CRN-Interview mit Christoph Thurm von Eset
»Ohne dediziertes Team kann man die Vorteile von EDR kaum nutzen«
Im Gespräch mit CRN erklärt, Christoph Thurm, Product Manager DACH bei Eset, welche Möglichkeiten bei der Untersuchung von sicherheitsrelevanten Ereignissen sich durch EDR-Lösungen bieten – und dass Expertenkenntnisse gebraucht werden, um diese zu analysieren und Regeln für sie einzurichten.
CRN: Herr Thurm, wie können »Endpoint Detection & Response«-Lösungen« dabei helfen, bei Kunden für ein höheres Sicherheitslevel zu sorgen?
Christoph Thurm: EDR-Lösungen ersetzen keine Endpoint Protection, sondern ergänzen dieses und heben dadurch das allgemeine Sicherheitsniveau enorm an. Mit ihrer Hilfe kann der Administrator Verhaltensanomalien erkennen, die im Unternehmensnetzwerk und auch auf den Endpoints auftreten. Dazu definiert der IT-Experte feste Regeln, beispielsweise welche Software installiert und verändert werden darf sowie Alarme, falls etwas nicht diesen Vorgaben entspricht. Der Administrator erhält dann sofort Nachricht, wenn ein neues Programm hinzukommt, ein Virus gefunden wird oder ein Hacker-Angriff stattfindet. In diesen Fällen werden unerwartet andere Netzwerkdateien aufgerufen oder Verbindungen irgendwohin aufgebaut, was sonst nicht der Fall ist. Diese Art von unüblichen Verhaltensweisen wird sehr gut erkannt und protokolliert.
CRN: Wie verbreitet ist der Einsatz von EDR bereits?
Thurm: Der Einsatz von EDR befindet sich eher noch in der Anfangsphase. Das merkt man schon daran, dass es keinen einheitlichen Standard gibt. Jeder Anbieter hat davon seine eigenen Vorstellungen und entsprechend andere Funktionen in seinen Lösungen implementiert. Die einen gehen beispielsweise tiefer in die Analysen rein, die anderen legen ihren Fokus mehr auf Response – deshalb sind die Angebote so schwer miteinander vergleichbar. Mit anderen Worten: Einiges muss sich noch entwickeln und in den nächsten Jahren harmonisieren. Der Markt ist auf jeden Fall sehr groß und nur wenige Unternehmen setzen bereits EDR-Lösungen ein.
CRN: Was für Unternehmen sind das?
Thurm: Grundsätzlich sind EDR-Lösungen interessant für alle Unternehmen, die Schwachstellen und Einfallstore in ihrem Netzwerk finden wollen. Oder bei einem Virenbefall die Ursache ausfindig machen möchten, um zukünftig Schäden zu vermeiden. Im Moment greifen eher Firmen aus dem Enterprise-Bereich auf Endpoint Detection & Response zu. Sie besitzen die benötigten personellen und finanziellen Ressourcen, um die Programme auch wirklich produktiv einzusetzen. Es ist meiner Ansicht nach absehbar, dass auch Unternehmen ab circa 250 Seats auf den Zug aufspringen werden.
CRN: Wie sieht es mit kleineren Unternehmen aus, die ja auch ein Interesse daran haben, Angriffe zu entdecken und deren Ursachen zu beseitigen?
Thurm: Eset hat Enterprise-Unternehmen als primäre Zielgruppe definiert. Wie gesagt, sind EDR-Lösungen recht komplex. Ohne ein dediziertes Team mit den entsprechenden Mitteln kann man die Vorteile kaum nutzen. Das sehen wir im Moment bei mittelständischen Unternehmen noch kritisch.
Für interessierte Firmen aus dem Mittelstand sind externe Dienstleister eine gute Alternative. Diese sind in der Lage, wie ein externes Security Operation Center entsprechende Aufgaben zu übernehmen.
- »Ohne dediziertes Team kann man die Vorteile von EDR kaum nutzen«
- »Der Mensch und Automatismen machen EDR permanent besser«
- »Wir stehen erst am Anfang einer gewaltigen Entwicklung«
Lesen Sie mehr zum Thema
