Managed Detection and Response (MDR) war eines der Schlagwörter zur c.m.c. channel meets cloud in München - aus gutem Grund: Angesichts immer raffinierterer Cyberbedrohungen bieten MDR-Überwachungsdienste ein effektives Schutzschild. Sie tragen maßgeblich dazu bei, die Angriffsfläche zu reduzieren, indem potenzielle Attacken frühzeitig erkannt werden und sich Gegenmaßnahmen ohne unnötigen Zeitverlust ergreifen lassen. Für Managed Service Provider geht von MDR entscheidendes Geschäftspotenzial aus.
Aufgrund der komplexen und vielfältigen Gefahrenlage wird es für kleine und mittelständische Unternehmen zunehmend schwieriger, das damit einhergehende IT-Sicherheitsrisiko selbst konsequent unter Kontrolle zu behalten. Die Nachfrage nach Unterstützung durch Managed Service Provider (MSP) steigt daher rasch. Eine Trendwende ist kaum zu erwarten, denn immer mehr Unternehmen erkennen, dass sie auf Hilfe bei der Umsetzung ihrer Sicherheitsstrategie und -maßnahmen angewiesen sind.
Einem Bericht von Kroll zufolge planen 98 Prozent der befragten IT-Verantwortlichen von Firmen unterschiedlicher Größe, ihre Cybersecurity-Aufgaben auszulagern. 51 Prozent suchen zeitnah eine Outsourcing-Lösung. Darüber hinaus prognostiziert Market and Markets, dass der globale Markt für Managed Security Services um 11,5 Prozent pro Jahr wachsen und bis 2028 einen Wert von 52,9 Milliarden US-Dollar erreichen wird.
Hohe Nachfrage nach MDR-Services
Zu den zentralen Aufgaben für MSP gehört die Bereitstellung eines Security Operations Centers (SOC), das kritische MDR-Dienste abbilden kann. Dieses Segment wächst extrem schnell. Ein kontinuierliches Systemmonitoring, proaktive Gefahrenerkennung und sofortige Abwehrmaßnahmen, die auch den neuesten Bedrohungen Einhalt gebieten, werden zum Gebot der Stunde.
MDR kann ebenso dazu beitragen, die Angriffsfläche proaktiv zu reduzieren, Bedrohungen vom Netzwerk eines Unternehmens abzuwenden und die Cyber-Resilienz zu stärken. Befeuert wird der MDR-Bedarf von den einschlägigen Herausforderungen der IT-Branche - angefangen beim Fachkräftemangel, über die Verschärfung von Cybersecurity-Vorschriften sowie Compliance-Vorgaben (Stichworte NIS2 und DORA) und strengen Anforderungen beim Abschluss von Cyberversicherungen. Es wird erwartet, dass der weltweite MDR-Markt von 3,3 Milliarden US-Dollar im Jahr 2023 auf 9,5 Milliarden US-Dollar im Jahr 2028 ansteigen wird.
Großes Potenzial für MSP
Diese Entwicklungen eröffnen ein großes Geschäftspotenzial für MSP. Mit MDR-Diensten im Portfolio können Managed Service Provider nicht nur den Mehrwert für die Kunden steigern, sondern auch ihr eigenes Business ankurbeln und die Kundenbindung stärken.
Voraussetzung für MDR-Services ist dabei aber in jedem Fall ein Security Operations Center. Das setzt jedoch beträchtliche Investitionen voraus. Und der Betrieb geht mit einem nicht zu unterschätzenden Personalaufwand einher. Das kann für MSP, die in das MDR-Geschäft einsteigen wollen, eine enorme Hürde darstellen. Grundsätzlich gibt es in dem Zusammenhang mehrere Möglichkeiten, die MSP in Betracht ziehen können, um ihr Portfolio beziehungsweise ihr Geschäft zu erweitern:
Eigenes SOC: Um MDR-Services über ein eigenes SOC bereitstellen zu können, müssen MSP in Sicherheitsinfrastruktur, Technologien, Prozesse sowie Fachpersonal investieren und den Aufbau in Eigenregie verantworten. Hohe Initialkosten und lange Time-to-market sind die beiden großen Showstopper dieses Modells, das die kostspieligste und zeitaufwendigste Option darstellt.
Ausgelagertes SOC: Bei einem SOC-as-a-Service (SOCaaS)-Modell wird die Infrastruktur eines Drittanbieters (häufig ein anderer MSP oder ein Cybersecurityanbieter) genutzt. Diese Variante reduziert den Zeit- und Kostenaufwand für MSP - im Vergleich zum Aufbau eines eigenen SOC - drastisch. Allerdings lassen geringere Margen aufgrund höherer Betriebskosten dieses Modell weniger attraktiv erscheinen. Zudem hängt die Weiterentwicklung der MDR-Services maßgeblich vom gewählten Anbieter ab. Last but not least besteht durchaus die Gefahr, dass der MSP Aufträge verliert, wenn der SOC-Anbieter erst einmal Zugang zu seinen Kunden hat.
