Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

IT-Security-Markt

Darum geht es bei Endpoint Detection and Response (EDR)

Peter Marwan ist Redakteur bei ChannelPartner.
Endpoint Detection and Response (EDR) soll Unternehmen Schutz vor modernen Cyber-Gefahren bieten. Analysten prognostizieren diesem Segment in den nächsten Jahren überdurchschnittliche Wachstumsraten. ChannelPartner gibt einen Überblick über den Markt.

Der Markt für IT-Sicherheit ist von der kontinuierlichen Reaktion der Anbieter auf die neuesten Kniffe und Schliche der Angreifer bestimmt. Die Massenangriffe der Vergangenheit mit Viren, Würmern und Trojanern ließen sich mit Signaturen, Regeln und Einschränkungen durch Sicherheits-Software ganz gut abwehren. Die fortschreitende Professionalisierung der Cyberkriminellen hat aber dazu geführt, dass sie Opfer, bei denen es wirklich etwas zu holen gibt, nicht mehr mit billigen Malware-Attacken belästigen. Die dienen höchstens noch der Ablenkung.

Wenn es, wie bei Angriffen auf Unternehmen, wirklich um Geld oder wertvolle Informationen geht, dann sind die Kriminellen auch bereit, etwas zu investieren - vorrangig Zeit und Wissen - um ans Ziel zu kommen. Der Angriff wird dann in mehreren Stufen und über einen längeren Zeitraum vorgetragen. Oft werden Strukturen des Unternehmens ausgespäht und in der Firma unverdächtige Aktivitäten für die Zwecke der Angreifer missbraucht. Das macht es ausgesprochen schwierig, solche Angriffe zu entdecken, denn es stürzen weder Rechner ab, noch werden Schwellwerte überschritten, die sich durch herkömmliche Sicherheits-Tools überwachen lassen.

Die Einschätzung der Anbieterlandschaft im Bereich "Endpoint Protection Platforms" durch die Analysten von Gartner, Stand Januar 2018. Hier kommen besonders Anbieter gut weg, die neben Schutz der Endpunkte auch Reaktionsmöglichkeiten anbieten.
Die Einschätzung der Anbieterlandschaft im Bereich "Endpoint Protection Platforms" durch die Analysten von Gartner, Stand Januar 2018. Hier kommen besonders Anbieter gut weg, die neben Schutz der Endpunkte auch Reaktionsmöglichkeiten anbieten.
Foto: Gartner

Das führt dazu, dass die IT-Security-Anbieter sich intensiv mit künstlicher Intelligenz und Maschinenlernen beschäftigen. Doch noch ist es nicht soweit, dass die daraus hervorgegangenen Produkte die silberne Kugel sind, mit der sich alle Probleme aus der Welt schaffen lassen. Noch müssen Menschen eingreifen, nach Auffälligkeiten Ausschau halten und ungewöhnliche Aktivitäten genauer unter die Lupe nehmen. Ein großer Teil der dafür erforderlichen Tätigkeiten fällt in den Bereich Endpoint Detection and Response (EDR), der sich in den vergangenen Jahren herausgebildet hat.

Was zeichnet Endpoint Detection and Response aus?

Im Marktsegment Endpoint Detection and Response (EDR) werden generell Systeme zusammengefasst, die Aktivitäten (also PCs, Notebooks, Tablets, Smartphones, etc) und Ereignisse (also Anmeldung von Nutzern, Öffnen von Dateien, Registry-Zugriffe, Speicherzugriffe und aufgebaute Netzwerkverbindungen) auf den Endgeräten aufzeichnen. Diese Daten werden dann entweder auf den Geräten oder in einer zentralen Datenbank gespeichert und mit Hilfe weiterer Datenbanken zu Schwachstellen und Cybergefahren kombiniert. Anhand von Verfahren zur Verhaltensanalyse werden diese Daten anschließend daraufhin abgeklopft, ob es Anzeichen für ein mögliches Eindringen Unbefugter oder unzulässige Aktivitäten interner Täter gibt.

Sobald diesbezüglich etwas festgestellt wird, kommt die "Response"-Komponente der EDR-Suiten zum Einsatz. Sie erlaubt es , schnell, zielgerichtet und angemessen zu reagieren und das Ausmaß des Angriffs zu erfassen. Mitdefiniert haben das Segment Firmen wie Check Point mit SandBlast, Cisco mit Cisco AMP for Endpoints, McAfee, Panda Security, Symantec, Trend Micro. Kaspersky hat im September 2017 ein eigenes EDR-Angebot vorgestellt, F-Secure im Frühjahr 2018. Außerdem drängen in Deutschland neue Spezialisten wie Tanium auf den Markt. Einige weitere werden in den USA und US-Medien bereits intensiv besprochen, spielen aber hierzulande noch keine oder kaum eine Rolle.

EDR und Next Gen Endpoint Security

"Bisherige, weitgehend reaktive Security-Konzepte werden nach und nach überarbeitet und gezielt um proaktive Ansätze ergänzt", führte Matthias Zacher, Manager Research & Consulting bei IDC Central Europe, im Abschlussbericht der Multi-Client-Studie "Next Gen Endpoint Security in Deutschland" 2017 aus. "Der Absicherung der Endpoints, das heißt PCs, Laptops und Multifunktionsgeräte in den Unternehmensnetzwerken, kommt dabei eine besonders wichtige Rolle zu. Denn Endpoints sind die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb der Organisation", so der IDC-Experte weiter.

IDC hat 2017 festgestellt, dass sich der Fokus bei IT-Sicherheit von Prävention und Abwehr auf Entdecken und Ergreifen von Gegenmaßnahmen verlagert.
IDC hat 2017 festgestellt, dass sich der Fokus bei IT-Sicherheit von Prävention und Abwehr auf Entdecken und Ergreifen von Gegenmaßnahmen verlagert.
Foto: IDC

Daher würden etablierte Lösungen zum Schutz der Endgeräte immer häufiger durch Produkte erweitert, die dem Feld "Next Gen Endpoint Security" zuzuordnen sind. Zacher begründet den Bedarf nach solchen Lösungen folgendermaßen: "Durch die proaktive Vorgehensweise können Schwachstellen und Vorfällen auf den Endpoints erkannt und frühzeitig entsprechende Maßnahmen durchgeführt werden, um eine moderne und ganzheitliche IT-Security im gesamten Unternehmen zu gewährleisten."

IDC-Analyst Matthias Zacher beschreibt Endpoints als die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb der Organisation und sieht für sie deshalb erhöhten Schutzbedarf.
IDC-Analyst Matthias Zacher beschreibt Endpoints als die zentrale Schnittstelle zwischen den Anwendern und der Informationstechnologie innerhalb der Organisation und sieht für sie deshalb erhöhten Schutzbedarf.
Foto: IDC Central Europe GmbH

IDC definiert Next Gen Endpoint Security" als "Erweiterung etablierter Lösungen zum Schutz der Endpoints um neue Advanced-Security-Technologien und Security-Architekturen sowie proaktive Vorgehensweisen zum Erkennen und Beseitigen von Schwachstellen und Vorfällen auf den Endpoints." Damit meinen die Analysten letzendlich also dasselbe wie ihre Kollegen von Gartner, die das Segment seit 2013 unter dem Begriff "Endpoint Detection and Response" und seit 2015 unter dem Kürzel EDR betrachten.

Lesetipp: Empfehlungen zur Absicherung von BYOD-Umgebungen