Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Security Operations Glossar

MDR (Managed Detection & Response)

Ausgelagerter Sicherheitsdienst, bei dem ein externer Anbieter rund um die Uhr Bedrohungen erkennt, analysiert und darauf reagiert. MDR kombiniert XDR-Technologie mit menschlicher Expertise - für Unternehmen ohne eigenes SOC-Team die effizienteste Lösung für 24/7-Sicherheitsüberwachung.

MDR (Managed Detection & Response) ist der Outsourcing-Ansatz für Sicherheitsüberwachung. Statt ein eigenes SOC (Security Operations Center) aufzubauen, buchen Unternehmen einen externen Anbieter, der rund um die Uhr überwacht, analysiert und im Ernstfall eingreift.

Warum MDR? Das SOC-Problem für KMU

Eigenes SOC aufbauen

  • 3-5 Analysten für 24/7-Betrieb nötig
  • Jahreskosten: €300.000 - €600.000 (Personal allein)
  • Zusätzlich: Technologie (SIEM, XDR, Threat Intel): €100.000+/Jahr
  • Zeitrahmen: 12-18 Monate bis operativ
  • Problem: Talentmangel - SOC-Analysten schwer zu finden

MDR-Service

  • Laufzeit: Wochen bis zur Inbetriebnahme
  • Kosten: €5.000 - €30.000/Monat (je nach Scope)
  • 24/7 durch erfahrene Analysten
  • Sofortiger Zugang zu Threat Intelligence
  • Skalierbar ohne Personalplanung

MDR-Service-Komponenten

Technologie

  • Agent-Deployment auf Endpoints (EDR)
  • Log-Ingestion (Firewall, AD, Cloud, E-Mail)
  • XDR-Plattform für Korrelation
  • Threat Intelligence Feeds

Monitoring

  • 24/7/365 Alert-Analyse durch menschliche Analysten
  • Alert-Triage: echte Incidents von False Positives trennen
  • Incident-Investigation: Ursache und Ausmaß bestimmen
  • Reporting: tägliche/wöchentliche Security-Berichte

Response (variiert nach Vertrag)

Option 1 - Guided Response:

  • MDR informiert Kunden + gibt Empfehlungen
  • Kunde führt Maßnahmen selbst durch

Option 2 - Active Response:

  • MDR isoliert Geräte, blockiert IPs, löscht Malware
  • Ohne Rückfrage (pre-authorized)

Option 3 - Co-Managed:

  • MDR und Kunden-IT arbeiten zusammen

Threat Hunting

  • Proaktive Suche nach Angreifern (nicht nur reaktiv)
  • Hypothesen-basiert: “Suche nach Kerberoasting-Indikatoren”
  • Ergebnis: Entdeckung von Angriffen die Alerts umgehen

MDR Anbieter im Vergleich

Internationale Anbieter

AnbieterTechnologieBesonderheit
CrowdStrike Falcon CompleteEigene Technologie (Falcon EDR)1h Response-Zeit Garantie (SLA); €15-25/Endpoint/Monat
Microsoft Defender ExpertsDefender for Endpoint + SentinelIdeal für Microsoft-Umgebungen; günstig für MS-E5-Kunden
Rapid7 MDRInsightIDR (Open XDR)Gute Integration nicht-MS-Umgebungen; herstellerübergreifend
Arctic Wolf”Security Operations as a Service”Concierge Security Team (dedizierter Analyst); Fokus auf KMU

Deutsche/EU-Anbieter

  • G DATA Advanced Analytics
  • Atos | Eviden (Frankreich)
  • Deutsche Telekom Security
  • Secunet (BSI-akkreditiert)

MDR vs. MSSP

MerkmalMSSP (traditionell)MDR (modern)
ModellTraditionelles OutsourcingModernes Security-as-a-Service
FokusPerimeter-Schutz (Firewall, IDS/IPS, VPN)End-to-End Kill Chain
AnsatzReaktiv: Alerts forwarden und eskalierenProaktiv: Threat Hunting, tiefe Investigation
ResponseWenig aktive InvestigationActive Response: nicht nur Alert-Weiterleitung
KostenGünstigTeurer, aber signifikant bessere Ergebnisse

MXDR (Managed XDR):

  • Kombination: MDR-Ansatz + XDR-Plattform
  • Begriff oft synonym zu MDR verwendet
  • Microsoft, CrowdStrike, Palo Alto verwenden diesen Term

MDR auswählen - die 7 wichtigsten Fragen

  1. Welche Response-Rechte gibt es? “Dürfen Sie Geräte ohne Rückfrage isolieren?” - wichtig für MTTD/MTTR

  2. Wie sind die SLAs? “Wie lange bis zur Alert-Analyse? Bis zur Response?” - typisch: Alert-Triage < 15min, Response < 1h

  3. Welche Daten verlassen mein Unternehmen? “Wo werden Logs gespeichert? DSGVO-konform?” - EU-Rechenzentrum essenziell

  4. Welche Technologie wird eingesetzt? “Eigene Plattform oder Drittanbieter?” - Vendor-Lock-in beachten

  5. Wie viele Endpunkte / Logs sind inklusive? “Kosten pro Endpoint oder pauschal?” - Skalierungspunkte kennen

  6. Was ist der Onboarding-Prozess? “Wie lange bis der Service aktiv ist?” - typisch: 2-6 Wochen

  7. Gibt es Threat Hunting inklusive? “Proaktive Suche oder nur reaktiv?” - Differenzierungsmerkmal guter Anbieter

MDR für NIS2-Compliance

NIS2 Art. 21 fordert

  • Incident Detection (Erkennung)
  • Incident Handling (Reaktion)
  • Continuous Monitoring
  • Business Continuity Measures

MDR erfüllt

  • 24/7 Detection (Art. 21 Abs. 2a)
  • Incident Response (Art. 21 Abs. 2b)
  • Monitoring (Art. 21 Abs. 2h)
  • Dokumentation für Nachweis

Für ISO 27001

MDR als Nachweis für:

  • Control A.8.16 (Monitoring)
  • Control A.5.26 (Response to Information Security Incidents)

AWARE7 Leistungen zum Thema

ISO 27001 Beratung Penetrationstest

Ausführlicher Wiki-Artikel

Incident Response

9 Min. Lesezeit

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Verwandte Begriffe

SOAR (Security Orchestration, Automation and Response) SOC (Security Operations Center) Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen XDR (Extended Detection & Response)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung