MDR gekauft, eigentlich ein SOC gebraucht?

Managed Detection and Response (MDR) hat sich als unverzichtbares Instrument etabliert, um Cyberbedrohungen zu begegnen. Angesichts der über 600 Anbieter unterschiedlichster Ausprägung auf dem Markt müssen Unternehmen jedoch sorgfältig abwägen, welche Lösung ihren spezifischen Anforderungen am besten entspricht. 

Die Fähigkeit, Bedrohungen schnell zu erkennen und zu neutralisieren, bevor sie größeren Schaden anrichten, ist für Unternehmen heute von zentraler Bedeutung. Angesichts der zunehmenden Komplexität der Bedrohungslandschaft und des Mangels an qualifizierten Fachkräften wächst der Bedarf an professioneller Unterstützung. Besonders die Nachfrage nach MDR-Services steigt kontinuierlich an – was auch die Anzahl an Angeboten in die Höhe schnellen lässt. Der Market Guide 2024 von Gartner verzeichnet über 600 Anbieter von MDR-Diensten. Doch die Ausprägungen und Leistungsumfänge variieren erheblich. Unternehmen stehen vor der Herausforderung, vollmundige Marketingversprechen kritisch zu hinterfragen und mit den eigenen Anforderungen abzugleichen.

Technologie trifft auf menschliche Expertise

In ihrer einfachsten Form ist MDR eine gemanagte EDR- (Endpoint Detection and Response) oder XDR-Lösung (Extended Detection and Response). Während EDR nur die Endpunkte abdeckt, umfasst XDR mehrere Vektoren der IT-Umgebung, einschließlich Netzwerk, E-Mail und Cloud. Diese Lösungen analysieren KI-gestützt Log-Files und geben Warnmeldungen aus, sobald sie verdächtige Aktivitäten identifizieren. Obwohl das „Managed“ in MDR auf eine Verwaltung durch einen Dienstleister hinweist, läuft die Bedrohungserkennung oft vollautomatisiert ab. Solche Services sind vergleichsweise günstig, erfordern jedoch, dass Unternehmen selbst die Analyse und Bewertung der Warnmeldungen übernehmen. 

Umfassendere MDR-Services kombinieren moderne EDR/XDR-Technologie mit menschlicher Expertise. Professionelle Security-Analysten überwachen die Warnmeldungen, werten sie aus und verständigen das Unternehmen bei Handlungsbedarf. Auch in diesem Segment gibt es Unterschiede hinsichtlich der Kompetenzen der Anbieter und der Frage, ob der Service selbst oder in Zusammenarbeit mit einem Hersteller erbracht wird. Letztes bedeutet oft, dass die Experten im Ausland sitzen und nur auf Englisch über ein Callcenter zu erreichen sind – was im Angriffsfall zu einigen Hürden in der Kommunikation führen kann. Ein dedizierter Managed Security Services Provider (MSSP) aus der Region bietet demgegenüber den Vorteil eines persönlichen Ansprechpartners, der die Bedürfnisse des Unternehmens kennt und in der Landessprache kommuniziert.

MDR und SOC as a Service: Ein Vergleich

Häufig werden MDR-Services mit SOC as a Service gleichgesetzt, obwohl sie sich nur dann vergleichen lassen, wenn MDR-Services auch Analyse-Services durch menschliche Experten beinhalten. Bei MDR-Lösungen definiert der Hersteller, welche Logquellen sich anbinden lassen – in der Regel ohne die Möglichkeit einer individuellen Anpassung von Logquellen. Folglich bleiben meist blinde Flecken im System, die sich trotz Notwendigkeit nicht via MDR überwachen lassen. SOC as a Service hingegen ermöglicht die Anbindung beliebiger Logquellen, was eine umfassende Sichtbarkeit über die gesamte IT-Umgebung eines Unternehmens schafft. Hier kommen SIEM- (Security Information and Event Management) und SOAR-Lösungen (Security Orchestration, Automation and Response) zum Einsatz, über die individuelle Erkennungsregeln und automatisierte Reaktionen möglich sind. Zudem kann durch die Langzeitspeicherung von individuellen Logdaten Compliance-Anforderungen entsprochen werden.