Hybrides SOC: Hier arbeiten MSP und SOC-Anbieter zusammen, wobei der Managed Service Provider vom ausgelagerten SOCaaS profitiert, zu jedem Zeitpunkt an der Bereitstellung des MDR-Angebots beteiligt ist und weiterhin als Hauptkontakt gegenüber den Endkunden agiert. Dieses Modell ist mit geringeren Betriebskosten verbunden und sichert höhere Gewinnspannen, auch wenn der MSP beim SOC-Anbieter für die benötigte Infrastruktur einmalig investieren muss. Das Hybridmodell ist in der Regel die beste Option für MSP, die ihr Portfolio zeitnah um MDR-Leistungen erweitern wollen. Der hybride Ansatz sieht nicht automatisch den Direktkontakt zwischen Kunde und SOC-Anbieter vor - die Entscheidungshoheit liegt beim MSP, der die MDR-Dienste zugleich mit Hilfe der strategischen und operativen Erfahrung des SOC-Anbieters individuell weiterentwickeln kann.
IT-Sicherheit als Rundum-sorglos-Paket
Im Folgenden sollen die Vorteile eines skalierbaren und an die individuelle Bedürfnisse anpassbaren MDR-Service für MSP anhan des "WatchGuard Unified Security"-Konzepts skizziert werden. Das Konzept kombiniert EDR, EPDR und Advanced EPDR. MSP sind dadurch in der Lage, verlässliche und umfassende Sicherheitsangebote für ihre Kunden zu entwickeln und die Wertschöpfung zusätzlich anzukurbeln.
Die Lösung wird unterstützt durch den automatisierten Zero-Trust Application Service, Threat Hunting Service, fortschrittliche Sicherheitsanalysen, Threat Intelligence und ein Team von Cybersecurity-Analysten, die rund um die Uhr Bedrohungen überwachen, erkennen und darauf reagieren. Kunden profitieren von einem umfassenden "Rundum sorglos"-MDR-Paket, das alle relevanten Leistungen umfasst:
24/7-Überwachung der Aktivitäten am Endpunkt sowie Datensammlung:Ermöglicht Echtzeitkontrolle und nachträgliche Analyse auf Basis der Ereignisdaten, die von WatchGuard EPDR oder Advanced EPDR im modernen SOC erfasst werden.
Proaktive Suche und Erkennung rund um die Uhr: KI, maschinelles Lernen und andere fortschrittliche Techniken zur Identifizierung von Angriffsindikatoren tragen dazu bei, die Zeit für die Erkennung und Abwehr von Bedrohungen zu verkürzen. Parallel dazu suchen menschliche MDR-Threat-Hunter nach Bedrohungen, die auf den Endgeräten lauern.
24/7-Untersuchung und -Validierung: Ziel ist es, die Auswirkungen potenzieller Bedrohungen zu minimieren, indem die Experten Vorfälle schnell untersuchen und genau validieren, um Art und Schweregrad der Gefahr zu bestimmen.
Sofortige Benachrichtigung bei Vorfällen: Bei einem validierten Vorfall erfolgt eine sofortige Benachrichtigung des MSP mit wichtigen Informationen, beispielsweise hinsichtlich betroffener Rechner und verwendeter Taktiken, damit umgehend gezielte Maßnahmen ergriffen werden können.
Hinweise zur Schadensbegrenzung und flexible Behebung: Auf Wunsch unterstützt WatchGuard den Partner dabei, die Spuren eines Angriffs einzudämmen und zu entfernen, Daten wiederherzustellen, Schwachstellen zu patchen und zusätzliche Kontrollen zu installieren. Die Eindämmung bis hin zur Isolierung der Endpunkte erfolgt dabei entlang automatisierter Prozesse.
Wöchentliche/monatliche Sicherheits- und Aktivitätsberichte: Regelmäßige Berichte über den Sicherheitsstatus tragen insbesondere auf MSP-Seite dazu bei, das Kundenvertrauen zu stärken. Diese Berichte lassen sich jederzeit individualisieren und ermöglichen vollständige Transparenz gegenüber Kunden.
Services wie WatchGuard MDR sind eine gute Wahl, um Gefahren sofort erkennen und zeitnah abwehren zu können, ohne dafür in ein eigenes, modernes Security Operations Center (SOC), anspruchsvolle und teure KI-basierte Technologie oder knappe Cybersecurity-Experten investieren zu müssen. Managed Service Providern eröffnet sich damit eine ganz neue Möglichkeit, die Sicherheitslage ihrer Kunden verbessern, ihr Portfolio zu erweitern und regelmäßige Einnahmen zu generieren.