Digitale Infrastrukturen werden zunehmend zum Rückgrat des modernen Business. Gleichzeitig werden Cyberbedrohungen immer mehr und immer raffinierter – und machen hochentwickelte Sicherheitsmassnahmen zu einem Muss. Diese Infrastrukturen sowie der Trend zum Home Office als Arbeitsplatz haben die Cybersicherheits-Peripherie erweitert und eine vergrösserte Angriffsfläche geschaffen. Dadurch ergeben sich neue Risiken, die ein Unternehmen heute bewältigen muss.

Mit der fortschreitenden Bedrohung und der zunehmenden Auflösung der klassischen Sicherheitsperipherie können Unternehmen nicht umhin, ihre digitalen Verteidigungsmassnahmen diesen Bedingungen laufend anzupassen. Extended Threat Detection & Response (XDR, erweiterte Bedrohungs-Erkennung und Reaktion) wurde vielfach hochgelobt als die Lösung für die Bewältigung der vielfältigen Cyberrisiken. Was dies betrifft, ist es vorteilhaft, einige häufig gestellte Fragen zu beantworten.

In diesem Blog-Beitrag beschäftigen wir uns mit vielfach gestellten Fragen wie z. B. „Was ist XDR?“, „Wie funktioniert XDR?“ und „Was bringt Extended Detection & Response?“ Wir werden erklären, wie dieser Sicherheitsansatz dabei helfen kann, Cybersicherheitslücken und deren potentiell schwerwiedenden Folgen zu vermeiden: Probleme wie beispielsweise Datenverlust, Beeinträchtigungen geschäftsentscheidender Systeme, Diebstahl von Kundendaten, sowie Schaden für Markenimage und Geschäftsergebnis.

Was ist XDR?

Extended Detection and Response (XDR) wurde entwickelt, um ganzheitlichen Schutz vor Cyberangriffen zu bieten.

[Box] Gartner beschreibt XDR als eine „kohärente Plattform zur Erkennung und Reaktion auf Sicherheitsvorfälle, die automatisch Daten aus zahlreichen proprietären Sicherheitskomponenten zusammenstellt und korreliert“.

Statt auf mehrere insuläre (d. h. eigenständige) Sicherheits-Tools für die Überwachung verschiedener Infrastrukturbereiche zurückzugreifen, bringt XDR alle relevanten Sicherheitsdaten – einschliesslich Endgeräte, Identitäten, E-Mail, Cloud-Infrastrukturen und Anwendungen, IT/OT-Netzwerkverkehr – auf einer gemeinsamen, mit Funktionen für Threat Intelligence ausgestatteter Analyse-Plattform zusammen. Dadurch ist es viel einfacher und schneller möglich, über Ihre gesamte Angriffsfläche hinweg Bedrohungen zu erkennen, sie zu untersuchen und auf sie zu reagieren.

XDR besteht üblicherweise aus klassischer Endpoint Detection & Response (EDR), Network Detection & Response (NDR), User & Entity Behaviour Analystics (UEBA), Threat Intelligence und nativ eingebundenen Automatismen zur Sofortreaktion auf Bedrohungen.

Als Cybersicherheitslösung kommt XDR meist in Unternehmen mit eher kleinen Sicherheitsteams zum Einsatz. Es bietet jedoch Vorteile für Unternehmen jeder Grösse, deren Sicherheitsverantwortlichen nach einem Ansatz suchen, der nicht nur die Prozesse rund um Threat Detection & Response vereinfacht, sondern ihnen gleichzeitig einen Überblick über die unternehmensweite Gesamtsituation in Sachen Cybersecurity verschafft.

Wie funktioniert XDR?

Stellen Sie sich XDR wie das zentrale Nervensystem Ihrer IT/OT-Sicherheitsüberwachung vor, das folgende drei Funktionen nahtlos vereint:

Datenintegration und Zusammenführung Alle Sicherheitsdaten (Telemetrie-Rohdaten und Warnungen) Ihres IT/OT-Systems werden eingespeist, normalisiert und mit Threat Intelligence-Informationen angereichert, um einen Datensatzverbund zu erstellen.

Bedrohungserkennung und Untersuchung: Mittels hochentwickelten Analysemethoden, KI und maschinellen Lernverfahren korreliert XDR einzelne Datenverbünde und Betriebsinformationen, um relevante Daten von Stördaten zu befreien. Mit dem Ergebnis können Datenanalysten danach relevante Angriffsszenarien („Attack Stories“) durchspielen, die von der Plattform nach Schweregrad und Risiko priorisiert werden.