Ein optimaler Schutz lässt sich durch einen hybriden Ansatz erzielen, der MDR mit SOC as a Service kombiniert. Unternehmen können so alle Security-Technologien nutzen, ohne sich um den Betrieb kümmern zu müssen. Die Kombination verschiedener Ansätze sorgt für eine maximale Bedrohungserkennung und -abwehr. Die Wahl der passenden Lösung hängt dabei von den individuellen Anforderungen und Voraussetzungen ab. Ein herstellerunabhängiger MSSP (Managed Security Service Provider) kann als Trusted Advisor unterstützen, die richtige Entscheidung zu treffen. Verfügt dieser außerdem über ein Cyber Defense Center könnten Unternehmen darüber hinaus noch weitere Security-Services wie Threat Hunting oder Dark Web Monitoring nutzen.

Die passende Lösung finden

Die folgenden Fragen sollten sich Unternehmen stellen, die ihre IT-Infrastruktur via MDR beziehungsweise SOC as a Service besser absichern möchten:

• Wie viel Sichtbarkeit brauchen wir? Grundsätzlich gilt: Je mehr Logquellen an eine MDR-/SOC as a Service-Lösung angebunden sind, desto umfassender die Überwachung und desto besser die Bedrohungserkennung. Vergleichen lässt sich das mit einem Mehrfamilienhaus: Wer nur Rauchmelder im Erdgeschoss hat, bekommt einen Brand im dritten Stock erst spät mit. Bei einem Cyberangriff geht es darum, Abhängigkeiten möglichst schnell zu erkennen und einzugreifen, bevor das ganze Haus in Flammen steht. Je nach IT-Umgebung reicht dafür gegebenenfalls MDR mit EDR/XDR aus oder ist eine SIEM/SOAR-basierte Lösung empfehlenswert.
• Wie viel Flexibilität benötigen wir? Wenn absehbar ist, dass sich die IT-Landschaft im Unternehmen verändert wird – etwa durch Zukäufe oder Zusammenschlüsse, die Integration von neuen Anwendungen oder OT (Operational Technology) & IoT-Geräten (Internet of Things) in das Monitoring – sollte auch eine MDR-/SOC as a Service-Lösung flexibel anpassbar sein. Gibt es dazu ausreichend Expertise im eigenen Haus? Müssen Logdaten aus Compliance-Gründen möglichst lange vorgehalten werden? Die Bandbreite der möglichen Antworten geht dann von „Do-it-yourself-MDR“ über SOC as a Service bis eventuell zu ergänzenden Services eines Cyber Defence Centers.
• Wer kümmert sich um die Alarme? Cyberkriminelle greifen bevorzugt nachts, am Wochenende oder an Feiertagen an. Daher ist es wichtig, die Security-Systeme rund um die Uhr zu monitoren. Hat das Unternehmen dafür ausreichend Personal und verfügt es über das Know-how, schnell die richtigen Schlüsse aus den Warnmeldungen zu ziehen? 
• Wer unterstützt im Ernstfall? Wenn es zum Cybervorfall kommt, zählt jede Minute. Nicht unterschätzen sollten Unternehmen dabei den psychischen Stress. Selbst erfahrene IT-Leiter tun sich in einer solchen Situation oft schwer, die richtigen Entscheidungen zu treffen. Umso wichtiger ist ein verlässlicher Partner, der jederzeit erreichbar ist und sofort mit Rat und Tat zur Seite steht. 
• Was schaffen wir alleine – und was nicht? Davon hängt ab, wie viel Unterstützung das Unternehmen benötigt und welchen Leistungsumfang der MDR-Service/SOC as a Service bieten sollte. Hier ist absolute Ehrlichkeit gefragt. Das Thema Angriffserkennung ist hochkomplex und nichts, was man schnell noch nebenher macht. Wenn ambitionierte IT-Leiter ihre eigenen Fähigkeiten überschätzen, leidet die Sicherheit. Stattdessen ist Mut gefragt, um Awareness bei der Geschäftsleitung zu schaffen, auf Probleme hinzuweisen und Unterstützung einzufordern.

Fazit: Nicht alles, was MDR heißt, schützt auch wirklich

MDR ist nicht gleich MDR – und manchmal ist nur „gut“ nicht gut genug. Denn längst nicht jede vermeintlich „gemanagte“ Lösung bietet den Schutz, den Unternehmen heute dringend brauchen. Wer nur auf automatisierte Technik setzt, kauft im Zweifel eine schöne Verpackung ohne echten Inhalt. Echte Cyberresilienz erfordert mehr: Sichtbarkeit über alle relevanten Logquellen, menschliche Expertise und einen Partner, der bei der täglichen Arbeit entlastet und im Ernstfall sofort zur Stelle ist. Unternehmen, die sich nicht von Buzzwords verwirren lassen, sondern kritisch prüfen, wo sie stehen und was sie wirklich brauchen, treffen die bessere Entscheidung – und investieren in Schutz, der den Namen auch verdient.