Was ist eine EDR-Lösung? Welche Vorteile bringt sie? Das fragen sich viele Unternehmen – und treffen auf einen Begriffsdschungel, von ETDR über XDR bis MDR. Das macht die Beurteilung nicht gerade leichter. Dieser Artikel definiert klar, was ein EDR-System ausmacht. Erfahren Sie, wie EDR funktioniert, warum es wichtig ist und was es von Antiviren-Software unterscheidet. Kennen Sie außerdem schon die 3 Mythen über EDR?
Endpoint Detection and Response (EDR) bezeichnet eine Software, die Unternehmen dabei hilft:
Dazu überwacht und analysiert EDR kontinuierlich die Aktivitäten auf Endgeräten wie PCs und Servern. Sobald die EDR-Software eine verdächtige Aktivität erkennt, reagiert sie automatisch und/oder alarmiert ein Analysten-Team, das den Vorfall genauer prüft. Stellt sich die Aktivität als bösartig heraus, greift das Team sofort ein, um den Angriff zu stoppen. Eine alternative Bezeichnung für EDR ist Endpoint Threat Detection and Response (ETDR).
Die klassische Antiviren-Software versucht, Cyberangriffe durch präventive Schutztechnologien direkt abzuwehren. Das Ziel von EDR ist es hingegen, die Angriffe zu entdecken, die von den präventiven Schutztechnologien nicht abgewehrt werden konnten. Dazu setzt EDR zusätzliche Sensoren ein, um eine umfassende Analyse zu erlauben (Detect). EDR bietet außerdem die Möglichkeit, mit Gegenmaßnahmen zu reagieren (Respond).
EDR-Lösungen enthalten in der Regel auch präventive Schutztechnologien und decken somit Prevent und Detect & Respond ab.
Um den Mehrwert von EDR zu verdeutlichen, stellen wir uns einmal eine Bank vor:
Als präventive Schutzmaßnahme liegt das Geld in einem Tresor, um Diebe abzuwehren. Lässt man jedoch einen gut ausgestatteten Dieb lange genug mit dem Tresor allein, ohne dass er Angst haben muss, entdeckt zu werden, wird er ihn irgendwann öffnen. Genauso verhält es sich mit aktiven Angreifenden, die AV-Software umgehen möchten.
Um den Dieb immerhin zu entdecken, nachdem er den Tresor öffnen konnte, installieren wir Kameras. Außerdem bringen wir Türsensoren an, die bemerken, wenn jemand um 1 Uhr nachts die Eingangstür oder Tresortür öffnet. Solche Sensoren enthalten auch EDR-Sicherheitslösungen – zusätzlich zu den präventiven Schutztechnologien.
Außerdem setzen wir eine Alarmanlage, eine automatische Türverriegelung sowie Wachpersonal ein. Die Wache reagiert auf Meldungen der Kameras und Sensoren. Sie prüft, ob bei einem Alarm tatsächlich ein Dieb oder etwa nur eine Maus durch den Raum gelaufen ist. Ist es ein Dieb, kann die Wache ihn sofort stellen. Analog dazu sind es bei EDR-Lösungen die Analyst*innen, die die Vorfälle prüfen und darauf reagieren.
Moderne Sicherheitslösungen wie Endpoint Protection oder Next-Gen-AV enthalten gelegentlich bereits bestimmte Funktionen, um Gefahren anhand des Verhaltens zu erkennen. Das heißt, sie haben gewisse EDR-Anteile im Bereich der Erkennung (Detect).
Was jedoch der große Unterschied ist: EDR setzt eine deutlich erweiterte Sensorik zur Erkennung ein, die einem Analysten-Team vorgelegt wird. Endpoint Protection und Next-Gen-AV hingegen erlauben keinen interaktiven Zugriff auf das System, um den Vorfall umfassend zu analysieren und auf der Basis manuell zu reagieren (Respond). Genau das ist der entscheidende Vorteil von EDR.
Der sinnvolle Einsatz eines EDR erfordert also „Wachpersonal“ in Form von Sicherheitsanalysten und -analystinnen. Für die meisten Unternehmen ist der wirtschaftliche Betrieb eines eigenen Analysten-Teams jedoch kaum möglich.