Verkürzte Reaktionszeit: Im nächsten Schritt können integrierte Incident Response-Optionen (entweder automatisiert oder unter menschlicher Anleitung) ausgeführt werden, die das zuständige Sicherheitsteam darin bestärken, die richtigen Sofortmassnahmen zur Schadensbegrenzung zu ergreifen.

Wozu dient XDR und welche Vorteile bietet es?

XDR stellt eine wesentliche Verbesserung der üblichen Endpoint Detection & Response (EDR) Software dar und steht in gewisser Weise in Konkurrenz zu SIEM/SOAR. XDR bietet zahlreiche entscheidende Vorteile hinsichtlich Cybersecurity – zum Beispiel:

• Erhöhte Visibilität – XDR sorgt für eine komplette Rundum-Sicht auf Ihre gesamte Cybersecurity-Umgebung und führt alle relevanten Daten einheitlich zusammen. Durch automatische Datenkorrelation und Bestätigung reduziert XDR ausserdem die Gefahr, Warnungen zu übersehen.
• Erhöhte Effizienz – XDR vereinfacht die Erkennung und Beseitigung von Bedrohungen und reduziert dadurch die Notwendigkeit, mehrere unterschiedliche Sicherheitslösungen parallel zu betreiben. Integrierte KI und maschinelles Lernverfahren reduzieren dabei den manuellen Untersuchugsaufwand.

Proaktive Gefahrenabwehr – mit Überwachung in Echtzeit und automatisierter Reaktion auf Bedrohungen verstärkt eine XDR-Plattform die Schlagkraft von Sicherheitsteams und erhöht das Gesamt-Sicherheitsprofil durch eine drastische Reduktion der Zeitspanne, in der ein Angreifer im Ernstfall Zugriff auf Ihre Systeme hat.

XDR in Aktion

Wir haben oben die Vorteile von XDR im Vergleich mit traditionellen Cybersecurity-Lösungen aufgezeigt. Welche möglichen Use Cases gibt es nun für diese Software, die Sicherheitsanalyse, Untersuchung und Behebung vereinheitlicht und vereinfacht?

Ideal für Grossunternehmen

EDR sorgt für Visibilität auf sämtliche Endgeräte (‚Endpoints‘) innerhalb eines Netzwerks. Angesichts der Tatsache, dass schätzungsweise 90% aller erfolgreichen Cyberangriffe von einem Endgerät ausgehen, ist EDR für viele KMUs eine geeignete Lösung. Was grössere Unternehmen mit komplexeren IT-Infrastrukturen betrifft, geht EDR allerdings nicht weit genug.

Grossunternehmen sind auch eher Angriffsziele für Hacker, die raffinierte Methoden einsetzen, um die Cybersecurity-Massnahmen ihrer Opfer zu umgehen. XDR stellt die zentrale Visibilität auf das gesamte Netzwerk sicher und ermöglicht dadurch Sicherheits-/IT-Teams, ernsthafte Bedrohungen zu erkennen und darauf zu reagieren.

XDR ist besonders wirksam in der Abwehr von so genannten ‚Advanced Persistent Threats‘ (APTs).

Dabei handelt es sich um raffinierte Cyberattacken, bei denen sich die Angreifer Zugang zum Netzwerk verschaffen und lange unentdeckt bleiben, Ziel von APTs ist oft ein massiver Datendiebstahl, Werkspionage oder die Störung von Betriebsabläufen.

Angesichts der ausgefeilten, verschleierten Methoden der APTs reicht EDR alleine nicht aus, um Ihr Netzwerk zu schützen. XDR bietet solide Abwehrmechanismen gegen APTs durch umfassende zentrale Datenerfassung und Analyse in Kombination mit Bedrohungserkennung auf Basis von maschinellen Lernverfahren.

Sichere Einhaltung aller Vorschriften

Eines der häufigsten Ziele von Cyberangriffen ist das Abschöpfen sensibler Daten und persönlicher Informationen, um diese im ‚Dark Web‘ zu Geld zu machen. Cyberangriffe – insbesondere das Ausnützen von Sicherheitslücken – können für Unternehmen schwere finanzielle Einbussen und Markenimage-Schäden zur Folge haben. Besonders betroffen sind Betriebe, die keinen Nachweis der Einhaltung von relevanten Branchenvoschriften, Gesetzesvorgaben und Standards in ihren Geschäftsregionen erbringen können. Die Menge an Vorschriften rund um Datenschutz und Meldepflicht bei Datenpannen wächst geradezu exponentiell. Bekannte Cybersicherheits-Regelungen sind etwa:

