Sascha Levölger von Cyberdefense über EDR XDR

Sascha Levölger, Business Owner Business Solutions bei G DATA CyberDefense über EDR und XDR

Sascha Levölger verantwortet seit 2020 als Business Owner Business Solutions den Ausbau der Cyber-Defense-Lösungen für Geschäftskundschaft und die Entwicklung neuer Angebote bis hin zur Marktreife. Dabei kennt er die aktuellen IT-Security-Trends genau und leitet daraus bedarfsgerechte Angebote für seine Zielgruppe ab, mit dem Ziel das wirtschaftliche Wachstum von G DATA zu stärken. Sascha Levölger arbeitet bereits seit 2006 bei G DATA, zunächst als Softwareentwickler und übernahm später als Teamleiter die Verantwortung der Entwicklung für Produkt-Setups und Lizenz-Server. Wir sprachen mit ihm über EDR und XDR.

Sascha Levölger
Sascha Levölger, Business Owner Business Solutions bei G DATA CyberDefense

Zu EDR, XDR, MDR gibt es eine Reihe an Erklärungen – wie würden Sie sie kurz beschreiben und abgrenzen?

Endpoint Detection and Response (EDR) bezeichnet eine Software, die Unternehmen dabei hilft, Cyberbedrohungen zu erkennen, die präventive Abwehrmaßnahmen überwinden konnten (Detect – das „D“ in EDR) und mit Gegenmaßnahmen darauf zu reagieren (Respond – das „R“ in EDR). XDR steht für „Extended Detection and Response“. Produkte namens XDR können nicht einheitlich definiert werden. Je nach Anbieter verbergen sich dahinter unterschiedliche Funktionen. Diese liegen oft im Bereich Netzwerk. Es werden also nicht wie bei EDR nur Endpoints beobachtet, sondern z.B. auch Server. MDR oder MEDR (Managed Endpoint Detection and Response) bedeutet, dass die Analyse von Bedrohungen sowie die Reaktion darauf nicht von Mitarbeitern des eigenen Unternehmens durchgeführt werden, sondern von einem externen IT-Security-Anbieter.

Was wären für Sie wichtige Kriterien bei der EDR-Auswahl?

Da das Thema Datenschutz bei EDR eine wichtige Rolle spielt, sollte man sich genauer anschauen, wo das Unternehmen ansässig ist und wo die Datenhaltung erfolgt. Außerdem braucht man guten Service und Support. Persönliche Ansprechpartner sind im Falle von Managed Security unerlässlich. Man sollte sich vorab im Klaren darüber sein, welche Bereiche im eigenen Unternehmen geschützt werden sollen, wo kritische Daten und wo Risiken liegen.

Microsoft dominiert auch diesen Markt zunehmend, da aufgrund der Lizenzpakete v.a. mittelständische Unternehmen oft zur Microsoft Defender Familie greifen. Wie sehen Sie den EDR/XDR-Markt? Schon in der Konsolidierung, oder ist genug Platz für 20 und mehr Lösungen? 

Microsoft selbst bietet aktuell keine Managed-Lösung an. Man kann einen EDR-Service auf Basis des Windows Defenders von Dritten beziehen, aber man sollte sich dabei vorher genau anschauen, wie viel Erfahrung der Dienstleister mitbringt. Besonders, da er eine Plattform bedient, die er nicht selbst entwickelt hat. Platz für 20 oder mehr Lösungen besteht auf jeden Fall und das ist auch wünschenswert. Je mehr verschiedene Lösungen es gibt, desto schwieriger ist es für Angreifer, Wege vorbei zu finden. Wenn sich der Markt auf einzelne Lösungen konzentriert, haben es Angreifer automatisch einfacher.

Gibt es für Sie Anhaltspunkte, ab wann sich für mittelständische Unternehmen ein Managed Service lohnt? 

Man muss sich die Frage stellen, wie wichtig einem die Daten sind, die man im System abgelegt hat. Wenn man verhindern möchte, dass Daten abfließen oder verschlüsselt werden, dann benötigt man heutzutage Expertise. Daher muss man ganz offen für sich beantworten, ob man das nötige Know-How aufbringen kann, um Angriffe zielsicher zu erkennen.

Können Sie beschreiben, wie ein Onboarding zu einem Managed Service grundsätzlich abläuft und welche Aufgaben muss am Ende die Kundschaft selbst erledigen?

Das Onboarding gliedert sich in zwei Phasen: Zuerst die Abstimmung zwischen Kunde und Dienstleister und dann die Rollout-Phase. In der Abstimmung geht es darum, über Risiken aufzuklären und festzulegen, welche Bereiche der Dienstleister eigentlich betrachten und im Ernstfall auch isolieren darf. Beim Rollout folgen dann Installation und Konfiguration.

Wo sind aus Ihrer Sicht heute noch entscheidende Unterschiede, zwischen einer SIEM-Lösung und einem XDR-Ansatz? Und wie lange werden diese Pro Wir dukte parallel bestehen bleiben?

Unterschiedlich sind in der Regel die Informationen, die gesammelt werden. Dabei ist es grundsätzlich erstmal besser, so viele Daten auszuwerten, wie möglich. Je mehr verschiedene Lösungen man zusammen einsetzt, desto eher können Angriffe erkannt werden. Dieser Ansatz wird auch in Zukunft weiter relevant bleiben. Die wichtige Frage ist aber, wer im Tagesgeschäft all die Informationen sinnvoll verarbeiten kann.

Wenn Sie eine Botschaft an alle CIOs und CISOs senden könnten, wie würde sie lauten?

Es ist immer am besten, wenn man das Thema IT Security intern abwickelt. Einerseits mit Blick auf den Datenschutz, aber auch, weil man die eigenen Systeme am besten kennt. Nur, dass das heute kaum noch zu schaffen ist. Externe Experten zu beauftragen, die über viel Erfahrung und Know-How verfügen, ist daher absolut naheliegend.

Vielen Dank für das Interview, Sascha Levölger!