Organisationen sehen sich einer enormen Bedrohung ihrer IT-Systeme gegenüber. Da die IT in den meisten Unternehmen heute unverzichtbar für die Kernprozesse ist, ist Cybersicherheit längst nicht mehr nur ein IT-Thema, sondern eine zentrale Managementaufgabe. Gesetze und Verordnungen wie das IT-Sicherheitsgesetz 2.0 mit den zugehörigen Verordnungen für den Bereich der kritischen Infrastrukturen (KRITIS) machen deutlich, wie groß diese Bedrohung und die Notwendigkeit für geeignete Gegenmaßnahmen sind. Hersteller und Dienstleister haben darauf längst mit einem kaum noch überschaubaren Angebot an Produkten und Dienstleistungen reagiert, von traditionellen Softwareprodukten wie Antimalware über KI-basierte Systeme für die Identifikation von Sicherheitsvorfällen bis hin zum vollständigen Betrieb von IT-Sicherheitszentralen oder Security Operations Centern (SOC) als Dienstleistung.

Eine der größten Herausforderungen ist dabei nicht das Fehlen geeigneter Technologie, sondern deren richtige Nutzung und das dafür erforderliche Personal und Wissen. Selbst wenn Technologie gut und leistungsfähig ist, muss sie auch richtig zum Einsatz kommen. Gerade im komplexen Feld der IT-Sicherheit ist das "skills gap", also das Fehlen von Personal und Wissen, längst ein zentrales Problem. Damit stellt sich die Frage, ob immer bessere und leistungsfähigere, integrierte Lösungen wie XDR überhaupt beherrschbar sind und was es dafür braucht.

XDR als Ausdruck ist 2018 entstanden und wird dem Softwarehersteller Palo Alto Networks zugeschrieben. Wie der Begriff schon andeutet, geht es einerseits um eine Erweiterung bestehender Systeme und andererseits um die Bereiche von Detection (Erkennung) und Response (Antwort). Nicht direkt im Begriff enthalten, aber ein wichtiger impliziter Bestandteil ist der integrierte Ansatz. XDR-Systeme werden typischerweise als Software-as-a-Service (SaaS) angeboten, auch wenn das im Konzept nicht zwingend ist.

Die Erweiterung von XDR bezieht sich insbesondere auf EDR, aber auch auf NDR. EDR steht für Endpoint Detection and Response, während das N in NDR für Network steht. XDR schafft nun Ansätze, die sowohl Endgeräte als auch Netzwerke im Fokus haben, wobei es bei Endgeräten keineswegs nur um Clientsysteme wie Notebooks, PCs und Tablets geht, sondern um alle Arten von Endgeräten, aber auch darüber hinaus bis hin zu Work­loads in der Cloud – also eine wirklich breite Definition weit über den Scope von EDR und NDR hinaus.

XDR sammelt Daten von diesen verschiedenen Systemen ein, korreliert diese und macht sie in strukturierter Weise für weitere Analysen verfügbar. Ein zentraler Teil der Funktionalität von XDR ist das automatische Erkennen von Bedrohungen (Threats) einschließlich komplexer Gefahren, die erst durch eine Analyse von Daten über mehrere Geräte und Netzwerke hinweg sichtbar werden. Die erkannten Bedrohungen werden analysiert, sortiert und priorisiert, um sie dann zielgerichtet bearbeiten zu können. Auf Basis dieser Analyse lässt sich dann auf mögliche Angriffe reagieren.

Das Wertversprechen von XDR ergibt sich auf der einen Seite aus dem integrierten Ansatz, mit dem sich auch komplexe Bedrohungen besser erkennen lassen sollen, weil Daten aus einer Vielzahl unterschiedlicher Systeme korreliert werden. Gleichzeitig propagieren die Anbieter den Vorteil von SaaS-basierten und damit schnell umsetzbaren, integrierten Produkten statt einer Vielzahl von Einzelsystemen, die erst miteinander verknüpft werden müssten. Die Grundidee dahinter ist logisch, gerade wenn wir auf die heutige Situation in vielen Organisationen schauen, die zwar eine Vielzahl von IT-Sicherheitsprodukten im Einsatz haben, aber diese letztlich nur als weitgehend isolierte Punktlösungen betreiben und dabei einen hohen Einsatz sowohl für Lizenz- als auch Betriebskosten aufwenden.

