Cyberkriminalität hat die Wirtschaft fest im Griff und die Angriffe nehmen stetig zu. Dabei werden Unternehmen zunehmend verwundbarer – auch, weil der Personalmangel in der IT allgemein und in der IT-Sicherheit im Besonderen auf absehbare Zeit nicht weniger wird. Gleichzeitig steigen die Anforderungen an die IT-Teams: Risikomanagement, Patchmanagement und Konfigurationsaufgaben müssen oft unter Zeitdruck und mit limitierten Ressourcen durchgeführt werden. Eine effektive Lösung? Managed Extended Detection and Response (MXDR).

MXDR: 24/7-Schutz ohne zusätzliche Ressourcen
 

Angesichts des hohen Bedrohungsrisikos braucht es technische Lösungen, die durch die passende Reaktion schädliche Aktivitäten und Angriffe sofort stoppen. Aber aufgrund des hohen Bedarfs an spezialisierter IT-Sicherheit ziehen immer mehr Unternehmen die Zusammenarbeit mit einem externen Security-Anbieter in Betracht. Bei MXDR überwacht ein erfahrenes Analystenteam dauerhaft die IT-Systeme und identifiziert potenzielle Bedrohungen frühzeitig. Dies geschieht durch den Einsatz fortschrittlicher Sensorik und intelligenter Algorithmen, die schädliche Aktivitäten aufdecken, bevor ein grösserer Schaden entsteht. So bleiben Angriffsversuche nicht unbemerkt – auch wenn sich die Täter schon monatelang im System aufhalten und sensible Daten ausleiten.

Der Schlüssel zur erfolgreichen Abwehr von Cyberangriffen liegt in der kontinuierlichen Überwachung. Während interne Teams oft an Bürozeiten gebunden sind, arbeitet das Analystenteam eines MXDR-Dienstleisters im 24/7-Schichtbetrieb. Angreifer kennen keine Pausen und nutzen immer wieder die Abendstunden oder Wochenenden, um Netzwerke zu kompromittieren. Und genau aus diesem Grunde sollten Unternehmen bei der IT-Sicherheit ihre Systeme permanent im Blick haben. MXDR-Teams reagieren auf Bedrohungen in Echtzeit, isolieren infizierte Geräte und unterbrechen schadhafte Prozesse, bevor sie sich ausbreiten.

Kosten- und Ressourcenvorteile durch MXDR
 

Die Suche nach qualifiziertem IT-Sicherheitspersonal ist nicht nur mühsam, sondern auch teuer. Speziell geschulte Fachleute verlangen hohe Gehälter, und die Bereitschaft, in branchenfremden Unternehmen zu arbeiten, ist begrenzt. Zudem erwarten Security-Expertinnen und -Experten einen fachlichen Austausch und Weiterbildung, die oft nur bei spezialisierten Dienstleistern möglich sind. Durch MXDR können Unternehmen auf die Expertise solcher Anbieter zugreifen und so von Best Practices profitieren.

Managed Extended Detection and Response hilft Unternehmen in der Schweiz, den steigenden Sicherheitsanforderungen gerecht zu werden, ohne in zusätzliche Personalressourcen zu investieren. Es ist eine attraktive Lösung für Entscheiderinnen und Entscheider im IT-Channel, die IT-Sicherheit langfristig stabilisieren und gleichzeitig das eigene Team entlasten möchten.

« Kontinuierlicher Echtzeitschutz geht nur mit MXDR »

Personalmangel und fehlendes IT-Security-Fachwissen erschweren oft die effektive IT-Sicherheit für Unternehmen. Im Gespräch erläutert Cornelia Lehle, Head of Sales DACH bei G Data Cyber­defense, wie MXDR-Lösungen auch neue Angriffsversuche erkennen und das Risiko von Fehl­alarmen reduzieren. Interview: Tanja Mettauer
 

Wie flexibel ist MXDR im Hinblick auf sich verändernde Bedrohungslandschaften und neue Angriffsmethoden?
 

