensparsamkeit vom G DATA Agent sehr gelobt. Besonders positiv war, dass das Setup Probleme und auch deren Ursachen zurückgemeldet hat. Das war sehr hilfreich, weil eine direkte Reaktion möglich war. Dadurch hat die Installation sehr gut funktioniert.
Wir haben im Onboarding-Prozess einige sehr gute Besprechungen gehabt, um den Sachstand abzugleichen. Damit fühlten wir uns sehr gut aufgehoben und konnten uns auch von Anfang an einbringen mit Feedback. Die gemanagte EDR-Lösung läuft bei uns sehr gut. Natürlich gibt es ein paar kleine Probleme und Punkte, bei denen wir noch Verbesserungspotenzial sehen. Diese kommunizieren wir weiterhin regelmäßig an G DATA. Wir fühlen uns sehr sicher. Was die Lösung basistechnisch können muss, kann sie auch. Wir können unsere Ideen einbringen und versuchen darauf hinzuwirken, dass sich das Produkt in die Richtung entwickelt, wie wir es haben wollen.
Was versprechen Sie sich davon, Managed EDR im Einsatz zu haben?
Thomas Rüby: Wir möchten eine höchstmögliche Sicherheit vor Cybergefahren schaffen und das Schadensmaß bei einem Vorfall so gering wie möglich halten. Wir möchten, dass unsere Systeme auch außerhalb der Arbeitszeiten und am Wochenende gut geschützt sind. Wichtig für uns ist die umgehende Reaktion bei Vorfällen und die Unterstützung bei der Analyse. Es muss geklärt werden, was überhaupt passiert ist. Ich muss nach der EU-Datenschutzgrundverordnung und anderen Vorschriften nicht nur den Nachweis eines Datendiebstahls erbringen, sondern wir brauchen auch Transparenz über die Aktivitäten der Schadsoftware. Das ist sehr wichtig für uns. Daraus resultiert die Frage, welche Maßnahmen wir ergreifen müssen, um angemessen zu reagieren, zum Beispiel ob wir auf das fünf Tage alte Backup oder ein älteres zurückgreifen müssen, um die Systeme wiederherzustellen.
Natürlich geht es uns auch um eine ständige Verbesserung unserer IT-Sicherheit - unter anderem wollen wir durch die Handlungsempfehlungen von G DATA Lücken im System schließen. Wir möchten auch Angriffe besser verstehen, um zukünftige Attacken zu vermeiden. Wir möchten uns nicht nur auf die Prävention, wie das Einspielen von Updates verlassen. Die Abwehr unbekannter Angriffe wollen wir schon im Vorfeld angehen. Da setzen wir auf die Erfahrung und das Wissen von G DATA. Wir möchten mit den Angreifergruppen Schritt halten, um schneller und richtig auf Vorfälle reagieren zu können. Bei einem Angriff möchten wir möglichst schnell Zugriff auf die Experten haben. Wir selbst bräuchten viel zu viel Zeit, um Informationen zu beschaffen und Maßnahmen einzuleiten, daher brauchen wir die externe Expertise.
Weitere Informationen zu G DATA 365 Managed Endpoint Detection and Response finden Interessierte hier.
Kathrin Beckert-Plewka
Public Relations Manager