XDR ist dabei keine Technologie für alle Aspekte der IT-Sicherheit. Der Begriff sagt bereits, dass der Fokus auf den Phasen der Erkennung und Antwort – oder besser: Reaktion – liegt. Die beiden derzeit populärsten Rahmenwerke für IT-Sicherheit, das NIST CSF (Cybersecurity Framework) und MITRE D3FEND, adressieren damit zentrale Bereiche und der Schutzaspekt, der lange im Vordergrund steht, wird um XDR ergänzt. Es ist also die Erweiterung von Schutzmaßnahmen wie Firewalls, Antimalware und anderer Lösungen um die kontinuierliche Analyse von Daten zur Erkennung möglicher Bedrohungen und einer gezielten Reaktion darauf.

Das NIST CSF beschreibt den etablierten Zyklus von der Identifikation von Risiken über den Schutz hin zur Erkennung, Antwort/Reaktion und zur Wiederherstellung. Dabei wird auf verschiedene etablierte Rahmenwerke und Standards wie die ISO 27001 referenziert, um beispielsweise die Risikobereiche und Schutzmaßnahmen zu identifizieren und zu beschreiben. MITRE D3FEND ist deutlich technischer ausgerichtet und fokussiert vor allem auf konkrete technische Maßnahmen, wobei die erste Phase die "Härtung" von Systemen ist, gefolgt von der Erkennung und drei Detailphasen für die Reaktion, nämlich die Isolierung, Täuschung oder Ablenkung, und die Beseitigung der Bedrohung.

XDR hat seinen Fokus auf den Phasen der Erkennung (Detect) und der Reaktion, also Respond, respektive Isolate, Deceive und Evict. Für einen vollständigen Ansatz im Bereich der IT-Sicherheit müssen aber die weiteren Phasen, die beispielsweise in NIST CSF und MITRE D3FEND beschrieben sind, ergänzt werden. Neben dem unverzichtbaren Schutz spielt dabei auch die Fähigkeit zur schnellen Wiederherstellung (Recover) heute eine zentrale Rolle, gerade mit Blick auf Ransomware.

XDR wird, wie jede populäre Technologie im Bereich der IT, von den Anbietern durchaus unterschiedlich interpretiert. Ein Grundverständnis besteht bezüglich der Kombination von netzwerk- und endgerätebezogenen Funktionen und der Korrelation und Analyse von Ereignissen über diese verschiedenen Bereiche hinweg. Bei den konkret enthaltenen Funktionen ebenso wie beim Umfang der analytischen Funktionen gibt es dann durchaus erhebliche Unterschiede zwischen den Lösungen. Bild 1 bietet einen Überblick über Kernfunktionen und wichtige Integrationen.

Zwingende Funktionen innerhalb von XDR sind die schon angesprochenen Bereiche NDR und EDR, wobei letztgenannte Produkte inzwischen typischerweise als EPDR (Endpoint Protection, Detection & Response) oder mit EPP (Endpoint Protection Platform) angeboten werden. NDR analysiert Daten aus Netzwerken, nutzt Threat-Intelligence-Informationen auch von externen Stellen und korreliert diese Informationen, typischerweise unter Nutzung sowohl von etablierten statischen wie analytischen Verfahren als auch durch ML-basierte Ansätze (Machine Learning). Ziel ist immer, abweichende und kritische Muster zu erkennen und daraus konkrete Hinweise auf mögliche Bedrohungen und konkrete Vorschläge für mögliche Gegenmaßnahmen ableiten zu können.

Zum Wertversprechen von XDR gehört, dass es proaktiv mögliche Bedrohungen identifiziert und über die Analyse von Anomalien auch unbekannte – im Sinne von bisher nicht bekannte und dokumentierte – Bedrohungen erkennen kann und damit aktiver als EDR und NTA (Network Traffic Analysis) arbeitet. Allerdings nutzen viele der modernen EPDR- und NDR-Systeme vergleichbare Ansätze, nur ohne den Integrationsansatz von XDR. EPDR arbeitet in vergleichbarer Weise, aber mit Fokus auf die Nutzung von Geräten. EPDR kommt traditionell aus dem Bereich der Clients, hat sich aber inzwischen – gerade auch im Umfeld von XDR – deutlich darüber hinaus entwickelt.

