Mogelpackung MDR: Nicht alles hält, was es verspricht : Wie Unternehmen MDR-Qualität erkennen – und sich vor leeren Versprechen schützen.

Die Zahl der Cyberangriffe steigt, gleichzeitig fehlen in vielen Unternehmen die notwendigen Ressourcen für eine effektive Abwehr. Entsprechend hoch ist die Nachfrage nach Managed Detection and Response (MDR). Laut Gartner bieten mittlerweile über 600 Anbieter MDR-Services an – mit erheblichen Unterschieden in Ausprägung und Leistungsumfang. Die Definitionen dessen, was unter MDR verstanden wird, variieren stark. Daher sehen sich Unternehmen häufig mit vollmundigen Versprechen konfrontiert, die oftmals missinterpretiert oder in der Praxis nicht immer eingehalten werden. Worin bestehen die Unterschiede und wie lässt sich die passende Lösung identifizieren?

MDR: Was steckt hinter der eierlegenden Wollmilchsau?

Managed Detection and Response (MDR) basiert in der Grundform auf gemanagten EDR- oder XDR-Lösungen, wobei EDR ausschließlich Endpunkte und XDR zusätzlich Netzwerk, E-Mail und Cloud absichert. Die Systeme analysieren KI-gestützt Log-Files und generieren bei Auffälligkeiten Warnmeldungen – die Erkennung läuft dabei vollautomatisiert ab. Viele Systemhäuser vertreiben solche kostengünstigen, vorkonfigurierten Angebote namhafter Security-Hersteller, bei denen die Bewertung der Alarme und die Einleitung von Maßnahmen Aufgabe der unternehmenseigenen IT bleibt.

Ohne internes Security-Know-how empfiehlt sich jedoch ein Ansatz, der neben Technologie auch menschliche Analysten einbindet. Hochwertige MDR-Services kombinieren etwa moderne EDR/XDR-Technologie mit Experten, die Warnungen überwachen, bewerten und aktiv Handlungsempfehlungen liefern. Dabei lohnt sich ein Blick hinter die Kulissen: Während manche Anbieter auf ausgelagerte Callcenter in Asien setzen, gewährleisten regionale MSSPs persönliche, deutschsprachige Ansprechpartner und schnellere Abstimmungen.

Aber Vorsicht: Oft werden MDR- und SOC-Services gleichgesetzt – trotz gravierenden Unterschieden. Während MDR-Lösungen meist nur wie eine Black-Box begrenzte, vordefinierte und oftmals herstellerabhängige Logquellen integrieren und keine individuellen Policies erlauben, ermöglichen SOC-as-a-Service-Modelle die Anbindung beliebiger Systeme über SIEM- und SOAR-Technologien. Dadurch entsteht eine umfassende Sichtbarkeit über die gesamte IT-Umgebung sowie die Möglichkeit, individuelle Use Cases und langfristige Log-Datenhaltung in europäischen Rechenzentren, etwa für Compliance-Anforderungen, umzusetzen.

Schutz durch hybriden Ansatz: MDR plus SOC as a Service

Als Managed Service ermöglicht MDR die Nutzung moderner Security-Technologien, ohne dass Unternehmen den Betrieb selbst übernehmen müssen. Für einen Basis-Schutz reicht eine gute MDR-Lösung oft aus, doch für eine umfassende Bedrohungserkennung empfiehlt sich die Kombination mehrerer Ansätze. Optimal ist die Verbindung einer MDR-Lösung mit der Einspeisung individueller Logquellen in das SIEM eines SOC as a Service. Ergänzend können zusätzliche Leistungen eines Cyber Defense Centers wie Threat Hunting oder Dark Web Monitoring genutzt werden.

Die richtige Entscheidung treffen

Welche Lösung am besten passt, hängt immer von den individuellen Voraussetzungen und Anforderungen ab. Ein MSSP, der herstellerunabhängig berät, kann dabei unterstützen, die richtige Wahl zu treffen. Diese Fragen sollten Unternehmen dabei vorab klären:

