Oft mehr Schein als Sein: Managed Detection and Response (MDR)

Frank Pütz wirft einen Blick hinter die Fassade vieler MDR-Services

[datensicherheit.de, 08.07.2025] „Managed Detection and Response“ (MDR) sei der neue Hype der IT-Sicherheitsbranche: „Kaum ein Systemhaus, das nicht plötzlich MDR im Portfolio hat. Was sich hinter diesem Label verbirgt, ist oft enttäuschend – vollautomatisierte EDR- oder XDR-Lösungen mit dem Etikett ,Managed’, das in Wahrheit kaum mehr bedeutet, als dass ein Dienstleister Herstellerlösungen lizensiert – nicht aber selbst Verantwortung übernimmt.“ Frank Pütz, CEO bei indevis, beleuchtet in seinem aktuellen Kommentar die Tücken hinter diesem MDR-Label und zeigt auf, wie wirksam der Schutz ist und worauf Unternehmen achten sollten.

Foto: Indevis

Frank Pütz: Wer seine Grenzen realistisch einschätzt, schützt das Unternehmen besser und schafft die Basis für gezielte externe Unterstützung!

MDR-Abo – oft eine KMU-Illusion vom günstigen Schutz

Viele Unternehmen aus dem Mittelstand glaubten oder hofften, sie hätten mit einem preiswerten MDR-Abo ihre Cyberabwehr modernisiert. Pütz moniert: „In Wirklichkeit haben sie sich eine gut verpackte Illusion eingekauft. Denn eine Vielzahl an MDR-Angeboten enden dort, wo echte Bedrohung beginnt.“

• Cyberangriffe erfolgten nicht nach Drehbuch – sie entwickelten sich dynamisch, nutzten komplexe Schwachstellen und forderten situationsabhängige Entscheidungen. Genau hierzu brauche es Erfahrung, Kontextwissen und analytisches Urteilsvermögen, kurz: Security-Expertise von echten Menschen.

Nur diese könnten mithilfe moderner SIEM- und SOAR-Technologie aus einem Alert-Feuerwerk ein handlungsrelevantes Lagebild ableiten. „Wer darauf verzichtet, betreibt keine Cyberabwehr, sondern Ticketverwaltung“, so Pütz. Er führt aus: „Mit einer MDR-Lösung wird schlichtweg zu kurz gesprungen. Optimalen, individuell angepassten Schutz gibt es nur mit einem echten SOC-Service.“

Intransparenz bei MDR-Lösungen auf Basis proprietärer Technologien

Noch kritischer werde es, wenn die MDR-Lösung auf proprietären Technologien basiert, die weder einen Überblick über Erkennungsregeln böten noch flexible Anbindungen aller möglichen (auch „Cloud“-) Anwendungen erlaubten. „Wer sich ausschließlich auf ein solches System verlässt, verliert Sichtbarkeit und hat meist keine Möglichkeit, selbst steuernd einzugreifen“, warnt Pütz.

• Auch das Thema Datenhaltung falle weitestgehend unter „Transparenz“: In den meisten Fällen würden die Logdaten im außereuropäischen Ausland gehostet – „eine Speicherung in Deutschland bieten die wenigsten Lösungen“.

Regelmäßig gebe es Fälle, in denen Kunden im Ernstfall allein gelassen würden. Pütz berichtet aus der Praxis: „Dann muss ein IT-Leiter um drei Uhr nachts mit einem englischsprachigen Call-Center in Indien über den andauernden Cyberangriff auf das Unternehmensnetzwerk sprechen, während die Hacker längst Fakten schaffen.“ Genau deshalb setzten seriöse Anbieter auf einen richtigen SOC-Service („Security Operations Center“), am besten mit einer zugrundeliegenden MDR-Technologie, mit echten Analysten aus einem eigenen „Cyber Defense Center“ in Deutschland, in der Zeitzone des Kunden und mit unmittelbarer Reaktionsfähigkeit und klarer Verantwortung.

Was MDR wirklich leisten sollte – aber nur ein SOC bieten kann

MDR sei kein Lizenzprodukt, sondern ein Sicherheitsversprechen. „Anbieter, die es ernst meinen, liefern mehr als Technik und stylische Dashboards: Nämlich Verlässlichkeit, Transparenz und echte Unterstützung im Ernstfall“ Alles Andere sei gefährlich und verantwortungslos.

• Denn im Zweifel hafteten Geschäftsführer, „wenn die IT-Infrastruktur ihres Unternehmens bei einem erfolgreichen Cyberangriff nicht ausreichend geschützt war“. Betriebe sollten sich daher genau ansehen, was hinter dem Label „MDR“ tatsächlich steckt – und ob sie nicht in Wirklichkeit einen richtigen SOC-Service benötigten. „Nur so wird aus einem Buzzword eine echte Sicherheitsstrategie“, unterstreicht Pütz.

Wer seine IT-Systeme heute zuverlässig schützen will, brauche mehr als klassische Schutzmechanismen. „Es geht um ganzheitliche Wachsamkeit, schnelle Reaktionsfähigkeit und die ehrliche Einschätzung der eigenen Ressourcen.“ Die folgenden sechs Punkte sollen laut Pütz zeigen, worauf Unternehmen insbesondere achten sollten:

Indevis-Tipps zur Stärkung der Cyberabwehr

1. Sichtbarkeit maximieren!
   Je mehr IT-Komponenten ins Monitoring integriert werden, inklusive individueller Anwendungen und OT/IoT-Umgebungen, desto weniger blinde Flecken blieben bei der Überwachung und desto früher ließen sich Bedrohungen erkennen.
2. Top-Notch-Technologie nutzen – am besten mit integriertem „Security Information and Event Management“ (SIEM)!
   „Nicht mehrfach in Systeme investieren! Warum nur MDR-Services mit eingeschränktem Umfang nutzen, wenn es SOC-Services mit integriertem SIEM gibt?“
3. Flexibilität mitdenken!
   Eine gute Sicherheitslösung wachse bei IT-Integration nach Zukäufen oder bei zunehmender IoT-Nutzung mit.
4. Alarmbereitschaft rund um die Uhr sicherstellen!
   Cyberangriffe passierten oft außerhalb der Bürozeiten. Unternehmen benötigten entweder ein internes 24/7-Monitoring oder einen verlässlichen externen Dienstleister.
5. Notfall-Support vorab klären!
   Im Ernstfall zähle jede Minute und ein erfahrener Partner könne die nötige Stütze sein, um auch unter Stress Entscheidungen zu treffen. „Stichwort ,Incident Response Retainer’ – nur wer rechtzeitig ausreichend Ressourcen vorsorgt, kann im Notfall auf sofortige Unterstützung von Spezialisten vertrauen.“
6. Ehrlich hinsichtlich eigener Kapazitäten sein!
   „Wer seine Grenzen realistisch einschätzt, schützt das Unternehmen besser und schafft die Basis für gezielte externe Unterstützung“, gibt Pütz abschließend zu bedenken.

Weitere Informationen zum Thema:

indevis
Sicherheit in einer vernetzten Welt / indevis – unser Unternehmen

datensicherheit.de, 09.08.2022
SOCs: Mangel an Fachleuten setzt sich fort / Erkenntnisse aus der aktuellen Umfrage des SANS Institutes zu Herausforderungen und Trends in SOCs

datensicherheit.de, 13.10.2021
Studie zur Vielzahl von Security-Lösungen: Ein Drittel deutscher SOCs überfordert / Laut Studie von Trend Micro wird Outsourcing von Detection und Response vorangetrieben