Blog

Managed Detection and Response (MDR) – Definition & Vorteile

Geschrieben von ForeNova | August 31, 2022

Was ist Managed Detection and Response (MDR)? 

Managed Detection and Response (MDR) ist eine Art Managed Security Service (MSS) bei denen ein Dienstleister ganz oder teilweise für die Erkennung, Untersuchung und Reaktion auf festgestellte Cybersicherheitsbedrohungen für die Kundenorganisation verantwortlich ist.

Laut Gartner’s Marktführer für Managed Detection and Response Services, "bieten die MDR-Dienste per Fernzugriff bereitgestellte moderne Security Operations Center-Funktionen, die sich auf die schnelle Erkennung, Untersuchung und aktive Eindämmung von Vorfällen konzentrieren." 

Wie funktioniert Managed Detection and Response (MDR)? 

Identifizierung von Assets und Sicherheitsbewertung 

Sobald sich ein Unternehmen für einen MDR-Dienst entscheidet, führt der Dienstleister in der Regel eine erste Bestandsaufnahme durch, um alle vorhandenen IT-Bestände in der Umgebung des Kunden zu ermitteln. Die Identifizierung von Assets ist ein wichtiger Schritt bei der Erbringung eines wirksamen Sicherheitsdienstes, da der Dienstleister dadurch den Umfang des Schutzes besser einschätzen kann. Außerdem wird das versteckte Risiko der Schatten-IT beseitigt, d. h. von Assets, die der IT-Abteilung nicht bekannt sind. Schatten-IT bietet Hackern einen unentdeckten Weg in das Netzwerk des Unternehmens. 

Wenn alle Assets identifiziert und sortiert sind, führt der MDR-Dienstleister anschließend in der Regel eine eingehende Sicherheitsbewertung durch. Diese verschafft dem Dienstleister und den I&O-Verantwortlichen einen detaillierten Überblick über die Sicherheitslage des Unternehmens. Dazu gehören die gesamte Risikooberfläche, Sicherheitsschwächen, Schwachstellen und alle bestehenden Bedrohungen. Die Sicherheitsbewertung hilft dem Dienstleister, das Niveau und den Umfang des Sicherheitsschutzes für das Unternehmen zu bestimmen. 

Kontinuierliche Erkennung und Reaktion auf Bedrohungen 

Sobald der zu erbringende Sicherheitsdienst von beiden Parteien vereinbart wurde, beginnt der MDR-Dienstleister mit der Verwaltung der Sicherheitsmaßnahmen des Unternehmens. MDR-Dienstleister arbeiten von einem Security Operations Center (SOC) aus mit einem engagierten Sicherheitsteam aus qualifizierten und erfahrenen Experten. Das SOC kann sich im Land des Kunden oder in Übersee befinden und ist in der Regel rund um die Uhr im Einsatz. Außerdem bietet es sowohl eine kontinuierliche Überwachung wie auch die Erkennung von und Reaktion auf Bedrohungen. Der erste Schritt der Ausführung ist eine proaktive Bedrohungssuche des MDR Dienstleisters, indem er das Netzwerk des Kunden kontinuierlich auf Bedrohungen und anormale Aktivitäten überwacht. Anschließend untersuchen und analysieren die Sicherheitsteams Alarme, die das SOC zuvor erhalten hat. 

Die Kunden können wählen, ob sie den gesamten MDR-Service an den Dienstleister auslagern oder nur einen Teil der MDR-Aufgaben, wobei der Dienstleister mit dem vorhandenen IT-Sicherheitsteam des Kunden zusammenarbeitet. Bei diesem Modell kann der Dienstanbieter dafür verantwortlich sein, Bedrohungen zu erkennen und das Sicherheitsteam des Kunden zu benachrichtigen, um auf Bedrohungen zu reagieren.  

 

Sicherheitstools und Dienstleistungen 

Bei einem verwalteten Erkennungs- und Reaktionsdienst stellt der Dienstanbieter die  zu erforderlichen Sicherheitstechnologien bereit, die für den Dienst notwendig sind. Diese Technologien werden in der Regel virtuell über die Cloud bereitgestellt, wobei nur wenig Hardware in den Räumlichkeiten des Kunden installiert wird. Alternativ können je nach den Bedürfnissen des Kunden auch Hardware-Sicherheitsgeräte eingesetzt werden. MDR-Anbieter können verschiedene Sicherheitstechnologien als Teil des Dienstes nutzen. Dazu können Netzwerk-Firewalls, Endpoint Detection and Response (EDR), Network Detection and Response (NDR), Security Information Event Management (SIEM) gehören. Je nach Dienstanbieter können die Technologien dann so integriert werden, dass sie mit den bestehenden Sicherheitsanwendungen des Kunden zusammenarbeiten. Der MDR-Dienstleister wird höchstwahrscheinlich Bedrohungsdaten in seine Dienste einbeziehen, um die Erkennung der neuesten und fortschrittlichsten Bedrohungen zu verbessern.  

