Für Kleinunternehmer mit begrenztem Budget für Cybersicherheit kann es schwierig sein, herauszufinden, an welcher Stelle sie Zeit, Geld und andere Ressourcen investieren sollten, um das Unternehmen bestmöglich zu schützen. Diese Entscheidungen können noch komplexer werden, wenn Lösungen wie „Managed Detection and Response“ (MDR) und „Managed Security Services Provider“ (MSSP) von Anbietern, IT-Fachleuten, Journalisten und anderen Personen ungenau oder synonym verwendet werden.
In diesem Beitrag untersuchen wir diese beiden Dienste, skizzieren ihre wichtigsten Unterscheidungsmerkmale und helfen Unternehmen bei der Entscheidung, welche Option für sie am besten geeignet ist.
Was ist MDR?
Der Cybersicherheitsservice für verwaltete Erkennung und Abwehr (MDR, Managed Detection and Response) vereint fortschrittliche Technologie und menschliches Know-how in sich und umfasst die Bedrohungssuche, Überwachung und Reaktion auf Zwischenfälle. Das Hauptunterscheidungsmerkmal von MDR besteht darin, dass sie Abwehrfunktionen umfasst. Das bedeutet, dass der Dienstanbieter im Falle einer Kompromittierung mit seiner Kundschaft an der Behebung des Problems und der Wiederherstellung arbeitet. Dies bedeutet jedoch, dass die MDR-Abwehrfunktionen von Anbieter zu Anbieter unterschiedlich sein können. Einige MDR-Dienste bieten einen vollständigen Funktionsumfang, andere nur begrenzte oder angeleitete Abwehrmaßnahmen.
Welche Vorteile bietet MDR?
Zwar können sich MDR-Lösungen von Anbieter zu Anbieter unterscheiden, in den meisten Fällen bieten sie Unternehmen jedoch folgende Vorteile:
- Geschwindigkeit: Unternehmen, die eine MDR-Lösung einsetzen, reduzieren damit unmittelbar die Erkennungszeit (und damit die Reaktionszeit) von Monaten auf Minuten. Dies hilft dem Unternehmen, die Bedrohung einzudämmen und ihre Auswirkungen drastisch zu reduzieren.
- Kontinuierlicher Schutz: MDR bietet rund um die Uhr Schutz vor versteckten, komplexen Bedrohungen – durch durchgängig verwaltete Bedrohungssuche und Abwehrressourcen im Falle eines Sicherheitsvorfalls.
- Kosten: Da MDR auf einem Servicemodell basiert, müssen Unternehmen im Allgemeinen kein zusätzliches Personal einstellen, um Erkennungs- und Abwehraufgaben zu überwachen. Darüber hinaus werden die Kosten für die Einstellung, Schulung und Ausstattung von Threat Hunters und Abwehrbeauftragten – Fachkräften, die teuer und auf dem heutigen Markt stark nachgefragt sind – vom MDR-Dienstanbieter auf den gesamten Kundenstamm aufgeteilt.
- Kontrolle und Pflege: In einem MDR-Modell ist der Dienstleister oder Anbieter für den Betrieb und die Pflege aller mit dem Dienst verbundenen Tools und Technologien verantwortlich. Das bedeutet, dass sich das IT-Team nicht mit den Feinheiten des Tools selbst oder den zugrunde liegenden KI- (künstliche Intelligenz) und ML- (Machine Learning)-Technologien und Algorithmen befassen muss. In einigen Fällen (je nach Anforderung der Kundschaft) können MDRs auch mit MSSPs zusammenarbeiten, um umfassende Sicherheitstools anzubieten.
- Personaloptimierung: Der Einsatz von MDR zur Verwaltung routinemäßiger, sich wiederholender Reaktionen auf Zwischenfälle ermöglicht Mitgliedern, sich auf wertvollere Aufgaben und strategischere Projekte zu konzentrieren.
- Resilienz: MDR verbessert die Sicherheitsverwaltung und hilft Unternehmen, ihre Resilienz gegen potenziellen Angriffen zu steigern, da Sicherheitskonfigurationen optimiert und nicht autorisierte oder risikoreiche Systeme eliminiert werden.
Was ist MSSP?
Der Begriff Managed Security Services Provider (MSSP) wird zur Beschreibung eines IT-Dienstanbieters verwendet, der Cybersicherheitslösungen und -services anbietet. MSSPs leisten in der Regel eine umfassende Überwachung des Netzwerks auf Ereignisse und senden validierte Benachrichtigungen an andere Tools oder an das Sicherheitsteam des Unternehmens. Darüber hinaus bieten sie möglicherweise weitere Services wie Technologie-Management, Upgrades, Compliance und Schwachstellenverwaltung an.
