Cloud Security oder On-Premise-Schutz?
Auf der Suche nach einer passenden IT-Sicherheitslösung haben Unternehmen die Qual der Wahl. Erschwert wird die Entscheidung durch zu geringe Budgets, Ressourcenknappheit und Fachkräftemangel. Drei Fragen helfen bei der Entscheidungsfindung.
Ist der Einsatz einer cloudbasierten Sicherheitslösung sinnvoll?
Cloudbasierte Sicherheitslösungen werden auf einem (virtuellen) Server gehostet und Unternehmen setzen sie «as-a-Service» ein. Die Cloud-Lösung ist zudem flexibel einsetzbar, jederzeit skalierbar (wenn das Netzwerk um weitere Endpoints wächst) und immer verfügbar. Firmen sparen Investitionen in spezielle Server-Hardware und entlasten das oft knappe IT-Budget. Im Gegensatz dazu ist bei einer On-Premise-Lösung die Antiviren-Software auf jedem einzelnen Client installiert. Also müssen Verantwortliche sicherstellen, dass jedes Gerät mit Updates versorgt wird.
Eine Sache gibt es zu bedenken: Die Informationen rund um die Software und die Security-Architektur, zum Beispiel Client-Spezifikationen, verbleiben infolge des Cloud-Ansatzes nicht ausschliesslich beim Kunden, sondern stehen auch dem Dienstleister zur Verfügung. Dieses Thema gilt es im Vorfeld mit dem Partner abzusprechen. Grundsätzlich sollten Verantwortliche bei der Wahl des passenden Anbieters darauf achten, dass dieser nicht nur die geeignete Lösung bietet, sondern auch vertrauenswürdig ist.
Gemanagt oder nicht?
Gerade kleine und mittelständische Unternehmen haben weder Zeit noch Personal, um die Security-Software selbst zu betreiben, zu steuern und bei einem sicherheitskritischen Vorfall sofort zu reagieren. Ein weiteres Problem ist fehlendes Fachwissen. Denn IT-Sicherheit ist ein komplexes Thema. Ohne das entsprechende Expertise ist die effektive Absicherung eines Unternehmens nicht leistbar. Vor diesem Hintergrund ziehen IT-Verantwortliche den Einsatz einer gemanagten Sicherheitslösung in Betracht, denn Cyberkriminelle kennen weder Wochenende noch Feierabend.
Bei einer gemanagten Sicherheitslösung erhalten Unternehmen Unterstützung durch einen erfahrenen Dienstleister und profitieren von dessen Expertise. Bei Managed Endpoint Detection and Response (MEDR) ist an 24 Stunden täglich und an 7 Tagen in der Woche ein Analystenteam im Hintergrund aktiv, das sofort eingreifen und beispielsweise kompromittierte Endpoints vom Netzwerk separieren kann, wenn dies nötig wird.
Brauche ich auch ein SIEM oder eine andere Lösung, wenn ich eine gemanagte EDR-Lösung nutze?
Während Endpoint Detection and Response auf den Endpunkt fokussiert ist, steht bei SIEM das gesamte Netzwerk im Blickpunkt. SIEM ist allerdings keine Konkurrenz zu EDR, sondern eine Erweiterung. Daher kann der gleichzeitige Betrieb beider Systeme für Unternehmen eine gute Wahl sein. SIEM sammelt und aggregiert Logdaten in der ganzen oder in Teilen der IT-Infrastruktur. Um diese Informationen auszuwerten, braucht es Fachleute, die alles genau einschätzen können. Diese Kapazitäten haben viele Unternehmen nicht, zumal SIEM keine «Response»- oder gemanagte Komponente enthält. MEDR verfügt aber über genau diese beiden Merkmale, wodurch sich eine Anschaffung für Unternehmen lohnen kann. Der Betrieb eines eigenen, ausgewachsenen SIEM dürfte nur für Grossunternehmen wirklich lohnend sein.
G DATA CyberDefense AG
Königsallee 178
D-44799 Bochum
www.gdata.de