Längst sind nicht mehr nur große Unternehmen von ausgeklügelten Cyberangriffen betroffen. Auch der Mittelstand verzeichnet immer mehr Vorfälle. Um geschäftsfähig zu bleiben, ist es entscheidend, schnell zu reagieren. Denn je früher man einen Angriff erkennt, desto eher kann man ihn stoppen und größeren Schaden vermeiden. Viele Unternehmen setzen bereits ein Security Information and Event Management (SIEM) ein, um bösartige Aktivitäten aufzudecken. Das Security-System sammelt Logdaten aus der IT-Umgebung und schlägt Alarm, falls es verdächtiges Verhalten feststellt. Doch das allein reicht nicht aus: Man muss die Warnmeldungen auch auswerten, verstehen und nachverfolgen. Das aber ist aufwändig, erfordert Expertenwissen und modernste Technologie. Unternehmen müssen beides nicht unbedingt selbst vorhalten, sondern können Managed Detection & Response (MDR) als Service beziehen. Ein spezialisierter Dienstleister stellt dann die Security-Technologie bereit, betreibt sie und analysiert die Alarme. Er informiert seine Kunden, falls Handlungsbedarf besteht, und unterstützt sie dabei, geeignete Gegenmaßnahmen umzusetzen. Unternehmen, die noch kein SIEM haben, können auch dieses als Service beziehen. Hier kommen fünf Gründe, warum sich MDR vor allem für den Mittelstand lohnt.
1. Ein eigenes SOC können sich nur große Unternehmen leisten
Lange Zeit lag es im Trend, ein eigenes Security Operations Center (SOC) aufzubauen. Dort arbeiten Security-Analysten, die die Warnmeldungen aus dem SIEM rund um die Uhr überwachen und auswerten. Doch ein SOC zu betreiben ist teuer. In der Regel können sich das nur große Unternehmen leisten, und selbst die überlegen mittlerweile, ob sich der Aufwand lohnt. Denn täglich laufen Hunderte von Alerts auf, von denen ein Großteil False Positives sind. Die Analysten müssen entscheiden, welche Meldungen tatsächlich auf Bedrohungen hinweisen. Identifiziert eine solche Level-1-Analyse Anzeichen für einen Angriff, folgt eine tiefere Untersuchung. All das erfordert Zeit und Expertise. Dazu kommt, dass Security-Analysten auf dem Arbeitsmarkt schwer zu finden sind. Viele Unternehmen entscheiden sich daher für MDR, statt ein eigenes SOC zu betreiben.
2. Ohne Automatisierung ist IT-Security heute undenkbar
Zeit ist ein Luxus, den sich die Security nicht erlauben kann. Denn viele Angriffe finden mittlerweile automatisiert statt. Manuelle Analysen dauern oft zu lange, um sie rechtzeitig zu stoppen. Zumal die Gefahr besteht, dass man im Grundrauschen der Fehlalarme wichtige Hinweise übersieht. Auch die Security braucht daher Automatisierung. Wer auf dem neuesten Stand der Technik arbeitet, setzt ein SOAR ein (Security Automation, Orchestration & Response). Solche Lösungen können riesige Datenmengen in Echtzeit verarbeiten, Informationen aus verschiedenen Quellen verknüpfen und Level-1-Analysen automatisiert durchführen. SOC-Mitarbeiter sparen dadurch viel Arbeit und sehen auf einen Blick, was passiert ist. Mit MDR profitieren auch Unternehmen, die kein eigenes SOC und SOAR betreiben, von der Effizienz und Geschwindigkeit der neuen Technologie.
3. Playbooks sind stets auf die aktuelle Bedrohungslandschaft angepasst
Für die automatisierten Analysen nutzt ein SOAR sogenannte Playbooks. Dabei handelt es sich um Anweisungen, die das System anhand von hinterlegten Logiken abarbeitet. Ein Playbook definiert zum Beispiel, welche Überprüfungen das SOAR Schritt für Schritt durchführen soll, um einen Ransomware-Angriff zu erkennen. Für verschiedene Szenarien gibt es verschiedene Playbooks. Diese müssen stets auf dem neuesten Stand sein, da sich die Bedrohungslandschaft schnell ändert. Ein gutes SOAR bringt bereits viele Playbooks mit, die dann häufig noch angepasst und weiterentwickelt werden müssen. Im Rahmen von MDR übernimmt der Managed Security Services Provider (MSSP) die Pflege der Playbooks.
4. Spezialisten kümmern sich um Setup und Betrieb der Lösung
SOAR-Lösungen sind für große SOCs gedacht. Sie erfordern leistungsfähige, teure Hardware, müssen an Logquellen und Datenbanken angebunden werden und sind komplex zu bedienen. Allein mit der Einrichtung sind durchschnittlich bis zu vier Mitarbeiter ein halbes Jahr lang beschäftigt. Für mittelständische Unternehmen lohnt es sich daher in der Regel nicht, ein eigenes SOAR anzuschaffen – geschweige denn, es zu betreiben. Denn für Letzteres fehlen wiederum Fachkräfte. Bei MDR stellt der MSSP dagegen die Technologie bereit. Er bindet auch die Quellen an, modelliert sie und kümmert sich kontinuierlich um den Betrieb.
5. Im Angriffsfall ist schnelle Expertenunterstützung gewährleistet
Wenn die Analysen auf einen Angriff hindeuten, geht es im nächsten Schritt darum, schnell zu reagieren. Im Rahmen von MDR führt der MSSP in enger Zusammenarbeit mit seinem Kunden weitere Untersuchungen durch und gibt ihm Schritt-für-Schritt-Handlungsempfehlungen, um den Angriff zu stoppen. Falls nötig, zieht er spezialisierte Partner aus der IT-Forensik hinzu. Der MSSP kann auch bei der Umsetzung von Maßnahmen unterstützen. Ob und welche Aktionen der Kunde ergreifen möchte, entscheidet er jedoch selbst. Eine automatisierte Response, wie SOAR-Lösungen sie versprechen, ist nicht empfehlenswert. Denn das könnte im Einzelfall mehr Schaden als Nutzen anrichten – etwa, wenn durch geänderte Firewall-Regeln das Netzwerk ausfällt oder sogar ungeahnte Auswirkungen auf Produktionsabläufe entstehen.
Fazit
Ohne Automatisierung und spezialisierte Security-Analysten ist es heute nicht mehr möglich, komplexe Cyberangriffe schnell genug zu erkennen und einzudämmen. Ein eigenes SOC und SOAR zu betreiben ist für mittelständische Unternehmen aber meist zu aufwändig und zu teuer. Wer sich eine Detection & Response nach neuestem Stand wünscht, aber sich nicht mit den technischen Details auseinandersetzen möchte, ist mit MDR von einem Managed Security Service Provider am besten beraten. Kunden erhalten dann einen Rundum-Service aus einer Hand. Ganz aus der Verantwortung sind sie dadurch aber nicht. Denn der MSSP braucht einen Ansprechpartner, der eng mit ihm zusammenarbeitet. An ihn wenden sich die Security-Analysten, sobald sie einen Cybervorfall entdecken. Nur wenn es eine klare Schnittstelle und eine gute Kooperation zwischen den Partnern gibt, kann es gelingen, einen Angriff schnell zu stoppen.
