· Rexoma Team · IT-Sicherheit  · 5 min read

Managed Detection and Response (MDR) für KMU: Wenn niemand im Haus rund um die Uhr wachen kann

Ein SIEM allein erkennt Angriffe – reagieren muss trotzdem jemand. MDR liefert KMU genau das: ein Team, das Alarme rund um die Uhr auswertet und eingreift.

Ein SIEM allein erkennt Angriffe – reagieren muss trotzdem jemand. MDR liefert KMU genau das: ein Team, das Alarme rund um die Uhr auswertet und eingreift.

Ein Alarm schlägt an einem Freitagabend um 22 Uhr an – verdächtige Anmeldeversuche auf einem Server, ungewöhnlicher Datenverkehr Richtung Ausland. In den meisten KMU sieht das niemand vor Montagmorgen. Bis dahin hatte ein Angreifer 60 Stunden Zeit, sich im Netzwerk auszubreiten. Genau diese Lücke zwischen „Alarm erkannt” und „Alarm bearbeitet” schließt Managed Detection and Response – ein Ansatz, der für KMU in Dresden und Sachsen zunehmend zur realistischen Alternative zu einem eigenen Security-Team wird.

Was Managed Detection and Response eigentlich ist

MDR ist ein Service, kein Produkt. Ein externer Anbieter überwacht die IT-Infrastruktur eines Unternehmens rund um die Uhr, wertet sicherheitsrelevante Ereignisse aus und reagiert bei einem tatsächlichen Vorfall aktiv – nicht nur mit einer E-Mail-Benachrichtigung, sondern mit konkreten Gegenmaßnahmen wie der Isolation eines infizierten Rechners vom Netzwerk.

Das unterscheidet MDR von zwei verwandten, aber anderen Ansätzen:

MDR vs. EDR

Endpoint Detection and Response ist die Software, die auf Laptops und Servern läuft und verdächtiges Verhalten erkennt. EDR sammelt und meldet – aber jemand muss die Meldungen lesen, bewerten und darauf reagieren. Ohne diese menschliche Komponente ist EDR ein Rauchmelder ohne Feuerwehr.

MDR vs. SIEM

Ein SIEM-System wie Wazuh bündelt Log-Daten aus verschiedenen Quellen und schlägt bei Auffälligkeiten Alarm. Auch hier gilt: Das System erkennt, aber es entscheidet nicht selbst, ob es sich um einen echten Angriff oder einen Fehlalarm handelt, und es greift nicht ein. MDR liefert genau diese fehlende Schicht – Menschen mit Erfahrung, die 24/7 erreichbar sind und im Ernstfall handeln.

Anders gesagt: EDR und SIEM sind die Werkzeuge, MDR ist das Team, das sie bedient.

Warum KMU dieses Problem besonders trifft

Ein eigenes Security Operations Center mit rund-um-die-Uhr-Besetzung ist für Konzerne selbstverständlich, für einen Betrieb mit 20 oder 80 Mitarbeitern aber wirtschaftlich kaum darstellbar. Es braucht mindestens drei bis vier Fachkräfte, um eine 24/7-Abdeckung inklusive Urlaub und Krankheit realistisch zu gewährleisten – Personal, das auf dem Arbeitsmarkt ohnehin knapp und teuer ist.

Die Konsequenz in der Praxis: Sicherheitswerkzeuge werden angeschafft, produzieren aber vor allem eines – Alarme, die niemand rechtzeitig auswertet. Ein Firewall-Log, eine EDR-Meldung, ein ungewöhnlicher Login außerhalb der Geschäftszeiten – all das bleibt liegen, bis am nächsten Morgen jemand Zeit findet. Für viele Angriffsarten, insbesondere Ransomware, ist das zu spät: Die Verschlüsselung läuft oft innerhalb weniger Stunden nach dem ersten Zugriff.

Wie MDR im Alltag funktioniert

Kontinuierliche Überwachung

Sensoren auf Endgeräten, in der Firewall und im Netzwerk liefern permanent Daten an eine zentrale Analyseplattform. Diese Daten werden nicht nur gespeichert, sondern laufend mit bekannten Angriffsmustern abgeglichen.

Triage durch Analysten

Trifft ein Alarm ein, prüft ein Analyst innerhalb weniger Minuten, ob es sich um einen echten Vorfall oder einen Fehlalarm handelt. Diese Filterung ist der eigentliche Mehrwert von MDR: Sie verhindert, dass Alarmmüdigkeit dazu führt, dass ein echter Angriff zwischen hundert Fehlalarmen untergeht.

Aktive Reaktion

Bestätigt sich der Verdacht, greift das MDR-Team ein – etwa indem ein betroffenes Gerät sofort vom Netzwerk isoliert, ein kompromittiertes Konto gesperrt oder ein schädlicher Prozess beendet wird. Das Unternehmen wird parallel informiert, muss die Erstreaktion aber nicht selbst leisten.

