5 Tipps: So führen Unternehmen Managed Detection & Response (MDR) ein

Zu einem ganzheitlichen Security-Konzept gehört neben einer starken Abwehr eine leistungsfähige Bedrohungserkennung und -bewältigung. Mit Managed Detection & Response (MDR) können sich kleine und mittelständische Unternehmen genauso gut schützen wie große Konzerne. Die Frage ist nur: Worauf sollte man bei der Wahl des Dienstleisters achten und wie gelingt die Einführung?

Cyberkriminelle sind heute professionell organisiert und gehen immer aggressiver vor. Früher oder später werden sie auch die beste Verteidigungslinie zu durchbrechen. Unternehmen müssen daher immer mit einem Cybervorfall rechnen. Um Schaden zu minimieren, ist es wichtig, den Angriff möglichst schnell zu erkennen und zu stoppen. Dafür braucht man nicht nur Security-Lösungen, sondern auch Experten, die sie betreiben, Warnmeldungen analysieren und passende Gegenmaßnahmen entwickeln. All das ist für kleine und mittelständische Unternehmen in der Regel schwer inhouse zu stemmen. Der Trend geht daher zu Managed Detection & Response (MDR): Ein Dienstleister stellt dann die passende Security-Technologie und Expertise bereit. Sobald er eine Bedrohung erkennt, verständigt er den Kunden und unterstützt ihn bei den nächsten Schritten.

Mittlerweile gibt es viele Anbieter am Markt. Aber wie findet man den richtigen und wie führt man MDR am besten ein? Hier kommen fünf Tipps.

MDR erfordert fundiertes Fachwissen. Das baut man nicht mal schnell nebenher auf. Wählen Sie einen Anbieter, der auf Managed Security Services spezialisiert ist und langjährige, nachweisliche Erfahrung auf diesem Gebiet hat. Er sollte sich mit neuester Security-Technologie, Threat Intelligence und aktuellen Angriffsszenarien auskennen. Aufschluss darüber geben zum Beispiel Zertifikate, Kundenreferenzen oder Mitarbeiterprofile. Vorsicht: Auch Managed Security Services Provider (MSSPs) leiden unter Fachkräftemangel. Vergewissern Sie sich, dass der Dienstleister genug Personal hat und Experten beschäftigt. Dabei kann es auch helfen, ihn mal persönlich zu besuchen. So können Sie sich ein Bild davon machen, wie er arbeitet.

Wie gut ein MDR-Service funktioniert, hängt auch davon ab, welche Technologien der Anbieter einsetzt. Bei der Bedrohungserkennung kommt es auf Geschwindigkeit und Treffsicherheit an. Hier kommt eine SOAR-Lösung (Security Orchestration, Automation and Response) in Kombination mit einem SIEM (Security Information and Event Management) ins Spiel: Sie analysieren die Logdateien der angeschlossenen Systeme und führen anhand von Playbooks automatisiert Prüfmechanismen durch, um Angriffsszenarien zu identifizieren. Dabei nutzen sie hinterlegte Logiken und beziehen Informationen aus verschiedenen Threat-Intelligence-Quellen ein. Ein gutes SOAR bringt bereits viele vorgefertigte Playbooks für gängige Incidents mit. Der MSSP passt diese dann noch individuell an Kundenbedürfnisse an, entwickelt sie weiter und hält sie immer auf dem neuesten Stand.

Eine Herausforderung bei MDR-Projekten ist die Anbindung der Logquellen. Nicht jede MDR-Lösung arbeitet mit den Endpunkt-Security-Lösungen jedes Herstellers zusammen. Daher sollten Sie vorab prüfen, ob die Security-Technologien des MDR-Anbieters mit Ihrem eigenen Security-Stack kompatibel sind. Das Problem entfällt, wenn der MDR-Service ein herstellerunabhängiges, Cloud-natives SIEM (Security Information and Event Management) wie Google Chronicle als Zwischenschicht einsetzt. Dann lassen sich verschiedene Logquellen einfach per API und Syslog einbinden. Auch Telemetrie-Daten aus Cloud-Diensten wie Office 365 und Azure ID können auf diese Weise integriert werden. Google Chronicle normalisiert die Daten automatisch, sodass sie richtig aufbereitet für die Analyse bereitstehen.

Was passiert, wenn der MDR-Service eine Bedrohung erkennt? Gemeinsam mit dem Kunden sollte der Dienstleister den Vorfall dann tiefer untersuchen und Schritt für Schritt Schutzmaßnahmen einleiten. Unternehmen sollten darauf achten, dass der MSSP eng vernetzt mit einem spezialisierten CERT (Computer Emergency Response Team) zusammenarbeitet, das bei einem Cyberangriff schnell und garantiert zur Stelle ist. Die Forensiker ermitteln, was genau passiert ist, sammeln gerichtsfeste Beweise und versuchen, die Täter zu identifizieren. Gemeinsam mit dem MDR-Dienstleister helfen sie Ihnen dabei, die richtigen Entscheidungen zu treffen, Systeme zu bereinigen und schnell wieder in Betrieb zu nehmen.

Um MDR einzuführen, müssen Sie eng mit dem Dienstleister zusammenarbeiten. Denn ganz aus der Verantwortung sind Sie bei einem Managed Security Service nie. An wen soll sich der MSSP wenden, wenn er eine Bedrohung erkennt? Wer berichtet an wen und wer trifft in Ihrem Unternehmen im Ernstfall die Entscheidungen – zum Beispiel, ob man geschäftskritische Systeme vom Netz nimmt? Hier gilt es, klare Schnittstellen und Abläufe zu definieren. Außerdem ermittelt der MSSP beim Onboarding gemeinsam mit Ihnen, welche Logquellen Sie an die MDR-Plattform anschließen möchten. Sie selbst müssen dann dafür sorgen, dass die Daten zuverlässig zur Verfügung stehen.

Kleine und mittelständische Unternehmen sind zum beliebten Angriffsziel für Cyberkriminelle avanciert, haben es aber schwer, sich angemessen zu schützen. Meist fehlen ihnen sowohl Security-Spezialisten als auch geeignete Technologie. MDR löst dieses Problem. „Ein eigenes SOC einzurichten lohnt sich nur für große Unternehmen“, sagt Wolfgang Kurz, Geschäftsführer Indevis. Doch selbst diese kämen häufig davon ab, weil der Betrieb zu aufwändig sei. „Dank MDR profitieren auch kleine und mittelständische Betriebe von modernster Security-Technologie wie die Großen“, sagt Kurz.

Wolfgang Kurz, Geschäftsführer und Founder von Indevis.