Eine schnelle Reaktion auf Cyberangriffe ist für Unternehmen entscheidend, um das wirtschaftliche Fortbestehen zu sichern. Aber derzeit liegt der zeitliche Vorteil auf der Seite der Angreifer. Denn noch immer vergehen Monate, bis IT-Verantwortliche Eindringlinge im Netzwerk bemerken und Gegenmassnahmen einleiten. Der Grund: Die Tätergruppen sind arbeitsteilig organisiert und nicht jede Aktivität ist direkt als schädlich zu erkennen. Wer zum Schutz seiner IT auf EDR setzt, braucht «Wachpersonal», das verdächtige Prozesse analysiert und bei Bedarf einschreitet. Im Idealfall sind diese Fachkräfte im Unternehmen direkt angestellt, denn das interne Personal kennt das Netzwerk am besten. Aber gerade für kleine und mittelständische Unternehmen ist eine Rund-um-die-Uhr-Überwachung unwirtschaftlich.

Überwachung an 365 Tagen im Jahr

Für einen echten Sicherheitsgewinn braucht es «Wachpersonal», das 24/7 arbeitet. Cyberkriminelle greifen Unternehmen auch nachts, am Wochenende oder an Feiertagen an. Wenn niemand einen schädlichen Vorgang im Netzwerk untersuchen und sofort darauf reagieren kann, bleibt der Mehrwert von EDR vollständig aus. Angesichts begrenzter Mittel ist ein Schichtbetrieb für viele Unternehmen jedoch nur schwer umsetzbar.

Zeitmangel und fehlende Fachkräfte

Um EDR-Meldungen zu analysieren und richtig darauf zu reagieren, erfordert es umfassende Fachkenntnisse und genug Zeit. Aufgrund des Fachkräftemangels und hohen Workloads des bestehenden IT-Teams ist das aber in der Realität nicht zu leisten. Die Zeit reicht kaum aus, um regelmässig die Meldungen der Endpoint Protection auszuwerten – wenn gleichzeitig ein Kollege Hilfe bei einem Software-Update anfragt. Für die noch grössere Anzahl an komplexen EDR-Meldungen sind daher professionelle Security-­Analystinnen und -Analysten mit speziellem Fachwissen erforderlich, die sich nur darauf konzentrieren.

Alarmmüdigkeit

Der Zeitmangel begünstigt auch die sogenannte «Alert Fatigue» – ein oft unterschätztes Sicherheitsrisiko. Die Warnungen, mit denen IT-Teams täglich konfrontiert werden, stellen sich oftmals als Fehlalarme heraus. Das kann dazu führen, dass ohnehin schon überlastete Teams Hinweise auf echte Angriffe übersehen oder ignorieren. Eine zeitnahe Reaktion erfolgt nicht und gefährdet die IT-Sicherheit des Unternehmens. Daher ist es ratsam, das Überwachen des Netzwerks in die Hände eines spezialisierten Dienstleistungsunternehmens zu geben. In diesem Fall spricht man von Managed EDR.

Übrigens: Die Aussage «EDR kann auch vollautomatisiert ohne Analysten-Team funktionieren» ist ein Mythos. Es ist ein Irrtum anzunehmen, dass EDR dank maschinellem Lernen richtig auf alle Sicherheitsvorfälle automatisiert reagieren kann. Es gibt zwar klare Fälle, in denen eine automatisierte Response ausreicht. Aber in vielen Situationen ist eine tiefergehende, manuelle Analyse durch Fachleute nötig. Sie können auf Basis ihrer Expertise beurteilen, ob ein verdächtiger Vorgang im Netzwerk der Beginn einer Cyberattacke ist – und was die richtige Reaktion darauf sein sollte.

« Der sinnvolle Einsatz eines EDR ­erfordert Wachpersonal »

Immer mehr Unternehmen entscheiden sich für Managed Endpoint Detection and Response. Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense, erklärt im Gespräch, wie Fachleute bei der Analyse vorgehen und warum Unternehmen beim Einsatz zögern. Interview: Tanja Mettauer

Die Vorteile von Managed Services liegen heute auf der Hand. Was hält Unternehmen noch davon ab, auf Managed Endpoint Detection and Response (Managed EDR) zu setzen?