Weitere Technologien, die sich in XDR-Systemen finden, umfassen CWPP (Cloud Workload Protection Platforms) für die Analyse und den Schutz von Funktionen, die über Clouddienste bereitgestellt werden, DDP (Distributed Deception Platforms) zum automatisierten Erstellen von vorgetäuschten Systemen zur Ablenkung der Angreifer und VMS (Vulnerability Mana­gement Systems) zur Erkennung von Schwachstellen in der IT-Infrastruktur.

XDR hat außerdem Schnittstellen zu UBA/UEBA (User Behavior Analytics/User & Entity Behavior Analytics) für die Erkennung von Anomalien im Benutzerverhalten, zu UEM (Unified Endpoint Management) für die Verwaltung und Absicherung von Endgeräten und auch zu IAM (Identity & Access Management) für das Management von Benutzern und ihren Berechtigungen sowie insbesondere Informationen zur Authentifizierung, die im Rahmen der Sicherheitsanalyse wichtig sind.

Zu guter Letzt braucht es natürlich auch die Integration zu Threat-Intelligence-Plattformen, die Informationen über aktuelle Bedrohungen liefern und diese kontinuierlich aktualisieren. Diese Informationen müssen von den XDR-Systemen unmittelbar bei der Analyse der gesammelten Daten einbezogen werden, um schnell auf neue Bedrohungen reagieren zu können.

XDR-Umgebungen sollten eine breite Palette an Funktionen bereitstellen, und das nicht nur als reines Bundling getrennter Produkte. Dazu gehören eine vereinheitliche Lizenzierung, da XDR üblicherweise ein SaaS-Dienst ist, ein Abonnement (Subscription) ebenso wie eine integrierte Bereitstellung. Auch zentrale Dashboards, die eine Sicht auf die Bedrohungslage liefern, sind eine zwingende Anforderung an XDR-Produkte. Ereignisse müssen über die verschiedenen Netzwerke und Systeme hinweg konsolidiert werden.

Ganz zentral ist eine hohe Leistungsfähigkeit bei der Korrelation und Analyse von Informationen, um konkret nutzbare Informationen zu liefern. Eine der zentralen Herausforderungen im Bereich der IT-Sicherheit ist, dass aus der immensen Zahl an Signalen, die eingesammelt werden, die wirklich kritischen Bedrohungen analysiert werden müssen, um auf diese reagieren zu können.

Wie in Bild 2 dargestellt, lassen sich die Analyseergebnisse von XDR in drei Gruppen aufteilen. Die schwarz dargestellten Ereignisse sind eindeutige Bedrohungen, die bekannt sind. Im Idealfall kann auf diese auch automatisiert reagiert werden, indem sie beispielsweise auf gefälschte Systeme mithilfe von DDP-Technologien umgeleitet werden und die Angriffe damit wirkungslos verpuffen. Die weiß dargestellten Ereignisse sind als eindeutig unkritisch identifiziert.

In Einzelfällen benötigt es eventuell noch eine automatisierte Reaktion, beispielsweise über das IT Operations Management (ITOM). Am problematischsten ist der mittlere, graue Bereich, weil es sich dabei um die unbekannten Ereignisse handelt, die von Menschen weiter analysiert werden müssen. Eine gute XDR-Lösung muss diesen Anteil möglichst weit reduzieren, gleichzeitig dann aber auch möglichst konkrete Ratschläge liefern, um sie bearbeiten zu können.

Zu den wesentlichen Funktionen im Bereich der Analyse gehört die Fähigkeit, mit verschlüsselten Daten umzugehen und diese entweder zu entschlüsseln oder über Metadaten Schlüsse zu ziehen. Außerdem muss eine breite Palette an Analysefunktionen vorhanden sein, um auch spezialisierte Angriffsformen wie eine Häufung unüblicher DNS-Anfragen oder ein unerwartet hohes oder niedriges Volumen von Port-Scanning-Vorgängen zu identifizieren. Je breiter die Analysefunktionen sind, desto eher werden komplexe Angriffe potenziell erkannt.