Cornelia Lehle: MXDR ist sehr flexibel, weil die Lösung einen gros­sen Schritt weiter als klassischer Virenschutz geht. Eine Managed-Extended-Detection-and-Response-Lösung überwacht alle Vorgänge kontinuierlich und rund um die Uhr. MXDR setzt auch auf Security-Technologien, ergänzt diese aber durch Sensorik und ermöglicht eine Reaktion auf schädliche Aktionen im Netzwerk.

Welche typischen Cyberbedrohungen kann MXDR effektiv erkennen und abwehren und welche nicht?
 

Cyberkriminelle nutzen raffinierte, individualisierte und komplexe Angriffsvektoren, um Unternehmen zu infiltrieren. Und es vergehen meist mehrere Wochen, bis Cyberangriffe aufgedeckt werden. In dieser Zeit spionieren Angreifende die IT-Infrastruktur des Unternehmens aus, um etwa die Verschlüsselung aller Daten vorzubereiten. Spezialisierte Analystinnen und Analysten starten sofort eine Untersuchung, wenn die Sensoren eine verdächtige Aktion erkennen. Damit decken MXDR-Lösungen viel früher als eine herkömmliche Antiviren-Lösung ein grosses Spektrum an Bedrohungen ab. Aber 100-prozentige Sicherheit gibt es nicht.

Wie hoch ist das Risiko für Fehlalarme und wie ­vermeidet eine MXDR-Lösung diese?
 

Ganz vermeiden kann man Fehlalarme natürlich nicht, aber man kann deutlich besser mit ihnen umgehen. Es braucht heute eine genaue Analyse der verdächtigen Vorgänge, um zu verifizieren, ob es sich um einen Angriff oder eine schädliche Aktivität handelt oder nicht. Oftmals bleibt aber diese Angriffserkennung auf der Strecke, und wenn doch Zeit dafür ist, droht schnell die sogenannte Alert Fatigue – eine «Übermüdung» durch zu viele Sicherheitswarnungen. Diese Überlastung führt dazu, dass die Unterscheidung zwischen echten Bedrohungen (True Positives) und Fehlalarmen (False Positives) immer schwieriger wird. Im schlimmsten Fall werden kritische Angriffe übersehen oder Warnungen ignoriert. Deshalb kann es eine gute Lösung sein, die Aufgabe des «Wachpersonals» in die Hände eines spezialisierten Dienstleistungsunternehmens zu geben. Bei Managed XDR übernimmt ein solches Unternehmen die Überwachung der Systeme – 24/7 im ganzen Jahr.

Wie funktioniert das Reporting bei MXDR, und welche Massnahmen sollten Unternehmen hinsichtlich Transparenz vornehmen?
 

Wir setzen auf eine übersichtliche Management-Konsole, die alle relevanten Informationen bereithält – etwa welche Sicherheitsvorfälle es gab. Die Handlungsempfehlungen sollten so formuliert sein, dass sie leicht verständlich und einfach umzusetzen sind. Dafür ist es auch notwendig, dass sie auf Deutsch sind. Bei manchen Anbietern erfordern die Handlungsempfehlungen jedoch viel Fachwissen und lassen kleinere IT-Teams ratlos zurück. Und das Thema Transparenz sollte direkt am Anfang besprochen werden. Denn hier sollten Unternehmen und Dienstleister das Thema Datenschutz besprechen und klären, welche Daten die Fachleute einsehen und wo die Server des Dienstleisters stehen.

Welche datenschutzrechtlichen Risiken sind mit ­einer cloudbasierten MXDR-Lösung verbunden?
 

IT-Sicherheit ist Vertrauenssache und Unternehmen sollten sich auf die Integrität ihres Dienstleisters verlassen können. Dabei kommt dem Standort des Anbieters eine zentrale Rolle zu. Damit einhergehend ist es auch interessant, wo die Server mit den gespeicherten Informationen stehen, denn auch hier geht es um die gesetzlichen Grundlagen zum Datenschutz. IT-Verantwortliche sollten sich daher beim Dienstleister nach dem Standort des Rechenzentrums erkundigen. Stehen die Server nicht in Europa, könnten sie nicht ausreichend vor Fremdzugriff geschützt sein, eventuell auch durch Regierungen.