Endpoint Detection & Response: Eindringlingen auf der Spur

Einen hundertprozentigen Schutz vor Angriffen kann es nicht geben – umso wichtiger ist es, erfolgreiche Eindringlinge schnell aufzuspüren und zu stoppen. Diese sogenannte Endpoint Detection & Response war lange etwas für große Unternehmen mit umfangreichen Ressourcen, doch unter anderem durch Entwicklungen beim Machine Learning entstehen neue Lösungen für KMUs.

Angemessene Reaktion

Ist ein Eindringling aufgespürt, geht es darum herauszufinden, wie und wo er eingedrungen ist und auf welchen weiteren Systemen er sich bereits eingenistet hat. Dafür braucht es, wie dann auch für die eigentliche Response, ebenfalls Experten. Schließlich soll im Idealfall nicht einfach nur der infizierte Rechner plattgemacht werden – das werde »dem zuvor geleisteten Aufwand kaum gerecht«, sagt Matthias Canasiu, Regional Director CEEU von SentinelOne.

Stattdessen geht es um filigrane Reaktionen. So können Systeme isoliert, Einstellungen zurückgesetzt, Dateien in Quarantäne verschoben und von Schadcode manipulierte Bereiche wiederhergestellt werden. Zudem lassen sich Internet-Adressen blockieren und Reputationsdatenbanken aktualisieren, sodass Lücken in der Abwehr geschlossen werden – eine gute EDR macht damit auch die klassische Endpoint Protection besser. Sie könnte, unterstreicht Peter Neumeier, Head of Channel Sales Germany bei Kaspersky, »erneute komplexe Angriffe verhindern«.

Unübersichtlicher Markt

Welche Reaktionen es gibt und wie weit die Automatisierungsmöglichkeiten reichen, ist von Hersteller zu Hersteller unterschiedlich. Sophos beispielsweise setzt auf eine weitgehende Automatisierung, die aber auch nur durch die enge Verzahnung mit den anderen Lösungen im Portfolio des Sicherheitsspezialisten möglich ist. Der Partner brauche, »kein zusätzliches Expertenwissen, das über die Verwaltung der Endpoint Security hinausgeht« und müsse nicht in Spezialisten für Malware-Analyse oder Forensik investieren, so Michael Veit.

Auf der anderen Seite setzen Hersteller wie Eset, F-Secure oder Trend Micro sehr intensiv auf menschliche Expertise – die der eigenen Mitarbeiter oder auf Seiten des Partners, wo man intensiv mit Trainings unterstützt. Jeder Anbieter habe seine eigenen Vorstellungen von EDR und biete andere Funktionen, sagt Christoph Thurm, Produktmanager DACH bei Eset, das mache die Lösungen auch so schwer miteinander vergleichbar. Durch die Vielzahl an Lösungen und unterschiedlichen Betriebsmodelle vom Produkt über Resell-Services bis zum eigenen Managed Service dürfte aber für jedes Systemhaus und jeden IT-Dienstleister etwas dabei sein.