Es erfordert ein sehr hohes Maß an Fachkenntnissen, die Vorfälle zu analysieren und richtig darauf zu reagieren. Analyst*innen mit diesem Spezialwissen haben häufig ein Interesse daran, bei einem IT-Security-Unternehmen mit Gleichgesinnten zu arbeiten. Ansonsten fehlt der Austausch im Team, aber auch mit IT-Notfall-Teams und Strafverfolgungsbehörden. Gerade in kleineren und mittleren Betrieben wären Analyst*innen zudem kaum ausgelastet – was wenig wirtschaftlich ist.
Deshalb bietet es sich meist an, diese Aufgabe in die Hände eines spezialisierten Dienstleisters zu geben. In dem Fall spricht man von Managed EDR oder MEDR. Alternativ werden die Begriffe Managed Detection and Response (MDR) oder Managed Threat Response (MTR) verwendet.
Wer reagiert auf einen Alarm um 1 Uhr nachts? Die Sicherheitsanalyst*innen eines MEDR-Anbieters sind rund um die Uhr im Einsatz.
Analyst*innen eines guten MEDR-Anbieters verfügen über nicht-öffentliche Informationen, mit denen sie Vorfälle genauer beurteilen können. Dieses Wissen ist für eigene Analyst*innen nur schwer zugänglich. Dazu zählt zum Beispiel Wissen aus:
MEDR-Anbieter können die erfassten Daten über viele Kunden und Kundinnen hinweg gleichzeitig bewerten. Das führt zum Wissensvorsprung und ist wirtschaftlicher, als die Daten einzeln zu betrachten.
Ein Managed-EDR-Anbieter erhält einen hohen Einblick in Ihre IT-Infrastruktur und hat sogar hohe Einwirkungsmöglichkeiten. Deshalb sollten Sie diesem Anbieter stark vertrauen können. Folgende Fragen liefern dafür einen Anhaltspunkt:
Viele MEDR-Anbieter kaufen lediglich eine EDR-Software ein und bieten dazu ihre Dienstleistung an. Das birgt das Risiko, dass die Analyst*innen die Meldungen der Sensoren falsch interpretieren. Achten Sie daher darauf, dass der Anbieter die EDR-Software selbst entwickelt. Dadurch wissen die Analyst*innen genau, wie Meldungen zu verstehen sind und können richtig darauf reagieren.
Wählen Sie einen Anbieter mit hoher Spezialisierung in IT-Sicherheit. Er kann wertvolle Informationen aus IT-Notfalleinsätzen und der Zusammenarbeit mit Strafverfolgungsbehörden ziehen, wenn er auch andere Dienste wie Incident Response anbietet. Außerdem können Sie bei sehr schweren Vorfällen ein Incident Response Team hinzuziehen, das Ihre Infrastruktur bereits genau kennt.
Automatisierte Reaktionen auf Ihren geschäftskritischen Systemen können dazu führen, dass wichtige Abläufe unterbrochen werden. Es ist daher möglich, auf diesen Systemen statt einer automatischen Reaktion immer zunächst eine manuelle Analyse stattfinden zu lassen. Ein guter Anbieter bespricht mit Ihnen, welche Vor- und Nachteile dies in Ihrem konkreten Fall hat.
Immer mehr Unternehmen setzen statt AV-Software oder Endpoint Protection eine EDR-Lösung ein. Denn es ist wie bei einem Dieb, den man lange genug mit einem Tresor allein lässt: Aktive Cyberkriminelle können den präventiven Schutz irgendwann umgehen, wenn sie lange genug unbeobachtet sind. Auch wenn EDR keine 100%ige Sicherheit bietet, erschwert es Kriminellen deutlich, einen erfolgreichen Angriff auszuführen.
Für einen tatsächlichen Sicherheitsgewinn erfordert EDR ein hohes Maß an Fachkenntnissen von professionellen Sicherheitsanalysten und -analystinnen. Da der wirtschaftliche Betrieb eines eigenen Analysten-Teams für viele Unternehmen kaum möglich ist, kann es eine gute Lösung sein, diese Aufgabe an einen MEDR-Anbieter auszulagern.
Als deutscher MEDR-Anbieter mit Sitz in Bochum sind wir den strengen deutschen Datenschutzgesetzen verpflichtet. Die Datenhaltung erfolgt ausschließlich auf Servern in Deutschland. Zudem entwickeln wir die EDR-Technologie, mit der wir Ihre IT-Systeme überwachen, komplett selbst – ebenfalls in Deutschland und garantiert ohne Hintertüren. Wir erkennen, analysieren und reagieren für Sie auf Angriffe, bevor sie Schaden anrichten. Rund um die Uhr.
Managed EDR von G DATA kennenlernen