Die Leistungsfähigkeit von XDR-Systemen wird auf der anderen Seite auch von der Breite und Tiefe der Sensoren bestimmt, also den Komponenten, die Daten beispielsweise im Netzwerk oder auf Endgeräten einsammeln. Im NDR-Bereich, der ja einen wichtigen Baustein von XDR darstellt, ist beispielsweise die Integration zu OT-Umgebungen (Operational Technology) heute zunehmend üblich. CWPPs als Baustein von XDR liefern die Schnittstellen zu gängigen Cloudumgebungen.

XDR ist eine komplexe, vielschichtige Technologie, weil sie eben eine Vielzahl von vorhandenen IT-Sicherheitstechnologien integriert und erweitert. Allerdings gibt es, wie oben schon angedeutet, signifikante Funktionsunterschiede zwischen den heute angebotenen Lösungen, weshalb eine gründliche Analyse unverzichtbar ist.

Eine Frage, die sich im Zusammenhang mit XDR immer wieder stellt, ist die nach dem Zusammenhang und Zusammenspiel mit SIEM-Systemen (Security Information & Event Management) und mit SOAR (Security Operations, Automation & Response). Die Grenzen zwischen diesen Technologien verlaufen fließend. Ein SIEM ist zunächst eine Plattform, die sicherheitsrelevante Informationen und Ereignisse aus unterschiedlichen Systemen und anderen Quellen sammelt.

Das Wertversprechen von SIEM beinhaltet auch die kontinuierliche Analyse dieser Informationen, um darauf reagieren zu können. Insofern stehen SIEM und XDR in einem engen Zusammenhang miteinander, wobei das SIEM typischerweise als eine Informationsquelle für Daten, die XDR-Systeme verarbeiten, gesehen wird, aber auch als Zielsystem für Informationen aus dem XDR dienen kann. Letztlich hängt das genaue Zusammenspiel aber auch davon ab, ob eine SIEM-Lösung in erster Linie nur als Datenbank zum Einsatz kommt oder in hohem Maße auch analytische Funktionen Verwendung finden.

SOAR wiederum ist primär auf die Prozesse des Betriebs und der Reaktion auf Bedrohungen ausgerichtet, wobei SOAR-Produkte ebenfalls Informationen aus einer Vielzahl von Quellen einsammeln. Besonders wichtig sind dabei externe Quellen mit aktuellen Informationen zu Bedrohungen (Threat Intelligence). SOAR-Systeme werden typischerweise in Kombination mit XDR und SIEM eingesetzt, wobei sich eine zunehmende Konvergenz von SIEM und SOAR abzeichnet.

Letztlich gilt es vor der Entscheidung über das konkrete Lösungsportfolio zu bestimmen, welche Funktionen mit welcher Priorität nötig und welche Systeme bereits vorhanden sind. Das erfordert ein Portfolio-Assessment der bestehenden IT-Sicherheitsprodukte, um nicht nur noch ein weiteres System zu erhalten, sondern eine sinnvolle Integration einer bewusst begrenzten Zahl von Lösungen. XDR mit seinem integrativen Ansatz kann dabei eine zentrale Funktion übernehmen. Wichtig ist bei dieser Analyse und Entscheidungsfindung auch die Frage, wie die Technologie betrieben werden soll.

Bei dieser Frage kommen wir zum Zusammenspiel zwischen XDR, MDR und SOCaaS. MDR steht für Managed Detection & Response und beschreibt einen Ansatz, bei dem XDR-Umgebungen und andere Systeme laufen und ein externer Anbieter die Überwachung der Sicherheitsvorfälle und die Reaktion auf diese übernimmt. MDR ist also nicht primär ein Technologiethema, sondern ein Betriebsthema. Gleiches gilt für SOCaaS, das Security Operations Center as a Service. Dabei geht es um Angebote, mit denen Dienstleister den Aufbau und Betrieb von SOCs für mehrere Mandanten übernehmen, typischerweise in einem definierten Zusammenspiel mit Internen im IT-Sicherheitsteam, um auch auf die kundenspezifischen Anforderungen und Anwendungen eingehen zu können.

