Skip to the main content.

3 minute gelesen

5 Tipps für die Auswahl und Einführung von Managed Detection and Response

5 Tipps für die Auswahl und Einführung von Managed Detection and Response

Unternehmen müssen immer mit einem Cybervorfall rechnen. Denn Cyberkriminelle sind heute professionell organisiert, gehen zunehmend aggressiv zu Werke und setzen modernste Technik ein. Früher oder später wird es ihnen gelingen, auch die beste Verteidigungslinie zu durchbrechen. Um Schaden zu minimieren, ist es wichtig, den Angriff möglichst schnell zu erkennen und zu stoppen. Dafür werden nicht nur modernste Security-Lösungen benötigt, sondern auch Experten, die sie betreiben, Warnmeldungen analysieren und passende Gegenmaßnahmen entwickeln. All das inhouse zu stemmen ist für kleine und mittelständische Unternehmen in der Regel schwer zu bewerkstelligen. Der Trend geht daher zu Managed Detection & Response (MDR): Ein Dienstleister wie indevis stellt dann die passende Security-Technologie und Expertise bereit und verständigt und unterstützt den Kunden bei den nächsten Schritten, sobald er eine Bedrohung erkennt. Wie man den richtigen Anbieter findet und MDR am besten einführt, erfahren Sie in den nachfolgenden fünf Tipps.

1. Wählen Sie einen spezialisierten, erfahrenen Dienstleister

MDR erfordert fundiertes Fachwissen. Das erwirbt man nicht kurzfristig, sondern muss es langwierig aufbauen. Wählen Sie einen Anbieter, der auf Managed Security Services spezialisiert ist und nachweislich langjährige Erfahrung auf diesem Gebiet hat. Er sollte sich mit neuester Security-Technologie, Threat Intelligence und aktuellen Angriffsszenarien auskennen. Aufschluss darüber geben zum Beispiel Zertifikate, Kundenreferenzen oder Mitarbeiterprofile. Auch Managed Security Services Provider (MSSPs) leiden unter Fachkräftemangel. Vergewissern Sie sich, dass der Dienstleister genügend Personal hat und Experten beschäftigt. Besuchen Sie ihn doch einmal persönlich und lassen Sie sich zeigen, wie er arbeitet.

2. Achten Sie auf einen hohen Automatisierungsgrad

Von entscheidender Bedeutung für das gute Funktionieren eines MDR-Services, sind die vom Anbieter eingesetzten Technologien. Bei der Bedrohungserkennung kommt es auf Geschwindigkeit und Treffsicherheit an. Hier kommt eine SOAR-Lösung (Security Orchestration, Automation and Response) in Kombination mit einem SIEM (Security Information and Event Management) ins Spiel: Sie analysieren die Logdateien der angeschlossenen Systeme und führen für die Identifikation von Angriffsszenarien anhand von Playbooks automatisiert Prüfmechanismen durch. Dabei nutzen sie hinterlegte Logiken und beziehen Informationen aus verschiedenen Threat-Intelligence-Quellen ein. Ein gutes SOAR bringt bereits viele vorgefertigte Playbooks für gängige Incidents mit. Der MSSP kann diese individuell an Kundenbedürfnisse anpassen, weiterentwickeln und immer auf dem neuesten Stand halten.

3. Prüfen Sie, ob und wie sich Ihre Logquellen anbinden lassen

Eine Herausforderung bei MDR-Projekten ist die Anbindung der Logquellen. Nicht jede MDR-Lösung kann Informationen von Endpunkt-Security-Lösungen jedes Herstellers verarbeiten. Daher sollten Sie vorab prüfen, ob die Security-Technologien des MDR-Anbieters mit Ihrem eigenen Security-Stack kompatibel sind. Diese Problematik entfällt, wenn der MDR-Service ein herstellerunabhängiges, Cloud-natives SIEM wie Google Chronicle als Zwischenschicht einsetzt. Damit lassen sich verschiedenste Logquellen einfach per API und Syslog einbinden. Auf diese Weise lassen sich auch Telemetriedaten aus Cloud-Diensten wie Office 365 und Azure ID integrieren. Google Chronicle normalisiert die Daten automatisch, sodass sie richtig aufbereitet für die Analyse bereitstehen.

