Interviews - News - Analysen: Für erfolgreiches Wachstum mit Managed Security Services

MDR ist keine Technologie, sondern eine Dienstleistung

Aus Kundensicht geht es darum, wie mit Managed Detection and Response (MDR) eine stärkere Security Leistung geprüft und eingeführt wird und aus MSP Sicht darum, wie eine zentrale MDR Leistung mit wichtigen Systemen über APIs verknüpft wird bis zum Aufbau von Alarmketten.

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Interview mit Marc Hoeffle / IT Booster GmbH

EDR vs. MDR: Was sind die Unterschiede?

EDR (Endpoint Detection and Response) konzentriert sich auf den Schutz der Endpunkte eines Netzwerks. Es bietet Sichtbarkeit und Analysefunktionen, um potenzielle Bedrohungen zu erkennen und darauf zu reagieren. MDR (Managed Detection and Response) geht einen Schritt weiter. Es kombiniert Daten aus verschiedenen Quellen, wie Netzwerk- und IT-Verkehrsdaten, und bietet eine umfassendere Sicht auf das gesamte Netzwerk. MDR ist eine Dienstleistung, bei der ein externer Partner die Überwachung und Reaktion auf Sicherheitsvorfälle übernimmt, was zu einer schnelleren und effektiveren Bedrohungserkennung führt.

Integration von verschiedenen Datenquellen

Ein wesentlicher Vorteil von MDR ist die Fähigkeit, Daten aus einer Vielzahl von Quellen zu integrieren. Dies kann E-Mail-Security-Provider, Netzwerkdaten, Firewalls und Cloud-Daten umfassen. Solche Integrationen ermöglichen eine umfassende Überwachung und schnelle Reaktion auf Sicherheitsvorfälle. Beispielsweise können APIs verwendet werden, um Daten von Microsoft 365 oder anderen Cloud-Diensten zu integrieren, wodurch eine noch umfassendere Sicherheitslösung entsteht.

Kompromittierte Backups erkennen

Eine der häufigsten Angriffspunkte für Cyberkriminelle sind Backups. MDR kann helfen, Kompromittierungen in Backup-Systemen zu erkennen, indem es APIs nutzt, die eine schnelle Integration und Überwachung ermöglichen. Dies stellt sicher, dass Angriffe schnell erkannt und entsprechende Maßnahmen ergriffen werden können, um den Schaden zu minimieren.

Kundenaufklärung und Dienstleistungsangebot

Die Einführung von Kunden in Managed Security Services erfordert eine sorgfältige Aufklärung über die Vorteile und Unterschiede von EDR und MDR. IT-Dienstleister müssen sicherstellen, dass ihre Kunden die Bedeutung umfassender Sicherheitslösungen verstehen und bereit sind, in diese zu investieren. Ein Managed Service bietet nicht nur Schutz, sondern auch eine kontinuierliche Überwachung und schnelle Reaktion auf Bedrohungen, was einen erheblichen Mehrwert darstellt.

Flexibilität und Anpassungsfähigkeit

IT-Dienstleister müssen flexibel sein und sich den spezifischen Anforderungen ihrer Kunden anpassen. Ob als Hauptdienstleister für die gesamte IT oder als spezialisierter Sicherheitsberater – die Fähigkeit, maßgeschneiderte Lösungen anzubieten, ist entscheidend. Zudem erfordert die Einrichtung eines 24/7-Sicherheitsdienstes eine sorgfältige Planung und Vorbereitung, einschließlich rechtlicher Aspekte und interner Simulationen.

Standardisierung und Weiterentwicklung

Ein standardisiertes Portfolio und klare Integrationskriterien sind entscheidend, um sicherzustellen, dass alle Sicherheitswerkzeuge effizient und handhabbar bleiben. IT-Dienstleister sollten kontinuierlich in die Weiterentwicklung ihrer Dienste investieren, einschließlich Schwachstellenmanagement und Penetrationstests, um die Infrastruktur ihrer Kunden ständig zu verbessern und sicherer zu machen.

“Standardisierung ist der Schlüssel. Wir bauen ein standardisiertes Portfolio auf und setzen Grundkriterien wie API-Integration. Alle Produkte müssen in der Lage sein, in unseren Data Lake einzuzahlen.” 

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Portraitbild Marc Hoeffle
Marc Hoeffle
IT Booster GmbH
Olaf Kaiser:

Guten Morgen, Marc. Ich freue mich sehr, dass ich heute mit dir als Experten bei MSP Journey über ein spezielles Thema im Bereich Security sprechen darf. Bitte stell dich und dein Unternehmen doch kurz vor.

