Der Markt für IT-Sicherheit ist von der kontinuierlichen Reaktion der Anbieter auf die neuesten Kniffe und Schliche der Angreifer bestimmt. Die Massenangriffe der Vergangenheit mit Viren, Würmern und Trojanern ließen sich mit Signaturen, Regeln und Einschränkungen durch Sicherheits-Software ganz gut abwehren. Die fortschreitende Professionalisierung der Cyberkriminellen hat aber dazu geführt, dass sie Opfer, bei denen es wirklich etwas zu holen gibt, nicht mehr mit billigen Malware-Attacken belästigen. Die dienen höchstens noch der Ablenkung.
Wenn es, wie bei Angriffen auf Unternehmen, wirklich um Geld oder wertvolle Informationen geht, dann sind die Kriminellen auch bereit, etwas zu investieren - vorrangig Zeit und Wissen - um ans Ziel zu kommen. Der Angriff wird dann in mehreren Stufen und über einen längeren Zeitraum vorgetragen. Oft werden Strukturen des Unternehmens ausgespäht und in der Firma unverdächtige Aktivitäten für die Zwecke der Angreifer missbraucht. Das macht es ausgesprochen schwierig, solche Angriffe zu entdecken, denn es stürzen weder Rechner ab, noch werden Schwellwerte überschritten, die sich durch herkömmliche Sicherheits-Tools überwachen lassen.
Das führt dazu, dass die IT-Security-Anbieter sich intensiv mit künstlicher Intelligenz und Maschinenlernen beschäftigen. Doch noch ist es nicht soweit, dass die daraus hervorgegangenen Produkte die silberne Kugel sind, mit der sich alle Probleme aus der Welt schaffen lassen. Noch müssen Menschen eingreifen, nach Auffälligkeiten Ausschau halten und ungewöhnliche Aktivitäten genauer unter die Lupe nehmen. Ein großer Teil der dafür erforderlichen Tätigkeiten fällt in den Bereich Endpoint Detection and Response (EDR), der sich in den vergangenen Jahren herausgebildet hat.
Was zeichnet Endpoint Detection and Response aus?
Im Marktsegment Endpoint Detection and Response (EDR) werden generell Systeme zusammengefasst, die Aktivitäten (also PCs, Notebooks, Tablets, Smartphones, etc) und Ereignisse (also Anmeldung von Nutzern, Öffnen von Dateien, Registry-Zugriffe, Speicherzugriffe und aufgebaute Netzwerkverbindungen) auf den Endgeräten aufzeichnen. Diese Daten werden dann entweder auf den Geräten oder in einer zentralen Datenbank gespeichert und mit Hilfe weiterer Datenbanken zu Schwachstellen und Cybergefahren kombiniert. Anhand von Verfahren zur Verhaltensanalyse werden diese Daten anschließend daraufhin abgeklopft, ob es Anzeichen für ein mögliches Eindringen Unbefugter oder unzulässige Aktivitäten interner Täter gibt.
- Kaspersky Lab
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 6,0 - PC Pitstop
Schutzwirkung: 5,5 Systemlast: 6,0 Benutzbarkeit: 4,0 - Avira
Schutzwirkung: 5,5 Systemlast: 6,0 Benutzbarkeit: 6,0 - Bitdefender
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 5,5 - Eset
Schutzwirkung: 5,5 Systemlast: 4,0 Benutzbarkeit: 5,5 - AhnLab
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 5,5 - Microworld
Schutzwirkung: 4,5 Systemlast: 6,0 Benutzbarkeit: 6,0 - Trend Micro
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 6,0 - K7 Computing
Schutzwirkung: 5,0 Systemlast: 4,5 Benutzbarkeit: 6,0 - McAfee
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 6,0 - VIPRE Security
Schutzwirkung: 6,0 Systemlast: 6,0 Benutzbarkeit: 6,0 - Symantec
Schutzwirkung: 6,0 Systemlast: 5,0 Benutzbarkeit: 5,5 - AVG
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 5,5 - Microsoft
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 4,0 - Bullguard
Schutzwirkung: 5,5 Systemlast: 5,0 Benutzbarkeit: 5,5 - F-Secure
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 5,0 - Comodo
Schutzwirkung: 6,0 Systemlast: 4,5 Benutzbarkeit: 5,5 - Panda
Schutzwirkung: 6,0 Systemlast: 3,5 Benutzbarkeit: 6,0 - G DATA
Schutzwirkung: 5,0 Systemlast: 5,0 Benutzbarkeit: 5,5 - Avast
Schutzwirkung: 6,0 Systemlast: 5,5 Benutzbarkeit: 5,5
Sobald diesbezüglich etwas festgestellt wird, kommt die "Response"-Komponente der EDR-Suiten zum Einsatz. Sie erlaubt es , schnell, zielgerichtet und angemessen zu reagieren und das Ausmaß des Angriffs zu erfassen. Mitdefiniert haben das Segment Firmen wie Check Point mit SandBlast, Cisco mit Cisco AMP for Endpoints, McAfee, Panda Security, Symantec, Trend Micro. Kaspersky hat im September 2017 ein eigenes EDR-Angebot vorgestellt, F-Secure im Frühjahr 2018. Außerdem drängen in Deutschland neue Spezialisten wie Tanium auf den Markt. Einige weitere werden in den USA und US-Medien bereits intensiv besprochen, spielen aber hierzulande noch keine oder kaum eine Rolle.
EDR und Next Gen Endpoint Security
"Bisherige, weitgehend reaktive Security-Konzepte werden nach und nach überarbeitet und gezielt um proaktive Ansätze ergänzt", führte Matthias Zacher, Manager Research & Consulting bei IDC Central Europe, im Abschlussbericht der Multi-Client-Studie "Next Gen Endpoint Security in Deutschland" 2017 aus. "Der Absicherung der Endpoints, das heißt PCs, Laptops und Multifunktionsgeräte in den Unternehmensnetzwerken, kommt dabei eine besonders wichtige Rolle zu. Denn Endpoints sind die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb der Organisation", so der IDC-Experte weiter.
Daher würden etablierte Lösungen zum Schutz der Endgeräte immer häufiger durch Produkte erweitert, die dem Feld "Next Gen Endpoint Security" zuzuordnen sind. Zacher begründet den Bedarf nach solchen Lösungen folgendermaßen: "Durch die proaktive Vorgehensweise können Schwachstellen und Vorfällen auf den Endpoints erkannt und frühzeitig entsprechende Maßnahmen durchgeführt werden, um eine moderne und ganzheitliche IT-Security im gesamten Unternehmen zu gewährleisten."
IDC definiert Next Gen Endpoint Security" als "Erweiterung etablierter Lösungen zum Schutz der Endpoints um neue Advanced-Security-Technologien und Security-Architekturen sowie proaktive Vorgehensweisen zum Erkennen und Beseitigen von Schwachstellen und Vorfällen auf den Endpoints." Damit meinen die Analysten letzendlich also dasselbe wie ihre Kollegen von Gartner, die das Segment seit 2013 unter dem Begriff "Endpoint Detection and Response" und seit 2015 unter dem Kürzel EDR betrachten.