Der Hauptunterschied zwischen MSSP und MDR besteht darin, dass MSSPs im Allgemeinen nicht aktiv auf Bedrohungen reagieren. Stattdessen senden sie zuverlässige Benachrichtigungen an das kundeninterne IT-Team, um das Problem zu untersuchen und zu beheben. Dies erfordert hochspezialisiertes Fachwissen und ständige Verfügbarkeit seitens der Kundschaft, was für viele Kleinbetriebe unpraktisch ist.
Die Beziehung zwischen MSSP und MDR
Der Unterschied zwischen MSSP und MDR wird deutlicher, wenn wir die Akronyme in ihre Bestandteile auflösen: „Managed Security Services Provider“ und „Managed Detection and Response“. Auf diese Weise lassen sich die Dienste einfacher kategorisieren: Ein MSSP ist also ein Anbieter, der Sicherheitsservices bereitstellt, während MDR ein spezifischer Dienst ist, der sowohl die Bedrohungserkennung als auch -abwehr umfasst.
Alle MDR-Dienste werden von einem MSSP bereitgestellt. Aber nicht alle MSSPs bieten MDR an. (Das funktioniert nach der gleichen Logik wie bei allen Gruppen und Untergruppen: Alle Dalmatiner sind Hunde, aber nicht alle Hunde sind Dalmatiner!)
Vor- und Nachteile von MSSP
Unternehmen, die gerade ihre IT-Abteilung aufbauen und kein Cybersicherheitsteam einstellen oder nicht in eine breite Palette von Cybersicherheits-Tools investieren können, profitieren besonders von Sicherheitsservices eines seriösen MSSP. Durch den Einsatz eines MSSP können sich interne IT-Teams auf nicht sicherheitsrelevante Aufgaben wie Kundendienst und Support oder Initiativen zur Geschäftstransformation wie Cloud-Migration und Datenverwaltung konzentrieren.
Dennoch kann das MSSP-Modell einige Nachteile mit sich bringen. Vor allem bieten viele MSSPs zwar eine breite Auswahl an zentralen Sicherheitsservices an, verfügen jedoch nicht über fundierte Fachkenntnisse in einem bestimmten Bereich. Zudem kann der MSSP das Unternehmen in Bezug auf die Tools oder Lösungen einschränken, die er unterstützt oder in andere Dienste integrieren kann.
Zu guter Letzt bieten einige MSSPs einen sogenannten „Blackhole-Service“ an. Dieser bedeutet, dass der Anbieter seiner Kundschaft keine Daten aus seinen Überwachungsdiensten zur Verfügung stellt. Und sie kann diese Erkenntnisse somit nicht in andere Aspekte der Cybersicherheitsstrategie einfließen lassen.
Hauptunterschiede zwischen MDR und MSSP
Wie wir festgehalten haben, handelt es sich bei MDR und MSSP um zwei unterschiedliche Cybersicherheitsservices. Und doch werden diese Begriffe in der Branche mitunter synonym verwendet – was nicht richtig ist.
Zur einfachen Aufschlüsselung der wichtigsten Unterschiede haben wir folgende Tabelle aufgestellt:
| MDR | MSSP | |
|---|---|---|
| Vorfallsreaktion | Ja. Wie aus dem Namen hervorgeht, umfasst MDR verwaltete Erkennungs- und Abwehrdienste. | Nein. Der MSSP benachrichtigt seine Kundschaft über die Kompromittierung, bietet jedoch im Allgemeinen keine Unterstützung zu deren Abwehr an. |
| Lösungssatz | Der MDR-Lösungssatz enthält sowohl Erkennungs- als auch Abwehrfunktionen. Die meisten Angebote umfassen die Unterstützung durch ein rund um die Uhr besetztes Security Operations Center (SOC) sowie ein Team aus menschlichen Threat Hunters und Abwehrbeauftragten. | Der MSSP-Lösungssatz erfüllt eine weitgehend vorbeugende Funktion. Dazu können Virenschutzlösungen, Firewalls, Web-Gateways, Eindringungsschutz-Systeme und andere Tools gehören, die Kompromittierungen verhindern. |
| Proaktiv/reaktiv | Proaktiv und reaktiv. MDR ist ein umfassender Dienst, der sich sowohl auf Angriffsindikatoren (IOA, Indicators Of Attack), die vor der Kompromittierung auftreten, als auch auf Kompromittierungsindikatoren (IOC, Indicators Of Compromise), die danach vorliegen, stützt, um festzustellen, ob das Unternehmen gefährdet ist. | Reaktiv. MSSPs erfüllen eine weitgehend reaktive Funktion. Mithilfe von IOCs benachrichtigen sie das Unternehmen erst im Nachhinein über eine Kompromittierung oder einen Sicherheitsvorfall. |