Oft gibt es ein einheitliches Portal, über das sich der Kunde einen Überblick über seine Sicherheitslage verschaffen kann. Der MDR-Dienstleister kann auch regelmäßige Sicherheitsberichte vorlegen, um den Kunden über die Anzahl der festgestellten Angriffe und deren Behandlung zu informieren.  

Das Argument für Managed Detection and Response (MDR) 

 

Managed Detection and Response ist seit dem Jahr 2010 auf dem Vormarsch und hat im Laufe der Jahre stark an Bedeutung gewonnen. Laut Gartner’s Marktführer für Managed Detection and Response Services 2021, wird der MDR-Markt "bis 2025 schätzungsweise einen Umsatz von 2,15 Mrd. $ erreichen, im Vergleich zu dem Jahr 2021 mit einem Umsatz von 1,03 Mrd. $ entspricht das einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 20,2 %". Es gibt zwei Hauptgründe für die Einführung von MDR, die es für Organisationen unverzichtbar machen: Ressourcen und Fachwissen. Denn MDR hilft Unternehmen, die nicht über die Ressourcen und das Fachwissen verfügen, um ein SOC zu betreiben, wie z. B. KMUs und öffentliche Einrichtungen wie Krankenhäuser. 

Fachkräfte Mangel an Cybersecurity Experten


Das größte Argument für eine verwaltete Erkennung und Reaktion ist der derzeitige Fachkräftemangel im Bereich der Cybersicherheit. Laut der 2021 (ISC)2 Cybersecurity Workforce Studie muss die Zahl der Beschäftigten im Bereich Cybersicherheit weltweit um sage und schreibe 65 % steigen, um den aktuellen Anforderungen gerecht zu werden. Diese Talentlücke in der Cybersicherheit stellt für Unternehmen ein großes Problem dar. Zudem sind Sicherheitstechnologien nur bis zu einem gewissen Grad ausreichend, um ein Unternehmen zu schützen. Sicherheitsexperten müssen Sicherheitswarnungen analysieren und untersuchen, um Bedrohungen zu erkennen und darauf zu reagieren. Unterbesetzte Sicherheitsteams können an Alarmmüdigkeit leiden und sind nicht in der Lage, eine kontinuierliche 24x7-Überwachung durchzuführen. Zu ihrem Tätigkeitsbereich gehört außerdem Sicherheitsrichtlinien zu erstellen und sie kontinuierlich anzupassen, damit sie relevant bleiben. Selbst die automatisierten Aufgaben, die von den Sicherheitstools ausgeführt werden, werden vom Sicherheitspersonal konfiguriert. Ohne die entsprechenden Experten sind selbst Unternehmen, die die neuesten und teuersten Sicherheitstechnologien einsetzen, nicht vor Cyberangriffen geschützt. Das macht MDR zur idealen Wahl für KMUs, die eigene Sicherheitsabläufe nicht etablieren können oder wollen, oder für größere Unternehmen, die ihr bestehendes Sicherheitsteam unterstützen wollen.

SICH STÄNDIG WEITERENTWICKELNDE BEDROHUNGSLANDSCHAFT

Die Bedrohungsakteure entwickeln zunehmend ausgeklügelte Malware und Methoden um nicht entdeckt zu werden. Immer wieder werden Schwachstellen in den Produkten großer Entwickler aufgedeckt, wie von Microsoft, Google, und Apple, deren Lösungen von Millionen Unternehmen tagtäglich genutzt werden. Die sich ständig weiterentwickelnde Bedrohungslandschaft bedeutet, dass Unternehmen, die heute geschützt sind möglicherweise in ein paar Tagen oder Wochen, geschweige denn Monaten, nicht mehr sicher sind. Um die Wirksamkeit ihrer Sicherheitsmaßnahmen aufrechtzuerhalten, müssen Unternehmen ständig über die neuesten Sicherheitsrisiken und -trends auf dem Laufenden bleiben. Dies kann für kleine und mittlere Unternehmen eine zu große Belastung darstellen, insbesondere wenn zusätzliche Sicherheitseinrichtungen erforderlich sind. Mit einem MDR-Dienst müssen Unternehmen nicht immer auf dem neuesten Stand über Cybersecurity Risiken sein, da der Dienstanbieter die Verantwortung für Sicherheitsfragen übernimmt. Außerdem ist die Nutzung zusätzlicher Sicherheitsfunktionen aus der Cloud in der Regel billiger als der Kauf neuer Hardware-Geräte. 