Nachbereitung und Bericht

Nach einem Vorfall folgt eine Auswertung: Wie kam der Angreifer herein, was wurde unternommen, welche Lücke muss geschlossen werden. Diese Berichte sind auch für die Dokumentationspflichten nach DSGVO und NIS2 relevant.

MDR einführen: So gehen KMU vor

Schritt 1: Bestandsaufnahme der vorhandenen Werkzeuge

Wer bereits EDR oder ein SIEM im Einsatz hat, kann diese Systeme oft als Datenquelle in einen MDR-Service integrieren, statt bei null anzufangen. Fehlt beides, ist die Einführung eines EDR-Agenten meist der erste Schritt.

Schritt 2: Schutzumfang festlegen

Nicht jedes System muss von Anfang an überwacht werden. Sinnvoll ist es, mit den kritischsten Komponenten zu beginnen – typischerweise Server, Domänencontroller und Geräte mit Zugriff auf sensible Daten – und den Umfang schrittweise zu erweitern.

Schritt 3: Reaktionsregeln definieren

Vorab wird festgelegt, welche Maßnahmen der MDR-Anbieter eigenständig durchführen darf – etwa die sofortige Netzwerkisolation eines Geräts – und wann zuerst Rücksprache mit dem Unternehmen erfolgen muss. Diese Eskalationsregeln entscheiden im Ernstfall über Minuten, die zählen.

Schritt 4: Integration in bestehende Prozesse

MDR ersetzt keinen IT-Notfallplan, sondern ergänzt ihn. Wer bereits einen Notfallplan hat, sollte den MDR-Anbieter als festen Bestandteil der Eskalationskette dort verankern.

Was MDR nicht leisten kann

MDR erkennt und reagiert auf Angriffe – es verhindert nicht, dass ein Mitarbeiter auf einen Phishing-Link klickt, und ersetzt keine Grundhärtung der Infrastruktur. Patch-Management, Multi-Faktor-Authentifizierung und Mitarbeiter-Awareness bleiben notwendig. MDR ist die letzte Verteidigungslinie, wenn diese Maßnahmen versagen – kein Ersatz für sie.

Warum das gerade für ostdeutsche KMU relevant ist

In Sachsen und Ostdeutschland fehlt vielen kleineren und mittleren Unternehmen schlicht die Personaldecke für eine eigene 24/7-Sicherheitsüberwachung, während die Angriffsfläche durch zunehmende Digitalisierung, Homeoffice und Cloud-Nutzung stetig wächst. MDR macht ein Schutzniveau bezahlbar, das sonst nur große Unternehmen mit eigenem Security-Team erreichen – als externer, planbarer Dienst statt als weiterer interner Personalaufbau.

Sie suchen Unterstützung in Dresden? Rexoma hilft KMU dabei, Managed Detection and Response sinnvoll einzuführen – von der Auswahl der passenden Werkzeuge über die Integration in bestehende Systeme bis zur klaren Eskalationskette im Ernstfall. Melden Sie sich für eine unverbindliche Erstberatung.

FAQ: Häufige Fragen zu Managed Detection and Response

Ab welcher Unternehmensgröße lohnt sich MDR?

Es gibt keine feste Untergrenze. Entscheidend ist nicht die Mitarbeiterzahl, sondern der Wert der Daten und die Abhängigkeit von IT-Systemen. Ein Betrieb mit 15 Mitarbeitern, der sensible Kundendaten verarbeitet oder produktionskritische Systeme betreibt, profitiert oft mehr als ein größeres Unternehmen mit geringem Risiko.

Wie schnell reagiert ein MDR-Anbieter im Ernstfall?

Seriöse Anbieter definieren vertraglich festgelegte Reaktionszeiten, oft im Bereich weniger Minuten bis zur ersten Bewertung eines Alarms. Diese Service-Level sollten vor Vertragsabschluss klar geprüft werden.

Braucht man für MDR bereits ein SIEM oder EDR im Einsatz?

Nein, viele MDR-Anbieter bringen die notwendigen Sensoren und Werkzeuge selbst mit oder integrieren sie im Rahmen der Einführung. Vorhandene Systeme lassen sich in der Regel weiterverwenden.

Ist MDR mit den Anforderungen von NIS2 vereinbar?

MDR unterstützt sogar dabei, NIS2-Anforderungen an Erkennung und Reaktion auf Sicherheitsvorfälle zu erfüllen, da kontinuierliche Überwachung und dokumentierte Reaktionsprozesse zentrale Bestandteile der Richtlinie sind.

Was kostet ein Fehlalarm bei MDR?

Fehlalarme sind Teil jedes Sicherheitssystems und werden im Rahmen der laufenden Überwachung durch die Analysten gefiltert, bevor sie das Unternehmen erreichen. Das ist einer der Hauptgründe, MDR statt reiner Alarmsysteme einzusetzen: Nicht jede Auffälligkeit erfordert eine Reaktion des Unternehmens selbst.

Back to Blog

Related Posts

View All Posts »