Cornelia Lehle: Auf die Frage gibt es keine pauschale Antwort. Die Gründe, warum sich noch nicht alle Firmen für Managed EDR entschieden haben, sind sehr individuell. In den allermeisten Fällen setzen Unternehmen weiterhin klassische Antivirenlösungen ein. Das sind bewährte und wichtige Komponenten einer klassischen Security-Architektur. Dass diese aber nicht immer weit genug greifen, ist noch nicht bei allen IT-Verantwortlichen angekommen. Managed EDR überwacht die IT-Systeme mit allen Vorgängen kontinuierlich und in Echtzeit und leistet damit deutlich mehr als ein klassischer Virenschutz. Ein weiterer Vorteil: Durch die «Res­pond»-Komponente lassen sich schädliche Aktionen im Zuge von Cyberangriffen sofort stoppen.

Bei welcher Art von Vorfällen reicht eine völlig automatisierte Response bereits aus?

Viele klassische und bekannte Massenangriffe werden heute von automatisierten Abwehrmechanismen erkannt und auch gestoppt. Aber bei den von uns näher analysierten Cyberattacken haben wir festgestellt, dass «verschlüsselte» Unternehmen im Schnitt bereits ein halbes Jahr vor der Lösegeldforderung unbemerkt infiltriert wurden. Diese Kompromittierungen hätten Fachleute deutlich früher in den Logs der verschiedenen Sicherheitsprogramme identifizieren können. Das Ziel von EDR ist es, auch solche Angriffe frühzeitig zu erkennen. Dazu setzt EDR zusätzliche Sensoren ein, die eine umfassende Analyse erlauben. EDR bietet ausserdem die Möglichkeit, mit Gegenmassnahmen direkt zu reagieren. Der sinnvolle Einsatz eines EDR erfordert dafür nebst der Software aber auch «Wachpersonal», das verdächtige Prozesse näher untersucht und bei Bedarf einschreitet. Sonst kann die Lösung ihr volles Potenzial nicht entfalten.

Wie können gerade EDR-Anbieter sicherstellen, dass ihre Mitarbeitenden nicht der Alert Fatigue zum Opfer fallen?

Mit dem Problem der Alarmmüdigkeit haben insbesondere IT-Teams zu kämpfen, die nicht auf IT-Sicherheit spezialisiert sind und auch noch andere administrative Aufgaben übernehmen müssen. Hier besteht die Gefahr, dass sie Hinweise auf echte Angriffe übersehen. Bei G Data kümmern sich mehrere erfahrene Security-Fachleute gleichzeitig um die Analyse von Sicherheitsmeldungen aller Art. Des Weiteren haben wir aufgrund unserer Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA) sowie unserer Tätigkeit als Incident-Response-Dienstleister einen grossen Wissensvorsprung in Bezug auf neue Angriffsmuster und aktuelle Sicherheitsvorfälle.

Nach welchem Schema gehen EDR-Anbieter bei einem ­registrierten Angriff vor?

Lassen Sie mich das an einem Beispiel erklären: Die EDR-Sensoren entdecken einen bösartigen Prozess, der Passwörter ausliest und einen unbekannten Server kontaktiert. Der Prozess schreibt sich selbst in den Autostart, sodass er bei jedem Neustart direkt wieder geladen wird. Das sieht verdächtig aus. In diesem Fall wird der betroffene PC automatisch vom Netz isoliert, um eine Ausbreitung zu verhindern. Anschliessend untersuchen die Fachleute, ob eine echte Gefahr vorliegt, da einige Werkzeuge und Techniken, die Cyberkriminelle einsetzen, auch legitime Anwendungszwecke haben können und somit auch durch IT-Admins Verwendung finden. Diese folgen jedoch einem anderen Muster, als es bei einem Angriff vorkäme. Das Ergebnis: Es greift jemand an. Das Team entfernt daher die Autostart-Einträge und benachrichtigt die IT-Admins, dass neue Passwörter vergeben werden müssen.

Welche Kriterien sollte ein EDR-Anbieter unbedingt erfüllen?

Entscheiden sich Unternehmen für einen Anbieter, sollten sie sicherstellen, dass dieser vertrauenswürdig ist. Schliesslich kümmert er sich um die IT-Sicherheit und erhält detaillierte Einblicke in einen sicherheitsrelevanten Bereich. Wichtig ist auch, dass der Anbieter über langjährige Erfahrung in IT-Sicherheit verfügt und darauf spezialisiert ist. Ein weiterer entscheidender Punkt: das Thema Support. Hier ist es sinnvoll, einen Dienstleister zu wählen, der einen Support in Landessprache anbietet.