• Wie viel Sichtbarkeit ist erforderlich?
  Je mehr Logquellen angebunden werden, desto besser ist die Qualität der Überwachung und Erkennung von Bedrohungen. Ein Vergleich: Wer in einem Hochhaus nur im Erdgeschoss Rauchmelder installiert, bemerkt einen Brand in der obersten Etage zu spät. Ziel ist es, Abhängigkeiten frühzeitig zu erkennen und einzugreifen, bevor der Schaden eskaliert. Je nach IT-Struktur kann eine MDR-Lösung auf Basis von EDR/XDR ausreichen – in komplexeren Umgebungen ist eine SIEM-/SOAR-gestützte Lösung mit Analysten in einem SOC oft die bessere Wahl.
• Wie flexibel muss die Lösung sein?
  Verändert sich die IT-Landschaft im Unternehmen künftig durch Zukäufe, die Einbindung von neuen Anwendungen oder OT- & IoT-Geräten in die Überwachung? Dann sollte die gewählte Lösung diese Entwicklungen flexibel abbilden können. Es gilt zudem zu prüfen, ob im eigenen Haus ausreichendes Know-how vorhanden ist und ob Compliance-Anforderungen die langfristige Logdatenaufbewahrung fordern. Je nach den individuellen Herausforderungen kann die entsprechende Lösung von einem „Do-it-yourself“-MDR-Ansatz bis hin zu einem umfassenden SOC as a Service oder zusätzlichen Services eines Cyber Defence Centers reichen.
• Wer übernimmt die Alarmbearbeitung?
  Cyberangriffe finden bevorzugt nachts, an Wochenenden oder Feiertagen statt. Daher ist eine kontinuierliche Überwachung essenziell. Unternehmen müssen sicherstellen, dass sie sowohl personell als auch fachlich in der Lage sind, eingehende Warnmeldungen schnell und korrekt zu bewerten und geeignete Maßnahmen einzuleiten.
• Wer unterstützt im Ernstfall?
  Kommt es zu einem Cybervorfall, zählt jede Minute. Der psychische Druck in einer solchen Situation wird oft unterschätzt. Selbst erfahrene IT-Leiter geraten unter Stress und treffen nicht immer die richtigen Entscheidungen. Ein verlässlicher Partner, der rund um die Uhr erreichbar ist, Deutsch spricht und aktiv unterstützt, kann in solchen Momenten entscheidend sein.
• Was können wir selbst leisten – und was nicht?

Die ehrliche Einschätzung eigener Fähigkeiten ist zentral, um den benötigten Unterstützungsgrad richtig zu bestimmen. Angriffserkennung und Reaktionsmanagement erfordern tiefgehende Fachkenntnisse und sind keine Aufgaben, die neben dem Tagesgeschäft bewältigt werden können. Wer eigene Kapazitäten überschätzt, riskiert erhebliche Sicherheitslücken. Es ist daher wichtig, frühzeitig intern Bewusstsein zu schaffen, mögliche Defizite offen anzusprechen und erforderliche Ressourcen einzufordern.

So läuft ein Projekt ab

MDR ist Teil eines ganzheitlichen Security-Konzepts. Am Anfang erfolgt immer ein Health-Check: Wo steht das Unternehmen in puncto Security und welche Systeme setzt es ein? Häufig zeigt sich, dass über die Jahre eine hochkomplexe, heterogene IT-Security-Landschaft gewachsen ist, die aufgrund der Fülle der eingesetzten IT-Security-Lösungen und der Fülle der regulären Tätigkeiten einer IT-Abteilung nicht ausreichend genug beherrscht werden kann. Fehlende Interoperabilität und fehlende Kommunikation zwischen den eingesetzten Systemen führt zu Silo-Bildung und fördert damit die Wahrscheinlichkeit, dass ein Angriff nicht erkannt wird. Wie gut die Sicherheitsumgebung in der Praxis funktioniert, lässt sich am besten mit einer realistischen Angriffssimulation aufzeigen. Wie weit kann ein Angreifer ungesehen vordringen? Kann er Security-Produkte aushebeln? Anschließend empfehlen die Experten Gegenmaßnahmen und setzen gemeinsam mit dem Kunden einen passenden MDR-Service oder SOC as a Service auf. Ein gutes Vertrauensverhältnis ist für die Zusammenarbeit entscheidend: Unternehmen sollten auf einen persönlichen Betreuer achten, der ihre Prozesse und Besonderheiten kennt. Gemeinsam definieren die Partner, welche reaktiven Maßnahmen der MSSP eigenständig ergreifen darf und welche Meldewege greifen. In wöchentlichen Meetings besprechen sie die Findings und den aktuellen Sicherheitsstatus.

Einen guten Anbieter erkennen

Empfehlenswert ist ein Partner, der MDR- und SOC-Services aus seinem eigenen Cyber Defense Center erbringt, über nachweisbare Expertise auf diesem Gebiet verfügt und branchenführende Technologie einsetzt. Diese sollte in der Lage sein, herstellerunabhängig die Logquellen aller möglichen Infrastruktur-Systeme und Cloud-Umgebungen zu integrieren. Die Beratung des Dienstleisters sollte individuell auf die Anforderungen des Unternehmens eingehen. Statt Standard-Pakete zu verkaufen, identifiziert er die Services, die am besten zum Kunden passen. Dazu gehört zum Beispiel, eine MDR-Lösung/SOC as a Service-Lösung so umzusetzen, dass die bestehende Security-Infrastruktur weitergenutzt werden kann. Möglich wird das etwa durch den Einsatz von Google Security Operations und einer cloudbasierten SIEM/SOAR-Plattform, an die sich externe Quellen per API oder Syslog anbinden lassen.

Autor

Markus Muth ist Direktor Cyber Defense Center bei indevis.
José Garcia Vazquez ist Director Technology Services bei indevis.