Der Detection-and-Response-Markt ist groß. Warum das für Unternehmen eigentlich ein guter Umstand ist und was der Unterschied zwischen XDR und EDR ist, erklärt Sascha Levölger, Business Owner bei der G DATA CyberDefense AG, im Interview.
Sascha Levölger ist Business Owner Business Solutions bei der G DATA CyberDefense AG und verantwortet den Ausbau des Geschäftsfeldes der B2B-Security-Lösungen. Er ist dabei immer auf den Laufenden über die neuesten Security-Trends im Markt. Bereits seit 2006 arbeitet Sascha bei G DATA und war zunächst als Softwareentwickler tätig. Ich habe mit ihm über Begrifflichkeiten, den XDR-Markt, Anbieterkriterien und einiges mehr gesprochen.
Im Zusammenhang mit Detection-and-Response-Lösungen werden immer wieder die Begriffe EDR und XDR genutzt. Was bedeuten sie und wie unterscheiden sie sich voneinander?
Sascha: EDR ist die Abkürzung für Endpoint Detection and Response und bezeichnet eine Software, die Cyberangriffe und damit einhergehende schädliche Vorgänge im Netzwerk eines Unternehmens aufspürt. Dafür steht „Detection“ beziehungsweise das „D“ von EDR. Ein weiterer Teil der Sicherheitslösung ist die Respond-Komponente – das „R“. Diese sorgt dafür, dass die Attacke erst gestoppt wird und danach umgehend eine Reaktion mit geeigneten Gegenmaßnahmen erfolgt.
Extended Detection and Response ist die Langfassung von XDR. Security Software mit diesem Namen lässt sich nicht einheitlich definieren. Je nach Anbieter verbergen sich dahinter unterschiedliche Funktionen. Oft werden hier aber nicht nur die Endpoints beobachtet, wie das bei EDR der Fall ist, sondern die Überwachung bezieht auch den gesamten Netzwerkbereich mit ein – so ist es bei unserer MXDR-Lösung der Fall. IT-Verantwortliche sollten bei der Anbieterauswahl einen genauen Blick auf die Funktionalität werfen, damit sie auch das bekommen, was sie brauchen.
Hinzu kommt die Möglichkeit, die Lösung in der gemanagten Variante zu nutzen, zum Beispiel als Managed Extended Detection and Response. In diesem Fall erfolgt die Analyse der Bedrohungen und die Reaktion durch erfahrene Mitarbeitende des Anbieters. Sonst müssten Unternehmen diese Arbeit selbst erledigen. Das ist für sie oft aufgrund von Personal- und Ressourcenmangel nicht möglich.
Welche Kriterien sind aus Deiner Sicht wichtig bei der Auswahl des passenden Anbieters?
Sascha: Für mich spielt der Datenschutz eine sehr große Rolle, da bei einer XDR-Lösung viele Informationen vom Anbieter eingesehen werden. Daher sollten sich IT-Verantwortliche mit der Frage beschäftigen, wo der Unternehmenssitz ihres Servicepartners ist und welche gesetzlichen Grundlagen dort gelten. Handelt es sich um einen europäischen Anbieter, gilt die EU-Datenschutzgrundverordnung und die NIS-2 Direktive, die aktuell ins nationale Recht der Mitgliedsstaaten überführt wird. Dagegen sind die Datenschutzgesetze in nichteuropäischen Ländern oft nicht so streng und umfassend.
Beim Thema Daten gibt es für mich noch einen weiteren Aspekt: Sparsamkeit. Es sollten nur so viele Informationen eingesehen werden, wie für die Arbeit unbedingt notwendig sind, zum Beispiel wenn es um einen schädlichen Vorfall geht, der genauer analysiert werden muss.
