Im Wettrennen mit Cyberkriminellen verschafft XDR Unternehmen einen Vorsprung. Wie das funktioniert, zeigt ein Webcast der Computerwoche. Es handelt sich dabei um eine Erweiterung des klassischen "Endpoint Detection and Response" (EDR) um zusätzliche Quellen und Technologien. XDR steht für besseren Schutz durch das frühe Erkennen von Angriffen und schnellere Abhilfe. Richard Werner, Business Consultant bei Trend Micro, stellt die Technologie vor.

Er beobachtet seit 2016 einen Perspektiven-Wechsel bei diesem Thema - das war das Jahr, in dem spektakuläre Ransomware-Attacken für Furore sorgte. "Heute haben wir das Problem, dass solche Angriffe oft erst mal lange Zeit unentdeckt bleiben", sagt Werner rückblickend. Meist werden bei solchen Vorfällen sechs- oder siebenstellige Beträge fällig. "Und da ist noch nicht der Verlust an Arbeitszeit einkalkuliert, ebenso wenig das Melden bei den Behörden", weiß der Consultant. Rund jeder zehnte Kunde, schätzt er, hat so etwas schon erlebt, Zahlen vom BSI (Bundesamt für Sicherheit in der Informationstechnik) untermauern das.

Ein zweites Problem liegt im Personalmangel. Eine spontane Umfrage über Situation der IT-Sicherheit in den Unternehmen der Webcast-Zuschauer zeigt: Fast jeder Zweite (46 Prozent) sieht seine Abteilung ausgelastet - man kann keine neuen Aufgaben mehr übernehmen. Rund jeder Vierte (23 Prozent) versucht, neue Kollegen anzuwerben. Ebenfalls 23 Prozent beklagen Fachkräftemangel, haben aber derzeit keine Pläne, das zu ändern. "Wenn ich keine Menschen habe, muss die Technik herhalten", kommentiert Werner.

IT-Mitarbeiter gehören zu den unzufriedensten im Unternehmen

Dabei zeige sich in der Praxis oft, dass IT-Security-Mitarbeiter zu den unzufriedensten im Unternehmen gehören. Denn: "Läuft alles gut, registriert das niemand - passiert etwas, ist man schuld", seufzt der Berater.

Er appelliert an die Entscheider, eben auch in IT-Security zu investieren, und zwar planvoll. Werner hat Kunden, die bis zu 10.000 Alerts am Tag verzeichnen. "Diese sind aber unspezifisch, und es macht die Korrelation schwierig, wenn ich von vier fünf Tools Alarme bekomme", erklärt der Consultant. Zu viele Unternehmen betreiben zwar zahlenmäßig gesehen viele Sicherheitslösungen, stimmen diese aber nicht aufeinander ab. Entsprechend lang dauert es, bis Klarheit über den Vorfall herrscht.

"Vor zwei Jahren kam dann Endpoint Detection and Response auf," so der Consultant weiter, "man versucht über Telemetrie-Daten herauszufinden, ob ein Problem vorliegt." Dieses EDR bezeichnet er als "ersten wichtigen Schritt". Mit einer Einschränkung: noch herrschte Silo-Denke. "Schon der Drucker, schon der Smart-Fernseher war nicht dabei, weil die nicht mit Windows arbeiten", so Werner.

"Keine Technologie ohne Strategie!"

Ziel muss es aber sein, Daten aus allen Bereichen einzusehen. Wie ist ein Angriff weitergegangen, wie hat er sich über das Netzwerk verteilt, wer ist alles betroffen - solche Fragen muss die Security beantworten können. Es geht also erstens um Schutz, zweitens um Erkennung und drittens um Response. Bevor ein Unternehmen das angehen kann, braucht es eine Strategie. "Man muss die IT ein bisschen umbauen", erklärt Werner. "Weg vom Silo-Gedanken, weg von Best-of-Breed!" Vorteil: "Ich spare Support- und Management-Kosten, wenn ich nur noch einen Anbieter habe", sagt der Consultant.

Trend Micro spricht von XDR. Das "X" statt des bisherigen "E" steht als Platzhalter für grundsätzlich alles. Konkret für Protection von Network, Email, Endpoint und Server/Cloud. "Die Sicherheitslösungen sprechen miteinander und tauschen sich aus", erklärt Werner, "aus einem Smart Protection Network entsteht ein umfassendes Bild, das über eine Konsole dargestellt wird." Actionable Alerts empfehlen dem Anwender, wie mit der Bedrohung umzugehen ist. Das kann auch heißen, dass das eine oder andere Gerät zeitweise unter Quarantäne gestellt werden sollte.

Zusammenfassend sagt Moderator Hansel: "Also keine Technologie ohne Strategie!"

Jetzt den Webcast ansehen.