Die Absicherung der IT-Systeme vor Cyberangriffen stellt viele Unternehmen vor große Herausforderungen. Cybersicherheit ist eine Rund-um-die-Uhr-Aufgabe, weil Attacken auch in der Nacht oder am Wochenende stattfinden. IT-Abteilungen haben oft nicht genug Zeit, sich um die IT-Sicherheit zu kümmern. Darüber hinaus fehlen das notwendige Spezialfachwissen und der Fachkräftemangel verschärft das Problem zusätzlich. Viele IT-Verantwortliche entscheiden sich daher bewusst für Managed Endpoint Detection and Response (kurz Managed EDR) und müssen aus der Vielzahl an Dienstleistern auf dem Markt den richtigen für sich finden. Dabei ist es sinnvoll, auf ein paar Kriterien zu achten.
Kriterium 1: Dienstleistungsumfang
Nicht alle Anbieter verstehen das Gleiche unter Managed EDR, daher unterscheidet sich häufig der Umfang der Dienstleistung. Eine wichtige Frage, die es abzuklären gilt, ist daher: Handelt es sich um eine Plattform-EDR-Lösung oder um eine gemanagte Variante? Bei einer nicht gemanagten Variante muss ein Unternehmen ein eigenes Analystenteam mit speziellen Fachkenntnissen beschäftigen, das im Schichtdienst 24 Stunden täglich und an sieben Tagen in der Woche aktiv ist. Sie müssen nicht nur in der Lage sein, verdächtige Vorgänge im Netzwerk genauestens zu analysieren, sondern im Fall eines bestätigten Angriffs auch sofortige Gegenmaßnahmen einzuleiten. Bei einer gemanagten Lösung übernimmt das Analystenteam des Anbieters diese Aufgaben.
Bei vielen „Managed“-EDR-Angeboten handelt es sich eigentlich um Etikettenschwindel. Die Bewertung von Alarmen und die Reaktion darauf wird bei solchen Lösungen vollständig – oder nahezu vollständig – von einer KI übernommen, ohne dass ein menschliches Analystenteam oder der Kunde involviert sind. Das birgt gewaltige Risiken, denn ein Alarm ist immer im Kontext zu sehen. Es gibt beispielsweise eine Vielzahl von „Dual-use“-Tools, die zwar häufig von Angreifern eingesetzt werden, aber auch von Systemadministratoren zu legitimen Zwecken. Hier hilft nur der Dialog mit dem Kunden, um herauszufinden, ob es sich um einen Angriff handelt oder nicht. Eine rein KI-basierte Lösung kann das nicht leisten, und wird deshalb zwangsläufig falsche Entscheidungen treffen.
Ein häufiger Knackpunkt bei den Managed-EDR-Angeboten ist, ob die Dienstleistung auch die Reaktion auf entdeckte Angriffe umfasst, wie beispielsweise der Isolation möglicherweise kompromittierter Systeme aus dem Firmennetzwerk. Oder werden Vorgänge nur gemeldet und Firmen müssen dann selbst darauf reagieren und werden damit allein gelassen? Diese Frage ist oft von entscheidender Bedeutung, weil viele Kunden nicht in der Lage sind, selbst Maßnahmen zu ergreifen.Ein Anbieter sollte auf verdächtige Vorgänge – im Notfall nach vorheriger Absprache mit dem Kunden auch eigenständig – reagieren können und dabei generell eine 24/7-Abdeckung gewährleisten.
„Cyberkriminelle kennen kein Wochenende oder einen Feierabend“, so Thomas Siebert. „Ohne zeitnahe Angriffserkennung und Reaktion darauf drohen Verzögerungen, die zu größeren finanziellen oder wirtschaftlichen Schäden führen.“
Es ist von entscheidender Bedeutung, wo der Anbieter sitzt, da der geltende Datenschutz und die Regeln des Umgangs mit sensiblen Informationen davon abhängen. Unternehmen gewähren einem EDR-Anbieter tiefe Einblicke in die IT-Infrastruktur. Bei der gemanagten Variante erhält der Dienstleister zudem große Möglichkeiten, darauf einzuwirken. IT-Verantwortliche sollten dem Anbieter daher vollkommen vertrauen können.
Dienstleister aus Deutschland unterliegen den strengen deutschen und europäischen Datenschutzgesetzen. Zusätzlich sind sie dazu verpflichtet, Daten nur im Verdachtsfall einzusehen und auch dann nur so viele zu überprüfen, wie für die Analyse notwendig sind. In anderen Ländern existieren derartige Vorgaben nicht und Anbieter können grundsätzlich einen Blick auf alle Informationen werfen. Wie wichtig dieser Aspekt ist, zeigt ein Ergebnis aus der repräsentativen Umfrage von „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und brand eins: Fast 60 Prozent der Arbeitnehmerinnen und Arbeitnehmer finden es sehr wichtig beziehungsweise wichtig, wo der Anbieter von IT-Sicherheitslösungen sitzt. Dabei bevorzugen acht von zehn Befragten einen deutschen Dienstleister.
Damit einhergehend ist es auch interessant, wo die Server mit den gespeicherten Informationen stehen, denn auch hier geht es um die gesetzlichen Grundlagen zum Datenschutz. IT-Verantwortliche sollten sich daher beim Dienstleister nach dem Standort des Rechenzentrums erkundigen. Stehen die Server nicht in Europa, könnten sie nicht ausreichend vor Fremdzugriff geschützt und eventuell auch für Regierungen greifbar sein.
