Wenn die IT-Abteilung überlastet ist
Auslagern statt ausbezahlen
Fortsetzung des Artikels von Teil 1
IT-Sicherheit ganzheitlich angehen …
Aus diesem Grund greifen Unternehmen und Systemhäuser vermehrt auf Managed (Security) Services aus: also IT-(Security-)Dienstleistungen, die ein externer Anbieter bereitstellt und pflegt. Den sicheren Betrieb inklusive Updates verantwortet der Provider; der Kunde nutzt den Service. Das können unternehmenskritische und sicherheitsrelevante Anwendungen sein, aber auch Lösungen für Netzwerkbetrieb und -verwaltung mit Fernüberwachung, die Bereitstellung von Diensten und die Unterstützung der User. Beispiele dafür sind Firewalls, VPN-Verbindungen, Anti-Malware-Systeme, Spamfilter und Content Filtering. Mittels Managed Services profitieren Anwender von professionellen IT-Services – auch dann, wenn sie nur ein kleines Budget haben, im Tagesgeschäft oder zum tiefgreifenden Erlernen der Technologien zu wenig Zeit bleibt. Vermeintlich „einfache“ Aufgaben wie Hotfixes, Patches, Updates etc., die Routine sind, können problemlos an externe Dienstleister gegeben werden. Danach bleibt für die IT-Abteilungen der Einrichtungen mehr Zeit, Arbeitsabläufe zu implementieren. Die Mitarbeiter der IT können sich auf ihre Kernkompetenzen konzentrieren, da sich die externen IT-Experten des jeweiligen Dienstleisters die Geschäftskontinuität sichern. Seriöse MSP bieten überschaubare, transparente Kostenmodelle, mit denen Kunden zuverlässig planen können. Sollte sich herausstellen, dass bestimmte Services überflüssig sind oder auch dringend gebraucht werden, lassen sie sich flexibel abbestellen bzw. hinzubuchen. MSSPs sind somit der perfekte Mitarbeiter, denn sie sind an 365 Tagen 24/7 verfügbar und verantworten die gesamte Sicherheit. Hilfestellungen bei der Entscheidung können im Hinblick auf Sicherheitsanforderungen bestimmte Zertifikate und andere Nachweise sein. Sie belegen, dass der MSSP gewisse Anforderungen erfüllt.
Doch auch ein Managed Security Service Provider kann irgendwann an seine Grenzen geraten. Sei es allein, sobald schwierige Rechtsfragen auftauchen oder Leistungen gefordert werden, die er wiederum aus Gründen fehlendes Know-hows in dem speziellen Bereich nicht mehr zu leisten vermag. Hier können nur Spezialisten helfen. Diese muss man allerdings erstmal suchen und finden.
… aber der Architekt kann nicht alles
Mit dem Cyber Security Circle beispielsweise hat sich Anfang des Jahres eine Gemeinschaft mehrerer Sicherheitsdienstleister zusammengeschlossen. Die Idee: Das Know-how verschiedener Sicherheits- und Rechtsexperten bündeln und in Kombination mit dem jeweils beteiligten Systemhaus Sicherheitskonzepte für Geschäftskunden anbieten. Systemhäuser erhalten ein solches ganzheitliches Sicherheits¬konzept inklusive Beratung und technischer Hilfe. Es hat die Möglichkeit, sich dem Portfolio der einzelnen Partner zu bedienen und entsprechende Leistungen an seine Kunden weiterzugeben. Dabei geht es nicht nur um Hard- oder Software, sondern um die konkrete Unterstützung bei der Lösung von Security-Herausforderungen. Mit dieser Strategie soll vermittelt werden, dass das Thema IT-Security ganzheitlich angegangen werden muss und dass sich je nach Vorfall bzw. Anfrage ein Spezialist im wahrsten Sinne des Wortes darum kümmern muss.
Zur Verdeutlichung muss man sich nur den Neubau eines Gebäudes vorstellen: Hier plant der Architekt und der Bauherr verlässt sich auf dessen Expertise. Der Architekt kann aber weder selbst die Fliesen legen noch die Heizung installieren. Dazu benötigt er Spezialisten.
Ein Beispiel: Erhält ein Managed Security Service Provider eine Anfrage im Bereich Penetrationtesting kann er innerhalb des Security-Zirkels die Anfrage weiterleiten. Im Fall des Cyber Security Circles z.B. an die DigiTrace GmbH. Hier können wiederum Fragen auftauchen hinsichtlich der rechtlichen Absicherung auftreten, bei denen die Rechtsanwälte von Busekist Winter & Partner weiterhelfen können. Beispiele wie diese zeigen: Es geht stets darum Risiken zu verstehen, Schwächen zu erkennen und Vorfälle zu vermeiden. Dazu bedarf es jedoch Fachkräfte und Experten, die aus der Praxis heraus beraten und Lösungen aufzeigen können.
Fazit
Eine der größten Herausforderungen der IT-Sicherheitsbranche ist es, unter den Verantwortlichen in KMUs ein Bewusstsein zu schaffen, dass ein IT Security-Konzept nicht mit einer einzelnen Lösung oder Maßnahme ausreichend abgedeckt ist, sondern ganzheitlich betrachtet und in einen Prozess überführt werden muss. Die zunehmenden Attacken der Cyberkriminellen sollten alle Unternehmen aufrütteln, die das Thema bislang noch unterschätzt haben. Sollten – wie in den meisten Fällen – Know-how und Personal intern fehlen, gibt es Profis, in deren professionelle Hände man diese sensible Aufgabe legen kann. Statt die Ransomware-Autoren also auszubezahlen, lagern Sie das Problem lieber vorher aus.
- Auslagern statt ausbezahlen
- IT-Sicherheit ganzheitlich angehen …
- Über den Cyber Security Circle
Lesen Sie mehr zum Thema