• HIPAA (Health Insurance Portability and Accountability Act) – die Rechtsverordnung für Gesundheitsdaten in den USA
• SEC (Securities and Exchange Commission) Regulations – Vorschriften für Aktiengesellschaften zur verpflichtenden Sofortmeldung von Cybersecurity-Zwischenfällen wie z. B. Datenpannen.
• DSGVO – die EU-weit geltende Datenschutz-Grundverordnung zum Schutz personenbezogener Daten von Bürgern der EU und des Vereinigten Königreiches; betrifft alle Körperschaften, die Daten verarbeiten, unabhängig von deren Standort. NIS2 (Network and Information Security Directive) – Verordnung für Netzwerk- und Informationssicherheit als Grundlage für rechtliche Massnahmen zur Erhöhung von Cybersecurity in Netzwerk- und Informationssystemen in der EU (tritt im Oktober 2024 in Kraft).
• DORA (Digital Operational Resilience Act) – dient EU-weit zur Sicherstellung der Resilienz von Unternehmen, die Informations-/Kommunikations-Technologien (ICT) für Finanzunternehmen zur Verfügung stellen; die Vorgaben beziehen sich auf Abwehr, Reaktion und Wiederherstellung im Fall von Cyberbedrohungen und Betriebsstörungen.
• DSG (Schweizer Datenschutzgesetz) – bezieht sich (ähnlich wie die DSGV) auf die Verarbeitung von personenbezogenen Daten durch Unternehmen, Unternehmen und Bundesbehörden.

XDR-Lösungen sind zwar nicht in erster Linie auf die Einhaltung von Vorschriften ausgerichtet, unterstützen diese jedoch.   Das Hauptaugenmerk bei XDR-Lösungen liegt in der Tat auf der raschen, wirksamen Erkennung und Sofortreaktion auf Bedrohungen. Zunächst sorgt die Lösung selbst für die Einhaltung von Vorschriften wie HIPAA und DSGVO, indem sie unberechtigten Zugriff auf sensible Daten verhindert. Darüber hinaus kann die langfristige Datenspeicherung auf der XDR-Plattform zur Analyse von historischen Daten im Unternehmen als Beleg dafür dienen, dass alle notwendigen Schritte zum Schutz von sensiblen und personenbezogenen Daten unternommen wurden.

ISR XDR für Ihr Unternehmen geeignet?

XDR steht unter den Cybersecurity-Lösungen an vorderster Front und eignet sich ideal für Unternehmen, die ihre bestehenden Verteidigungsmechanismen zusätzlich gegen hochentwickelte Bedrohungen absichern wollen. Die grössten Vorteile ergeben sich somit für Unternehmen, die komplexe IT-Infastrukturen betreiben oder hochentwickelten Angriffsvektoren ausgesetzt sind.

Wichtig ist dabei, dass XDR und eine Managed Dietection & Response (MDR)-Lösung sich nicht gegenseitig ausschliessen. Ein MDR-Anbieter kann eine XDR-Plattform einsetzen und Ihnen dadurch nicht nur die Betreuung Ihrer Cybersecurity und Bedrohungserkennung abnehmen, sondern Ihnen auch die Sicherheit geben, dass Ihr gesamtes Netzwerk laufend sicherheitstechnisch überwacht wird.

Ihre Abwehrmechanismen sollten mit den ständig weiter entwickelten Cyberbedrohungen mitwachsen. Wie in diesem Blog-Beitrag beschrieben, nutzt XDR einen dynamischen, integrierten Ansatz für wirksame Bedrohungs-Erkennung und Reaktion: die perfekte Voraussetzung, um die komplexen Herausforderungen in der modernen digitalen Landschaft zu meistern. Sind Sie auf der Suche nach einer XDR-verstärkten Cybersecurity-Strategie? Der Kudelski Security MDR-Service der neuesten Generation – verstärkt durch seine leistungsstarken XDR-Plattform FusionDetect™ – steht Ihnen von der Auswahl bis zur Umsetzung bei jedem Schritt hilfreich zur Seite.

Sind Sie bereit, Ihre Cybersecurity-Massnahmen mit MDR und XDR auf die nächste Stufe zu heben? Kontaktieren Sie noch heute Kudelski Security für eine Beratung mit Experten über massgeschneiderte Lösungen, die Ihre digitalen Werte schützen und Ihnen beim Aufbau von solider Cyber-Resilienz helfen.