Die Kommunikation zwischen dem Agenten, der auf den Endpoints installiert ist und der EDR-Plattform muss ebenfalls gut abgesichert sein. Hier ist eine mehrstufige Absicherung zwingend erforderlich. Besonders wichtig ist diese für den Response-Rückkanal, da dieser eine Möglichkeit zum Eingreifen in die IT-Systeme des Unternehmens bietet. Zu empfehlen ist, den Inhalt jeder Nachricht zusätzlich von intern zu autorisieren und zu protokollieren.
Kriterium 3: Individuelle Betreuung
Jedes Unternehmen ist anders und daher ist eine individuelle Betreuung unerlässlich. Ein Anbieter sollte einen Kundenservice haben, der immer erreichbar ist – am besten telefonisch. Nicht alle Dienstleister kommunizieren per Telefon oder dies erst ab einem teureren Service-Level. Ansonsten müssen Fragen und Anliegen per E-Mail geklärt werden, was gerade in dringenden Fällen problematisch ist, weil die Antwort nicht sofort kommt. Es empfiehlt sich daher, einen Anbieter zu wählen, der einen eigenen telefonischen Support unterhält und diesen nicht über einen weiteren Dienstleister anbietet.
„Ein wichtiger Aspekt ist auch, dass die Unterstützung aus Deutschland und in deutscher Sprache angeboten wird. Der Support vieler Anbieter wird hauptsächlich aus Drittländern auf Englisch angeboten. Wenn zwei Nicht-Muttersprachler zusammenkommen, kann es aber schnell zu sprachlichen und kulturellen Missverständnissen kommen. Bei einem möglichen Angriff, wo schnell und präzise reagiert werden muss, kann das natürlich negative Auswirkungen haben“, sagt Thomas Siebert.
Das Supportteam sollte daher in Deutschland sitzen und im Idealfall am Unternehmenssitz angesiedelt sein und jeder Kundenanfrage ausreichend Zeit widmen. Zudem sollten nicht nur die Analystinnen und Analysten rund um die Uhr arbeiten, auch die Service-Mitarbeitenden sollten 24/7 erreichbar sein.
Individualität beschränkt sich nicht auf den Support. Wichtig ist auch, dass Unternehmen die EDR-Lösung individuell für ihre IT-Systeme konfigurieren können. Im produzierenden Gewerbe gibt es zum Beispiel Server, die für die Produktionsteuerung zuständig sind. Für diese ist es wichtig die Möglichkeit zu haben, festzulegen, ob sie überhaupt geprüft oder eingesehen werden dürfen oder ob hier eine Reaktion erfolgen darf, um betriebliche Abläufe nicht zu unterbrechen. Je granularer die Möglichkeiten zur Konfiguration sind, desto besser. Dies ermöglicht nicht jeder Managed-EDR-Anbieter.
Ein Managed-EDR-Anbieter sollte auf IT-Security spezialisiert sein. Dabei sollte der Dienstleister über eine langjährige Erfahrung verfügen. Unternehmen investieren in Managed Endpoint Detection and Response, weil sie die Absicherung ihrer Systeme und die Reaktion auf schädliche Ereignisse nicht selbst stemmen können. Daher ist es sinnvoll, einem erfahrenen Anbieter zu vertrauen, der über wertvolles Hintergrundwissen verfügt. Hierdurch lassen sich Vorfälle genauer analysieren und beurteilen sowie auf dieser Basis die passende Reaktion durchführen. Bietet der Dienstleister auch Incident Response an, profitieren Kunden auch von Erkenntnissen aktueller Notfalleinsätze.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert qualifizierte APT-Response-Dienstleister. Verfügt der Managed-EDR-Anbieter über diese Qualifizierung, ist dies ein weiteres Merkmal für eine hohe IT-Security-Expertise. Ein weiteres Kriterium ist die Frage, ob der Dienstleister die EDR-Lösung selbst entwickelt hat.
Viele Anbieter bieten als Managed Security Service Provider (MSSP) ausschließlich die Dienstleistung an. Die Softwarelösung mitsamt der alarmerzeugenden Sensorik ist aber von einem Dritthersteller zugekauft. Dieser Umstand kann dazu führen, dass Meldungen falsch interpretiert werden und zum Beispiel ein schädlicher Vorgang als harmlos bewertet wird. Das ist auch nicht nur ein theoretisches Szenario, sondern wird immer wieder vorkommen, wenn der Softwarehersteller seine Erkennungslogiken verändert oder erweitert.
Anbieter sollten die Software vollständig selbst entwickelt haben – vom EDR-Agenten über das Analyse-Backend bis hin zur Webkonsole. Hierdurch weiß das Analystenteam genau, wie Meldungen zu verstehen sind und können richtig darauf reagieren.
Kriterium 5: Testmöglichkeiten
Ein Managed-EDR-Dienstleister sollte die Möglichkeit einer Testversion anbieten. Dabei überwacht er über einen bestimmten Zeitraum eine begrenzte Anzahl von Devices beim Unternehmen. Kunden probieren so Managed EDR unter realen Bedingungen aus und können prüfen, ob die Lösung und der Anbieter zur individuellen IT-Landschaft passen.
Unternehmen sollten bei der Wahl des Managed-EDR-Anbieters ihre Entscheidung nicht überstürzen. Wie eingangs schon erwähnt, ist der Markt von Endpoint-Detecion-and-Response-Lösungen und Anbietern groß und nur schwer überschaubar. Umso wichtiger ist es, die Angebote genau und kritisch zu überprüfen.