Aus meiner Sicht sind ansonsten die Punkte Service, Support und Individualisierbarkeit für Unternehmen sehr wichtig. Ein guter Service und Support in deutscher Sprache ist unerlässlich, damit Fragen und Probleme schnell verstanden und geklärt sind. Dabei sind persönliche Ansprechpartner, die ihre Kunden gut kennen, sehr hilfreich. Außerdem müssen Handlungsempfehlungen leicht verständlich sein, wenn der Anbieter dies anbietet. Der Servicepartner muss zudem unbedingt individuell auf Kunden eingehen können. Jedes Unternehmen ist anders und daher ist auch die IT-Infrastruktur nicht überall gleich. Vielleicht gibt es Endpoints, auf denen keine Reaktion oder nur eine bestimmte erfolgen darf oder andere Aspekte sind zu beachten. Ist dies nicht möglich, könnte es eventuell zu betrieblichen Störungen kommen, die nicht auftreten, wenn der Anbieter im Sinne des Kunden handelt.
Wie siehst Du den EDR/XDR-Markt? Befindet er sich in der Konsolidierung, oder ist genug Platz für 20 und mehr Lösungen?
Sascha: Insgesamt haben wir es mit einem großen Markt zu tun, der nicht immer leicht zu überblicken ist. Neben Anbietern, die ihre XDR-Lösung selbst programmiert haben, gibt es auch viele Dienstleister, welche die Software von Dritten beziehen und in Kombination mit ihrem eigenen Service anbieten.
Platz für 20 und mehr Lösungen hat der Markt auf jeden Fall und das ist aus meiner Sicht auch sehr gut. Je größer die Vielfalt an Angeboten ist, desto schwieriger ist es für Angreifer, sie auszutricksen und einen Weg daran vorbei zu finden. Wenn sich der Markt auf einzelne Lösungen konzentriert, haben es Angreifer automatisch einfacher.
Gibt es Anhaltspunkte, ab wann der Einsatz einer XDR-Lösung für mittelständische Unternehmen sinnvoll ist?
Sascha: IT-Verantwortliche in Unternehmen müssen sich grundlegend die Frage stellen, wie wichtig die Daten sind, die auf den firmeneigenen Systemen liegen. Wenn verhindert werden soll, dass das diese abfließen oder durch eine Attacke verschlüsselt werden, wird fachliche Expertise zwingend gebraucht. Daher müssen IT-Verantwortliche offen für sich die Frage beantworten, ob das nötige Fachwissen im Unternehmen vorhanden ist und auch, ob die Personalstärke ausreichend ist, um Angriffe zielsicher zu erkennen.
Wie läuft ein Onboarding für MXDR grundsätzlich ab?
Sascha: Das Onboarding gliedert sich in zwei Phasen: Zuerst die Abstimmung zwischen dem Unternehmen und uns und dann folgt die Rollout-Phase. Im ersten Schritt geht es darum, über Risiken aufzuklären und festzulegen, welche Endpoints beziehungsweise Netzwerkbereiche unsere MXDR-Lösung überwachen und dort im Ernstfall auch reagieren kann und wie die Reaktion aussehen darf. Beim Rollout folgen dann die Installation und die Konfiguration. Wir begleiten Kunden Stück für Stück durch das Onboarding, sind aber natürlich auch darüber hinaus ansprechbar über unseren Service und Support.
Wenn Du eine Botschaft an alle CIOs und CISOs senden könntest, wie würde sie lauten?
Sascha: Grundsätzlich ist es immer am besten, das Thema IT-Sicherheit unternehmensintern abzuwickeln. Einerseits mit Blick auf den Datenschutz, aber auch, weil man die eigenen Systeme am besten kennt. Heute ist dies aber kaum noch zu schaffen. Viele Unternehmen können Security nicht selbst managen. Es fehlt am nötigen Know-how und dem Fachpersonal. Es ist daher sinnvoll, externe Fachleute zu beauftragen und auf eine MXDR-Lösung zu setzen.
Interessierte finden online mehr Informationen zu MXDR von G DATA.
Von Kathrin Beckert-Plewka
Public Relations Manager