Vorteile von Managed Detection and Response (MDR) 

  1. Kontinuierlicher 24x7-Schutz
    MDR-Dienstleister betreiben ihr SOC rund um die Uhr mit Sicherheitspersonal, das in Schichten arbeitet, um den Schutz rund um die Uhr zu gewährleisten. Cyberangriffe können zu jeder Tageszeit erfolgen können. Deshalb gewährleistet ein 24-Stunden-Schutz, dass Sicherheitsvorfälle immer rechtzeitig behandelt werden, um die Auswirkungen auf das Geschäft so gering wie möglich zu halten.   
  2. Nutzung der neuesten Sicherheitstechnologien
    Die MDR-Dienstleister entwickeln ständig neue Technologien und verbessern bestehende Lösungen. Durch die Nutzung eines MDR-Dienstes können Unternehmen von den neuesten Technologien profitieren, ohne ihre Sicherheitssysteme regelmäßig aktualisieren zu müssen. Und da Sicherheitstechnologien in der Regel über die Cloud bereitgestellt werden, werden die Kosten auf ein Minimum reduziert. 
  3. Das menschliche Element 
    Im Gegensatz zu anderen Managed Security Services (MSS) ist ein MDR-Dienst eine Zusammenarbeit zwischen Sicherheitspersonal und Technologie. Jedes Unternehmen ist anders, und das zusätzliche menschliche Element ermöglicht es dem Dienstanbieter, das Unternehmen wirklich zu verstehen und kundenspezifischen Schutz zu bieten. Dadurch wird die Genauigkeit der Erkennung und Untersuchung von Bedrohungen erheblich verbessert.

  4. Den Mangel an Talenten lindern
    Ein MDR-Dienst kann Unternehmen dabei helfen, dass Unternehmen keine oder zumindest weniger Experten, die für die Durchführung interner Sicherheitsmaßnahmen gebraucht werden, einzustellen und zu binden. Denn die MDR-Dienstleister stellen ihr eigenes Sicherheitspersonal ein und verfügen über etablierte Schulungsprogramme. Die Einstellung neuer Mitarbeiter wird somit obsolet, auch wenn das Bedürfnis nach mehr Sicherheit steigt.  
  5. Das Fazit
    Ein MDR-Dienst hilft den Unternehmen letztlich, ihren Gewinn zu schützen. Durch die Unterstützung eines professionellen Sicherheitsdienstes minimiert sich das Risiko für Unternehmen, von einem Cyberangriff schwer getroffen zu werden, drastisch. Dies kann das Unternehmen vor schädlichen Kosten wie Ransomware-Zahlungen, Verstößen gegen die Daten-Compliance, Geschäftsausfällen und Rufschädigung schützen.  

  

Allgemeine Bedenken über Managed Detection and Response (MDR) 

 

  1. Bedenken hinsichtlich des Datenschutzes

Unternehmen sind möglicherweise vorsichtig, wenn es darum geht, Dritten Zugang zu ihrem Netzwerk und ihren Systemen zu gewähren. Die Anbieter von MDR-Diensten unterliegen jedoch Datenschutzgesetzen und -vorschriften wie der EU-Datenschutzgrundverordnung (DSGVO). Jeder Verstoß kann zu hohen Geldstrafen und Bußgeldern führen. Aus diesem Grund erheben und speichern MDR-Dienstleister in der Regel nur Daten, die für Sicherheitszwecke erforderlich sind. Die Kunden haben auch die Möglichkeit zu wählen, welche Daten gesammelt und wie lange sie gespeichert werden.  

