Ausgefeilte Hackerangriffe abwehren, interne Sicherheitslücken finden und auf Zero Day Exploits vorbereitet sein: Das Lastenheft verlangte von IT-Security-Teams weit mehr als es ihnen mit Malwareschutz, Firewall und wenigen anderen Tools möglich war. Eine aktuelle, internationale Studie des IT-Sicherheitsherstellers ESET zeigt aber, dass immer mehr Unternehmen die Security-Zeichen der Zeit erkannt haben.
Sie investier(t)en bereits vermehrt in moderne Endpoint Detection and Response-Lösungen – kurz EDR. 31 Prozent der befragten deutschen Firmen gaben an, EDR-Lösungen schon einzusetzen. Weitere 32 Prozent planen den Betrieb in den nächsten zwölf Monaten und zehn von Hundert in den kommenden zwei Jahren. Damit liegt Deutschland insgesamt auf dem Wert für die Region EMEA, aber deutlich vor Nordamerika.
„Erfolgreiche Cyberangriffe auf Unternehmen erfolgen in den seltensten Fällen Knall auf Fall, sondern sind das Resultat längerer und vor allem aufwendiger Vorbereitungen aufseiten der Hacker. Insbesondere, wenn Advanced Persistent Threats und Zero-Day-Exploits ins Spiel kommen, stoßen jedoch klassische Sicherheitsprodukte an ihre Grenzen“, sagt Michael Schröder, Manager of Security Business Strategy bei ESET Deutschland. „Diese Gefahren können zwar selten direkt, wie beispielsweise Malware, aber umgehend als Anomalie im Netzwerk erkannt werden. Endpoint Detection and Response-Tools unterstützen die IT-Security-Teams von immer mehr KMUs“.
Weltweiter Trend zu EDR klar ersichtlich – auch bei KMU
Die internationale Studie von ESET zeigt eindeutig, dass fast zwei Drittel der insgesamt 1212 befragten Unternehmen EDR bereits einsetzen oder dies in den nächsten zwölf Monaten beabsichtigen. Dies ist umso bemerkenswerter, als dass Endpoint Detection and Response-Lösungen bislang eher bei Großunternehmen mit entsprechenden Ressourcen zu finden sind. In der Umfrage kamen jedoch klassische KMU mit einer Beschäftigtenzahl zwischen 25 bis 500 zu Wort. Daraus lässt sich ableiten, dass EDR-Lösungen längst Mittelstandsunternehmen erreicht haben. Die Security-Experten führen dies darauf zurück, dass moderne Endpoint Detection and Response-Lösungen einfacher bedient und viele Tätigkeiten automatisiert werden können. Dies spart finanzielle und personelle Ressourcen. Hinzu kommt, dass immer mehr Managed (Security) Service Provider auf den Zug aufspringen und EDR als Dienstleistung anbieten. Aber auch Hersteller wie ESET bieten neben den EDR-Lösungen auch eigene Services an, die Kunden direkt buchen können.
Europa hat im kurzfristigen, weltweiten Vergleich die Nase vorn
Das Thema EDR scheint in Europa populärer oder schneller im IT-Alltag angekommen zu sein als in Nordamerika. In EMEA gaben 67 Prozent der Befragten an, EDR bereits zu nutzen oder in den nächsten 12 Monaten zu implementieren. In den NORAM-Staaten liegt der Wert bei lediglich 58 Prozent. Nur in einem europäischen Land (Italien, 54 Prozent) ist EDR etwas weniger verbreitet. Spitzenreiter sind das Vereinigte Königreich und Dänemark (76 %), Polen (74 %) und Spanien (70%). Deutschland rangiert mit 63 Prozent im unteren Mittelfeld.
Nachholbedarf in puncto Wissen um EDR
Auch wenn die zuvor genannten Zahlen ein positives Bild zeichnen, ist das Thema Endpoint Detection and Response noch längst nicht in allen Köpfen präsent. Auf die Frage, ob man mit dem Thema EDR vertraut sei, antworteten in der Spitze 31 Prozent der Befragten (Kanada), dass das vorhandene Wissen nicht ausreiche, um eine Entscheidung für solche Lösungen treffen zu können. In EMEA gab dies jeder Fünfte, in Nordamerika sogar jeder Vierte an. Große Unterschiede zeigten sich gerade in den EMEA-Ländern: Während Dänemark (13 %), Polen (15 %) und Tschechien (16 %) mit vergleichsweise niedrigen Werten glänzten, haben Schweden (28 %) und Italien (26 %) Nachholbedarf. Deutschland positioniert sich mit 22 Prozent erneut im Mittelfeld.
Hintergrund: Deshalb ist Endpoint Detection and Response so erfolgreich
Endpoint Detection and Response-Lösungen erhöhen das Schutzniveau von Unternehmen deutlich und ermöglichen IT-Security-Verantwortlichen eine umfassende Innensicht ihres Netzwerks. Aber was bedeutet Detection und Response eigentlich in der Praxis? Zum einen soll damit der Endpoint geschützt werden („Detection“), auf dem die meisten Hacker-Aktivitäten stattfinden. Dort liegt ein Großteil der schutzwürdigen Daten vor, beziehungsweise werden am Gerät zum Beispiel Passwörter oder Bankdaten eingegeben. Zum anderen beschreibt „Response“, dass auf Anomalien sofort reagiert werden kann.
Alle Aktivitäten innerhalb der IT-Infrastruktur (Nutzer-, Datei-, Prozess-, Registry-, Speicher- und Netzwerkvorgänge) können dank EDR in Echtzeit überwacht und bewertet werden. Bei Bedarf kann der IT-Verantwortliche sofort manuell handeln oder es greifen automatische, zuvor definierte Verhaltensweisen ein. Nur auf diese Weise lassen sich erste Spuren von Hackern identifizieren, Fehlverhalten von Mitarbeitenden bestimmen und Sicherheitsmängel ausfindig machen. Oder die Einfallstore finden, die bei einem erfolgreichen Hackerangriff auf das eigene Netzwerk zu weit offenstanden.
Die Auswertung aller Endpoint-Daten in einem Netzwerk lässt Rückschlüsse auf die Validität einzelner Abläufe zu. Eine genaue Erfassung von alltäglichen Vorgängen wie das Kopieren von Dateien, User-Zugriffe auf bestimmte Bereiche im Netzwerk, aber auch An- und Abmeldungen von Anwendern erlaubt bei entsprechender Auswertung ein Herausfiltern bösartiger Aktivitäten.
Zudem bieten Endpoint- und Response-Lösungen eine weitere wichtige Einsatzmöglichkeit: Mit ihrer Hilfe können nach einer Cyberattacke forensische Untersuchungen vorgenommen werden. Ähnlich einem Mordfall in bekannten Krimis werden möglichst viele Informationen gesammelt und Alibis, in diesen Fällen die ordnungsgemäßen Arbeitsweisen, überprüft. Administratoren erkennen dann zuverlässig, wie der Angriff ablief, welche Schwachstellen konkret ausgenutzt und welche Veränderungen im Netzwerk vorgenommen wurden.
ESET stellt auf der IT-Security Messe it-sa in Nürnberg (25.-27. Oktober 2022) aus. Am Stand 7-530 können sich Interessierte aus erster Hand zu den Thema Endpoint Detection and Response, Managed Detection and Response (MDR) sowie Extended Detection and Response (XDR) informieren.
Stand 7-530
www.eset.de