9 Fragen, die Sie bei der Auswahl eines MDR-Services stellen sollten

Unternehmen sehen sich mit einer Vielzahl von Herausforderungen konfrontiert. Neben regulatorischen Anforderungen, dem Fachkräftemangel und der Etablierung moderner Unternehmensstrukturen zur Wahrung der Wettbewerbsfähigkeit, nimmt auch die Bedrohung aus dem “Cyber-Space” immer neue Formen an, denen es zu begegnen gilt.
Die Weiterentwicklung der Informationstechnologie, die Digitalisierung und die zunehmenden Komplexität moderner Unternehmensstrukturen durch Homeoffice & Co. erfordern neue Maßnahmen in der IT.
Längst sind Trojaner oder Phishing-Attacken an der Tagesordnung und häufig nur Mittel zum Zweck.
Ausgeklügelte, teilweise KI-unterstützte, Angriffsmethoden nutzen gestohlene Zugangsdaten, täuschend echt wirkende Geschäftsvorgänge oder nicht aktuelle Patches, um sich Zugriff auf Unternehmens-Netzwerke zu verschaffen. Selten zeigen Angreifer sofort ihre Absichten; häufig bleiben sie mehrere Tage oder gar Wochen unerkannt und nutzen die Zeit zur Exfiltrierung von Daten oder dem “Lateral Movement” – der Ausbreitung in weiten Teilen der Infrastruktur.
Ist das Ziel erreicht, geben sich die Angreifer meist zu erkennen: Unternehmensdaten sind verschlüsselt und womöglich abgeflossen, ein Lösegeld zur Wiederherstellung wird gefordert.

Nun stehen Unternehmen vor einer großen Herausforderung, die nicht nur immensen monetären und zeitlichen Aufwand erfordert. Meist steht die Produktion still, Mitarbeitende sind nicht arbeitsfähig, Lieferketten brechen zusammen, die Reputation ist beschädigt. Hinzu kommt die Ungewissheit, ob die Angreifer nach einer Bereinigung der Infrastruktur wirklich vollständig ausgeschaltet wurden und ob sensible Daten weiterverkauft oder zukünftig veröffentlicht werden.

Deshalb ist eine Prävention in vielerlei Hinsicht empfehlenswert und stets günstiger als eine Bereinigung und Wiederherstellung.
Bei raffinierten Angriffen oder gar “Hands-on-Keyboard” Attacken, kann auch die beste Technologie selten mithalten. Letztlich wird der “Kampf um die IT-Sicherheit” zwischen Menschen entschieden, die verdächtige Aktivitäten beurteilen und stoppen – und das bestenfalls rund um die Uhr.
Denn die wenigsten Angriffe werden werktags um 13 Uhr durchgeführt.

Gerade der Mittelstand, der kaum Ressourcen für eine 24/7 Überwachung der IT-Infrastruktur aufwenden kann, steht zunehmend im Fokus krimineller Strukturen.
Immer wieder werden Angriffe auf Zulieferer auch als Sprungbrett für Angriffe auf Großunternehmen genutzt, da gewöhnliche Geschäftsvorfälle missbraucht werden.

Ein Managed Detection and Response Service verspricht Abhilfe, sind dadurch doch Ressourcen entlastet und der ohnehin schwierige Zugriff auf kostenintensive Fachkräfte obsolet. Doch die Anbieter eines MDR-Services unterscheiden sich stark – nicht nur in preislicher Hinsicht.
Letztlich bleibt die Investition in einen MDR-Service wie in allen Investitions-Fragen eine Abwägung von Kosten und Nutzen.
Dennoch lohnt sich ein Blick “ins Kleingedruckte” – mit den folgenden 9 Fragen, die den Unterschied machen können:

Wie gut ist die Qualität hinter der Threat Intelligence, die den Managed Service stützt? Ist diese Threat Intelligence in-house, aus welchen Datensätzen stammen die Informationen? Wurden ihnen die Playbooks der Dienstleister gezeigt und wie sahen die aus?

Reagieren die Teams des MDR-Anbieters lediglich auf Detections der Software oder kommt auch proaktives Threat Hunting zum Einsatz, auf dessen Ergebnisse direkt eine Remediation angeschlossen ist? Was sind die vertraglich zugesicherten SLAs? Ist ein Vorteil gegenüber möglichen Angreifern erkennbar?

Wenn Threat Hunting zum Einsatz kommt, ist dies ein kontinuierlicher Service, der rund um die Uhr durch Machine Learning und menschliche Analysten durchgeführt wird oder gibt es hierzu nur periodische Reviews und die Findings werden dem Kunden mitgeteilt, ohne direkt in einer Response durch den Dienstleister zu münden?

Wie werden Identitäten geschützt? Welche Schritte stehen den Analysten zur Verfügung, um auf identitätsbasierte Angriffe zu reagieren?

Wie sieht die konkrete Reaktion auf einen beobachteten Angriff aus? Wird dieser nur gemeldet? Werden Hosts lediglich im Netzwerk isoliert? Wird die Remediation durch Sie durchgeführt und nur „Guidance“ dabei angeboten? Oder werden (wenn möglich) alle Schritte durch den Anbieter durchgeführt, um den Angriff zu stoppen und die Endgeräte zu bereinigen?

Wird die Endpoint Protection vom MDR Anbieter für Sie gemanaged? Fallen andere administrative Tätigkeiten neben dem Rollout der Agenten in Ihren Verantwortlichkeitsbereich?

Wie ist das Analysten-Team des Anbieters strukturiert? Welche Vorteile ergeben sich daraus für eine effektive und effiziente Behebung von erkannten Bedrohungen? Welche Erfahrung wird durch die Analysten mitgebracht? Wieviele Analysten arbeiten in den Teams? Ist das SOC-Team / Analysten-Team des Anbieters organisch gewachsen oder wurde es eingekauft? Wie lange ist der Service bereits auf dem Markt?

Ist der Anbieter selbst der Hersteller aller Tools, die für den Service genutzt werden? (Dadurch ist sichergestellt, dass die notwendige Expertise bei der Benutzung vorhanden ist und die Tools auch entsprechend an die Prozesse angepasst sind und weiterentwickelt werden).

Wieviele „Incident Responses“ auf Angriffe sind im Service inklusive? Müssen zusätzliche Kontingente eingekauft werden, wenn diese überschritten werden? Wird hier stündlich abgerechnet? Ist alles inklusive?

Sie haben Fragen oder sehen in Ihrem Unternehmen einen Bedarf für einen MDR-Service?
Melden Sie sich bei uns – wir beraten Sie gerne!

Kontakt