Während MDR auf die technischen Bedrohungen fokussiert, umfasst SOCaaS ein breiteres Leistungsspektrum, zu dem der Betrieb von SIEM- und SOAR-Systemen ebenso wie von Sicherheitstechnologien wie NGFWs (Next Generation Firewalls) gehört. Insbesondere gehört zu einem SOCaaS-Ansatz aber auch das Incident Response Management (IRM), also die Vorbereitung auf Incidents und die strukturierte Reaktion bei Sicherheitsvorfällen, während MDR primär auf die Analyse von und Reaktion auf Bedrohungen auf einer technischen Ebene ausgerichtet ist. Auch hier verlaufen die Grenzen aber, wie so oft, fließend.

Darüber hinaus gibt es noch Angebote von MSSPs (Managed Security Service Provider), die weitere Leistungen wie das Vulnerability Assessment, also die Suche nach Schwachstellen, die Analyse der Anwendungs- und Code-Sicherheit, Penetration Testing, den IAM-Betrieb und andere Dienstleistungen anbieten.

Für viele Organisationen stellt sich die Frage, ob sie überhaupt in der Lage sind, eine XDR-Umgebung effektiv und effizient selbst zu betreiben. In den allermeisten Fällen muss die Antwort "nein" lauten, da XDR ein hohes Maß an Skills und aktuellem Wissen zu Sicherheitsbedrohungen erfordert – auch wenn es der Anwendung gelingen sollte, konkret nutzbare Hinweise zu Bedrohungen zu liefern. Doch auch dann müssen die Mitarbeiter diese verstehen und in geeigneter Weise darauf reagieren.

Hier bietet sich die Zusammenarbeit mit Dienstleistern an, um deren Expertise mitzunutzen. Ob das in Form eines MSSP-Ansatzes, über ein SOCaaS-Angebot oder "nur" mit MDR für den eher technischen Betrieb der XDR-Systeme erfolgt, hängt von den vorhandenen Skills innerhalb der Organisation ab. Zudem geht es nie ausschließlich um die XDR-Lösung.

Die Entscheidung muss immer in einem übergeordneten Rahmen erfolgen, also mit Blick auf die vorhandene und zukünftige Gesamtarchitektur der IT-Sicherheitslösungen etwa mit SIEM und SOAR. Nur dann kann eine Organisation zu sowohl beherrschbaren als auch bezahlbaren Lösungen kommen, die fokussiert dabei helfen, kritische Risiken soweit wie möglich zu erkennen und zu adressieren. Außerdem dürfen in einem Gesamtkonzept nie die Phasen über Erkennung und Reaktion hinaus vergessen werden, also die Identifikation, der Schutz, die Härtung und die Wiederherstellung, falls doch einmal ein Angriff zu Schäden führt.

XDR ist eine interessante und logische Entwicklung im Technologiebereich, weil unterschiedliche Technologien in sinnvoller Weise miteinander integriert werden, um eine Gesamtsicht auf Sicherheitsbedrohungen liefern zu können. Deshalb lohnt es sich auf jeden Fall, sich mit XDR zu beschäftigen. Vorher gilt es aber, ein Gesamtkonzept zu definieren, das sowohl die technische Architektur und eingesetzten Lösungsmodule als auch insbesondere die Betriebskonzepte umfasst. Ohne ein solches Gesamtbild ist XDR nur eine weitere Punktlösung, die nicht den Wertbeitrag für die Erhöhung der IT-Sicherheit liefert. Zudem bringt der integrative Ansatz von XDR immer auch die Fokussierung auf einen ausgewählten Lösungsanbieter mit sich, also auch die Gefahr der Abhängigkeit von diesem Hersteller. Schnittstellen zu anderen Produkten und Strategien, die einen Anbieterwechsel ermöglichen, müssen deshalb von Beginn an mit bedacht werden. In jedem Fall sollten Organisationen aber den Status ihrer IT-Sicherheitsorganisation und -Infrastruktur regelmäßig prüfen und dabei auch analysieren, ob und wann Technologien wie XDR, MDR oder SOCaaS ihnen dabei helfen, Bedrohungen zu reduzieren.