| Menschliche Kontrolle | Ja. MDR-Dienste werden durch eine Kombination aus fortschrittlicher Technologie und menschlichen Threat Hunters und Abwehrbeauftragten bereitgestellt. | Begrenzte menschliche Kontrolle. MSSPs verlassen sich im Allgemeinen ausschließlich auf Technologie, um Bedrohungen in der IT-Umgebung ihrer Kundschaft zu erkennen. |
| Rund-um-die-Uhr-Überwachung | Ja. MDR umfasst Überwachungsdienste rund um die Uhr. | Begrenzte Überwachung. In den meisten Fällen bieten MSSPs eingeschränktere Überwachungsdienste an. |
| Kosten | €€ Da MDR leistungsstärkere Dienste, einschließlich Behebungsfunktionen, bietet, sind die Kosten im Vergleich zu einem MSSP in der Regel höher. | € Die Kosten eines MSSP sind im Allgemeinen niedriger als die eines MDR, da der MSSP keine Behebungsdienste und keine Überwachung rund um die Uhr bereitstellt. |
EXPERTEN-TIPP
Ein Hinweis zur Vorsicht: Einige MSSPs stellen ihre Dienste in Vertriebs- und Marketingkampagnen fälschlicherweise als MDR dar. Bei der Wahl eines Anbieters gilt es, darauf zu achten, dass das Angebot drei Hauptdienste umfasst:
- Vollständige Unterstützung bei der Abwehr und Behebung
- Überwachungsfunktionen rund um die Uhr
- Kontrolle durch menschliche Threat Hunters und Abwehrbeauftragte
Alles darunter ist keine MDR!
Wie ermitteln Sie, welche Lösung sich am besten für Ihr Unternehmen eignet?
Bei der Entscheidung zwischen MSSP und MDR müssen Unternehmen mehrere praktische Faktoren berücksichtigen. Das gilt insbesondere für kleine Betriebe, die über geringere IT-Budgets verfügen und deren Technologie-Stack noch nicht ganz ausgereift ist.
In folgenden Fällen kann MDR sinnvoll sein:
- Ihr Unternehmen verfügt nicht über ein internes SOC oder Cybersicherheitsteam, das beim Umgang mit Warnmeldungen und bei entsprechenden Abwehrmaßnahmen hilft.
- Es ist nicht darauf vorbereitet, Cybersicherheitspersonal einzustellen und zu schulen oder das Cybersicherheits-Toolset intern zu betreiben und zu verwalten.
- Ihr Unternehmen erfordert Überwachung rund um die Uhr sowie eine schnelle Reaktion auf und Behebung von Zwischenfällen, um den Geschäftsbetrieb aufrechtzuerhalten.
- Es ist gesetzlich dazu verpflichtet, zuverlässige Sicherheitsmaßnahmen zum Schutz von Kundendaten aufrechtzuerhalten.
In folgenden Fällen kann ein MSSP gut geeignet sein:
- Ihr Unternehmen verfügt bereits über ein umfassendes SOC oder ein hochqualifiziertes internes Notfallreaktionsteam.
- Es hat ein relativ niedriges Risikoprofil. Das bedeutet, dass es keinen nennenswerten digitalen Fußabdruck hinterlässt, bei der Erfüllung seiner Aufgaben nicht stark auf digitale Assets angewiesen ist und keine sensiblen Kundendaten oder geistiges Eigentum speichert.
- Ihr Unternehmen hat erhebliche Budgetbeschränkungen, sodass MDR außerhalb Ihrer Preisspanne liegt.
- Es möchte nur grundlegende Sicherheitsaufgaben wie Software-Patches und System-Upgrades auslagern.
Weitere Informationen
Hier erfahren Sie mehr über die aktuellen Bedrohungen und Risiken, denen KMU ausgesetzt sind, und wie Sie Bedrohungen erkennen und aufhalten können – selbst mit begrenzten Ressourcen.Leitfaden „Cybersicherheit für KMU“ herunterladen
Schutz für Ihr Unternehmen mit MDR vor CrowdStrike
CrowdStrike Falcon® Complete ist ein MDR-Dienst von CrowdStrike. Durch fachkundige Verwaltung, Threat Hunting, Überwachung und Behebung bietet er Unternehmen vollumfänglichen Schutz vor Kompromittierung von Endgeräten, Workloads und Identitäten.
Um mehr über die Vorteile von Falcon Complete für Ihr Unternehmen zu erfahren, sprechen Sie noch heute mit einer CrowdStrike-Fachkraft.