4. Sichern Sie sich Unterstützung im Incident-Fall

Was passiert, wenn durch den MDR-Service eine Bedrohung erkannt wird? In diesem Fall sollte der Dienstleister gemeinsam mit dem Kunden den Incident dann tiefer analysieren und Schritt für Schritt Schutzmaßnahmen einleiten. Unternehmen sollten darauf achten, dass der MSSP bei einem Cyberangriff dank seiner engen Vernetzung ein spezialisiertes CERT (Computer Emergency Response Team) schnell hinzuziehen kann. Die Forensiker ermitteln, was genau passiert ist, auf welchem Weg der Angreifer ins Netzwerk gelangt ist, sammeln gerichtsfeste Beweise und versuchen die Täter zu identifizieren. Gemeinsam mit dem MDR-Dienstleister helfen sie Ihnen dabei, die richtigen Entscheidungen zu treffen, Systeme zu bereinigen und schnell wieder in Betrieb zu nehmen.

5. Definieren Sie interne Ansprechpartner und Prozesse

Um MDR einzuführen, sind Sie auf eine enge Zusammenarbeit mit dem Dienstleister angewiesen. Denn auch bei einem Managed Security Service sind Sie nie ganz aus der Verantwortung. Wer ist der Ansprechpartner für einen MSSP, wenn er eine Bedrohung erkennt? Wer berichtet an wen und wer trifft im Ernstfall in Ihrem Unternehmen die Entscheidungen – zum Beispiel, ob man geschäftskritische Systeme vom Netz nimmt? Hier ist es von besonderer Wichtigkeit, klare Schnittstellen und Abläufe zu definieren. Außerdem ermittelt der MSSP beim Onboarding gemeinsam mit Ihnen, welche Logquellen Sie an die MDR-Plattform anschließen möchten. Sie selbst müssen dann dafür sorgen, dass die Daten zuverlässig zur Verfügung stehen. Oder Sie sourcen das Management dieser Systeme ebenfalls an einen Dienstleister aus.

Fazit

Kleine und mittelständische Unternehmen (KMUs) sind zum beliebten Angriffsziel für Cyberkriminelle avanciert. Es ist keine Frage mehr „ob“, sondern nur noch „wann“ man angegriffen wird. KMUs fällt ein angemessener Schutz schwer, denn meist fehlen ihnen sowohl Security-Spezialisten als auch geeignete Technologie. MDR löst dieses Problem. Denn ein eigenes SOC einzurichten, lohnt sich meist nur für große Unternehmen. Weil aber der Betrieb sehr aufwändig ist, kommen selbst diese häufig wieder davon ab. Dank MDR profitieren auch kleine und mittelständische Betriebe von modernster Security-Technologie wie die Großen. Mit einem erfahrenen, spezialisierten Partner an ihrer Seite sparen sie interne Ressourcen und erhöhen die Sicherheit.


Johannes Potschies

Head of SOC & Service Support, indevis

Das könnte Sie auch interessieren:

5 Gründe, warum Sie auf Managed Detection and Response setzen sollten

3 minuutin luku

5 Gründe, warum Sie auf Managed Detection and Response setzen sollten

Wie können wir Bedrohungen schnell erkennen und Schaden minimieren? Diese Frage wird für Unternehmen immer wichtiger. Denn das Risiko für Cyberangriffe steigt. indevis Managed Detection and Response (MDR) ermöglicht es dem Mittelstand, sich mit geringem Eigenaufwand genauso gut zu schützen wie große Konzerne.

Nahtlose Sicherheit: Die Einbindung von Microsoft-Applikationen in indevis MDR

3 minuutin luku

Nahtlose Sicherheit: Die Einbindung von Microsoft-Applikationen in indevis MDR

Die Integration von Microsoft-Applikationen in den indevis Managed Detection and Response Service bietet Unternehmen eine umfassende Lösung zur proaktiven Bedrohungserkennung und -abwehr. Mit Google Chronicle als zentralem Sicherheitstool können nun auch die Log-Informationen von Microsoft-Anwendungen mit den SIEM und SOAR Security-Tools innerhalb des indevis SOC überwacht und analysiert werden.

Mit neuem Head of SOC & Service Support - Ausbau und Stärkung der indevis MDR-Services: Interview mit Johannes Potschies

2 minuutin luku

Mit neuem Head of SOC & Service Support - Ausbau und Stärkung der indevis MDR-Services: Interview mit Johannes Potschies

Seit Januar 2022 ist Johannes Potschies als Head of SOC & Service Support bei der indevis. Mit seiner jahrelangen Erfahrung baut er den Bereich MDR-Services konzeptionell und architekturell weiter aus. Im Interview erzählt Johannes, wie seine beiden Teams die indevis Kunden bei der Sicherung ihrer IT unterstützen.