  1. Risiko von Angriffen auf die Lieferkette

Ein Angriff auf die Lieferkette ist eine Art von Cyberangriff, bei dem der Angreifer in das Unternehmensnetzwerk über einen Dritten, der Zugriff auf das Netz hat, eindringt. Der Angreifer infiltriert zuerst die Drittanbieterorganisation, wie einen Softwareanbieter oder einen Managed Service Provider (MSP). Anschließend nutzen sie den vertrauenswürdigen Zugang Dritter aus, um sich ungehinderten Zugang zum Netzwerk ihres eigentlichen Ziels zu verschaffen. MDR-Dienstleister laufen auch Gefahr, als Dreh- und Angelpunkt für einen Angriff auf die Lieferkette genutzt zu werden. Da sie jedoch selbst im Bereich der Cybersicherheit tätig sind, sind die Risiken relativ gering.   

  1. Fehlendes Verständnis für das Geschäft

Ein weiteres Problem bei MDR-Diensten ist, dass ein Drittanbieter das Geschäft des Unternehmens möglicherweise nicht so gut versteht wie ein internes Sicherheitsteam. Das kann durchaus der Fall sein. MDR-Dienstleister können jedoch durch die anfängliche Sicherheitsbewertung, die Überprüfung der Anlagen und die kontinuierlichen Sicherheitsmaßnahmen viel über das Unternehmen erfahren. Mit der Zeit gewinnen die MDR-Dienstleister ein ausreichendes Verständnis für das Geschäft des Unternehmens, um dessen Netzaktivitäten besser zu verstehen.   

ForeNova Managed Detection and Response (MDR) 

ForeNova Managed Detection and Response (MDR) wurde entwickelt, um Unternehmen dabei zu unterstützen, ihre Sicherheitsabläufe zu verbessern und sich besser gegen die ständig wachsende Bedrohungslandschaft zu schützen. Unser MDR-Service nutzt das Konzept der Mensch-Maschine-Intelligenz, eine Kombination aus den neuesten Sicherheitstechnologien und menschlicher Erfahrung, Wahrnehmung und Skepsis.   

Das Konzept der Mensch-Maschine-Intelligenz  

Das Konzept der Mensch-Maschine-Intelligenz macht sich die Synergie zwischen Technologie und menschlicher Logik zunutze, die durch jahrelange, fein abgestimmte Prozesse und Verfahren zusammengeführt werden. Dadurch ist ForeNova MDR in der Lage, schnell und präzise einen ganzheitlichen Bedrohungserkennungs- und Reaktionsdienst bereitzustellen.  

 

 

ForeNova MDR Service Elemente 

  1. Kontinuierliche Erkennung von Bedrohungen: Bedrohungen unsere Kunden werden rund um die Uhr von unseren Sicherheitsteams und Sicherheitstools in unserem in der EU ansässigen SOC erkannt, analysiert und untersucht. Wir erkennen Bedrohungen genau und benachrichtigen Sie rechtzeitig.  
  2. Schnelle Reaktion auf Vorfälle: Wir unterstützen unsere Kunden kontextbezogen und per Fernzugriff bei der Reaktion auf Bedrohungen, damit unsere Kunden erkannter Bedrohungen so schnell wie möglich beseitigen können. Die Reaktion auf Vorfälle (Incident response) umfasst die Eindämmung von Notfällen, die Analyse der Auswirkungen und der Grundursachen sowie Empfehlungen für Schutzmaßnahmen.  
  3. Regelmäßige Verfolgung der Assets: Unsere Sicherheitsexperten führen eine umfassende Erstüberprüfung der untersuchten Anlagen und regelmäßige Überprüfungen im Laufe der Dienstleistung durch. Dies hilft uns, unbefugte Änderungen nachzuverfolgen und zu erkennen, und stellt einen wertvollen Kontext für den Dienst dar.  
  4. Engagierte Expertendienste: Wir weisen jedem Kunden einen eigenen Sicherheitsexperten zu. Dadurch stellen wir eine kontinuierliche Kommunikation sicher, damit Kunden jederzeit über Bedrohungen benachrichtigt werden, bei der Reaktion auf Bedrohungen unterstützt werden und alle im Dienst enthaltenen Hinweise erhalten.   
  5. Vereinfachtes Kundenportal: Über unser benutzerfreundliches Kundenportal können unsere  Kunden einen Echtzeit-Sicherheitsüberblick über die überwachte Umgebung erhalten. Dazu gehören offene und abgeschlossene Fälle, die Sicherheitsansicht der überwachten Assets und regelmäßige Sicherheitsberichte.