Zum Inhalt springen
cyber-security.eu
DEEN

Managed Detection and Response

MDR ist ein extern betriebener Detection- und Response-Service. Für viele Organisationen ist er der pragmatische Weg zu 24/7-Erkennung ohne eigenes vollständiges SOC.

Für wen ist diese Seite relevant?

Geschäftsführungen, IT- und Security-Verantwortliche, Einkauf und Auditoren, die externe Detection-Modelle bewerten.

Was ist MDR?

Managed Detection and Response umfasst Telemetrie, Analyse, Triage und in der Regel definierte Reaktionsmöglichkeiten - meist auf Basis von EDR und weiteren Quellen, betrieben durch einen externen Dienstleister.

Unterschied zu SOC, Managed SOC und MSSP

Internes SOC: vollständig in eigener Verantwortung.

Managed SOC: ausgelagerter Betrieb, oft auf der Plattform des Kunden.

MSSP: klassischer Security-Service-Provider, oft mit breiterem Portfolio, manchmal weniger tief in Detection.

MDR: Fokus auf Detection und Response, häufig auf Basis einer eigenen Plattform und mit definierten Eingriffsrechten.

Für wen MDR sinnvoll sein kann

Für Organisationen ohne 24/7-Schichten, mit knappem Security-Personal oder unklarer Eskalationskette. Auch als Ergänzung zu einem kleinen internen Team kann MDR sinnvoll sein.

Worauf bei Anbietern achten

Telemetriequellen, Reaktionszeiten, Rechte zur aktiven Reaktion, Transparenz bei False-Positive-Raten, Berichte, Kommunikation im Vorfall, regulatorische Aspekte wie Datenstandort, Verhältnis zu eigenem Incident Response.

Grenzen und Verantwortlichkeiten

MDR ersetzt nicht die eigene Sicherheitsarbeit. Asset-Inventar, Hygiene, Patch-Management und Identity bleiben in der Verantwortung der Organisation. Ohne klare Eskalationswege wird auch der beste MDR-Service ausgebremst.

Checkliste

  • Erwartete Telemetriequellen klar definiert
  • Reaktionsrechte und Eskalationswege schriftlich
  • Datenstandort und regulatorische Aspekte geprüft
  • Berichte und Kommunikation im Vorfall geübt
  • Verzahnung mit eigenem Incident Response geklärt
  • Exit-Strategie bedacht

Häufige Fragen

+Was unterscheidet MDR von MSSP?

MDR ist enger auf Detection und Response zugeschnitten und oft tiefer in Telemetrie und Reaktion. MSSP haben häufig ein breiteres, weniger tiefes Portfolio.

+Kann MDR ein internes SOC ersetzen?

Für viele kleinere und mittlere Organisationen ja. Größere Organisationen kombinieren oft internes Team und externen Service.

Verwandte Themen

Was ist ein SOC?

Ein Security Operations Center bündelt Menschen, Prozesse und Technik, um Cyber-Vorfälle früh zu erkennen, strukturiert zu behandeln und nachhaltig zu lernen. Diese Seite zeigt Aufgaben, Modelle und typische Fallstricke.

Endpoint Detection and Response

EDR liefert Telemetrie und Reaktionsmöglichkeiten direkt auf Endgeräten. Es ist heute Standard in vielen Organisationen und ergänzt klassischen Endpoint-Schutz um Detection und Response.

Extended Detection and Response

XDR verbindet Telemetrie aus mehreren Quellen, um Bedrohungen schneller und in besserem Kontext zu erkennen. Diese Seite ordnet den Begriff jenseits von Marketing ein.

SIEM

Ein SIEM bündelt Log- und Telemetriedaten, korreliert sie und liefert die Grundlage für Detection und Incident Response. Diese Seite erklärt Funktion, wichtige Datenquellen und typische Fehler.

Incident Response

Ein Sicherheitsvorfall verlangt einen klaren Prozess, geübte Rollen und vorbereitete Kommunikation. Wer im Ernstfall improvisiert, verliert Zeit und macht Fehler. Diese Seite zeigt die Phasen, Verantwortlichkeiten und typischen Stolpersteine.

Cyber Security für Unternehmen

Wirksame Unternehmenssicherheit verbindet Governance mit konkreten technischen und organisatorischen Maßnahmen. Diese Seite zeigt, worauf Entscheider und IT-Verantwortliche zuerst achten sollten - sachlich, ohne Panik und mit klarer Priorisierung.

Cyber Security für KMU

KMU brauchen keine Konzern-Sicherheitsarchitektur, aber die richtigen Grundlagen. Diese Seite zeigt, welche Maßnahmen mit begrenzten Ressourcen am meisten bringen und welche typischen Fehler sich vermeiden lassen.