Marc Hoeffle:

Sehr gerne, vielen Dank Olaf. Mein Name ist Marc Höffler, ich bin Gründer von IT Booster. Wir sind ein kleines IT- und Dienstleistungsunternehmen aus Speyer in der Region Rheinland-Pfalz, Zürich und Mannheim. Wir haben uns darauf spezialisiert, Kunden mit Cloud- und Sicherheitsdienstleistungen auf dem digitalen Weg zu begleiten und sicherer zu machen.

,
Olaf Kaiser:

IT Booster ist ein extrem interessanter Name. Mal sehen, ob wir später darauf zurückkommen. Lass uns erstmal über die Security-Themen sprechen. Was sind denn aus deiner Sicht die möglichen Leistungsformen für den Kunden und wo sind die Unterschiede?

Marc Hoeffle:

Gerne. In einfachen Worten ausgedrückt, erhöht EDR (Endpoint Detection and Response) die Sichtbarkeit der potenziellen Bedrohungen im Netzwerk, wobei sich EDR sehr stark auf den Endpunktschutz konzentriert. MDR (Managed Detection and Response) kombiniert verschiedene Datenquellen und bietet mehr Sichtbarkeit, etwa aus Netzwerk- oder IT-Verkehrsdaten. MDR ist keine Technologie, sondern eine Dienstleistung. Der MDR-Partner hat somit mehr Sichtbarkeit über alles, was im Kundennetzwerk passiert, und kann sicherheitsrelevante Vorfälle besser erkennen und darauf reagieren.

,
Olaf Kaiser:

Wenn wir uns die Datenebenen für MDR anschauen, was fließt dort noch ein? Sind dort auch Mail-Informationen oder Traffic-Informationen dabei?

Marc Hoeffle:

Ja, im Prinzip ist das X beliebig. Es hängt davon ab, mit welchem Partner man arbeitet und welche Technologie man einsetzt. Üblicherweise sind es APIs. Man kann E-Mail-Security-Provider, Netzwerkdaten, Firewalls und sogar Cloud-Daten wie Microsoft 365-Anmeldungen integrieren. Im besten Fall können auch Third-Party-Cloud-Provider wie HubSpot oder Salesforce eingebunden werden.

,
Olaf Kaiser:

Gestern habe ich in einem Bericht von Sophos gelesen, dass die Kompromittierung von Backups ein häufiges Ziel von Angreifern ist. Kann MDR auch dabei helfen, zu erkennen, ob Backups kompromittiert wurden?

Marc Hoeffle:

Ja, das denke ich schon. Es gibt APIs, die eine schnelle Integration ermöglichen. Über diese Schnittstellen kann man auch sehen, ob eine Backup-Lösung kompromittiert wurde, sofern diese technisch angebunden ist.

,
Olaf Kaiser:

Wie führst du die Kunden auf das höhere Niveau eines Managed Service?

Marc Hoeffle:

Das ist zweigeteilt. Ein Kunde, der noch auf Antivirus-Niveau ist, muss früh abgeholt und darüber aufgeklärt werden, was EDR und MDR bedeuten. Wir sprechen mit den Kunden nicht mehr über EDR, sondern in den meisten Fällen über MDR. MDR bietet die Funktionen eines EDR, jedoch kombiniert mit einer Managed Service Dienstleistung, die eine umfassendere Betreuung und sofortige Reaktion ermöglicht.

,
Olaf Kaiser:

Seid ihr der Hauptdienstleister für die IT eurer Kunden oder der Security-Spezialist, der für MDR-Leistungen hinzugezogen wird?

Marc Hoeffle:

Das hängt vom Kunden ab. Wir können die gesamte Bandbreite anbieten, von Betreuung und Betrieb bis hin zur spezialisierten Sicherheitsberatung. Wir haben Kunden, bei denen wir der Security-Dienstleister sind, und andere, bei denen wir auch die Infrastruktur betreuen. In beiden Fällen sind wir immer der Security-Partner.

,
Olaf Kaiser:

Wie viel Arbeit steckt in der Vorbereitung, bevor man einen 24/7-Service in Place hat?

Marc Hoeffle:

Viel Arbeit. Wir klären mit dem Kunden, ob wir im Ernstfall ohne Rücksprache aktiv werden dürfen und auf welche Systeme wir zugreifen können. Es gibt rechtliche Aspekte zu beachten und Anwaltsverträge, die im Vorfeld abgeschlossen werden müssen. Zudem simulieren wir intern verschiedene Szenarien, um vorbereitet zu sein.

,
Olaf Kaiser:

Wie geht ihr mit unplanbaren Aufwänden um?

Marc Hoeffle:

Der Dialog ist extrem wichtig. Es gibt einen Preisrahmen für unseren Service, aber unplanbare Ereignisse müssen separat fakturiert werden. Wir besprechen mit dem Kunden, ab wann zusätzliche Kosten anfallen und welche Maßnahmen erforderlich sind. Im Ernstfall kann ein Response-Team hinzugezogen werden, dessen Kosten sich abhängig von der Dauer und den betroffenen Endpunkten schnell in den fünfstelligen Bereich bewegen können.

,
Olaf Kaiser:

Welche weiteren Leistungen sind für MDR essentiell?

Marc Hoeffle:

Es hängt vom Kunden ab. Identitäten schützen ist ein zentrales Thema. Ein vernünftiges E-Mail-Gateway nimmt schon viel Arbeit ab. Man muss für den Kunden entscheiden, welche Angriffsvektoren am relevantesten sind und die passenden Maßnahmen budgetieren.

,
Olaf Kaiser:

Wie stellt ihr sicher, dass eure Sicherheits-Tools handhabbar bleiben?

Marc Hoeffle:

Standardisierung ist der Schlüssel. Wir bauen ein standardisiertes Portfolio auf und setzen Grundkriterien wie API-Integration. Alle Produkte müssen in der Lage sein, in unseren Data Lake einzuzahlen. Wir haben auch eine Eigenentwicklung für Reportgenerierung. Im Büro nutzen wir drei Dashboards für Betrieb und Security.

,
Olaf Kaiser:

Was ist, wenn ihr nicht im Büro seid?

Marc Hoeffle:

Das ist der kritische Punkt. Wir haben klassische Alarmierungsketten und nutzen stabile Technologien wie SMS, um wichtige Alarme auch außerhalb des Büros zu erhalten.

,
Olaf Kaiser:

Was sind eure nächsten Schritte in der Weiterentwicklung?

Marc Hoeffle:

Unser Fokus liegt auf aktivem Schwachstellenmanagement und Penetrationstests. Wir möchten die Infrastruktur unserer Kunden kontinuierlich härten und auf Best-Practice-Basis verbessern. Im Worst Case hoffen wir auf unseren MDR-Service oder das Rapid Response Team.

,
Olaf Kaiser:

Welche Tipps hast du für andere Managed Service Provider, die im Bereich Security aktiv werden möchten?

Marc Hoeffle:

Seid mutig und übernehmt die Rolle des Beraters. Sucht den Dialog mit euren Kunden und stellt die Mehrwertleistungen klar heraus. Fangt mit kleineren Projekten an und baut euer Wissen kontinuierlich aus. Es ist wichtig, dass man sich in seinem Bereich wohlfühlt und das Vertrauen der Kunden gewinnt.

,
Olaf Kaiser:

Vielen Dank, Marc, für das ausführliche Gespräch und die wertvollen Einblicke. Ich wünsche euch viel Erfolg bei euren zukünftigen Projekten.

Marc Hoeffle:

Danke, Olaf. Es war mir eine Freude.

MSP Journey · Managed Security Services · Sophos & Olaf Kaiser · Portraitbild Marc Hoeffle

Steckbrief

IT Booster bietet IT-Service, Cloud Lösungen und ausgefeilte Cyber Security Leistungen an. Als erfahrene IT-Architekten erschaffen wir Lösungen, die skalierbar und maximal verfügbar sind. Standardisierung statt Insellösungen schaffen den Fokus für IT als Wertschöpfungsorgan und nicht als Kostenblock. Wir glauben an Partnerschaften und sind überzeugt, dass die beste Bindung der außergewöhnliche Service und die Transparenz der Leistungen darstellt. Wir sehen uns als Erweiterung ihres Teams und arbeiten Hand in Hand. Häufig zu den gleichen Kosten, die bereits heute anfallen.
Marc Hoeffle
Geschäftsführer
IT Booster GmbH
Im Hofgärtchen 11
68799 Reilingen

Verwandte Artikel

Managed Firewall im Fokus – von der Leistungsdefinition bis zum Reporting

Welche Dienstleistungen – sowohl geplante als auch ungeplante – sind in Euren Managed Firewall Paketen enthalten? Wie kann der Kunde das ganze Bundle aus Hardware, Software und Dienstleistung beziehen? Alles als ein fester Monatspreis? Gibt es wirklich hilfreiche Reports für Kunden aus der Firewall? Welche Leistungen sind nicht enthalten und werden auf Abruf oder nach Anfrage an der Firewall erbracht? Wie gehst Du mit Kunden um, die bereits eine andere Firewall im Einsatz haben?

Die permanente Weiterentwicklung als Erfolgsmodell bei Managed Security Services

Alles rund um den Aufbau von Managed Security Services: Wie ist das Security-Modell aufgebaut? Wie entscheiden sich die Kunden zwischen den drei Modulen beim Endpoint Schutz und was gibt den Ausschlag für die höheren Varianten? Wie ist die Kundenresonanz auf Euren Managed-Ansatz? Spielt die monatliche Kündigungsfrist bei Euch eine wichtige Rolle? Welche Automatisierungen sind für Euch am wichtigsten?