Managed Security Services
Lieber gleich zum Spezialisten
Die Bedrohungslage durch Cyberangriffe steigt. Gerade kleine und mittelständische Betriebe haben kaum noch eine Chance, sich angemessen zu schützen. Denn Fachkräfte sind rar und Security-Tools immer komplexer zu bedienen. 79 Prozent der deutschen Unternehmen arbeiten daher bereits mit spezialisierten Dienstleistern zusammen. Doch um wirklich von Managed Security Services (MSS) zu profitieren, sind einige Voraussetzungen zu erfüllen.
Cybersicherheit steht bei Unternehmen weltweit ganz oben auf der Agenda. Kein Wunder, denn das Risiko für Angriffe wächst kontinuierlich und kann gravierende Folgen haben. Laut einer Bitkom-Studie entsteht deutschen Unternehmen jährlich ein Gesamtschaden von 102,9 Milliarden Euro durch Sabotage, Datendiebstahl oder Spionage. In den vergangenen beiden Jahren waren zwei Drittel der Befragten von Vorfällen betroffen. Auch kleinere und mittelständische Unternehmen (KMU) rücken zunehmend ins Visier der Hacker, so eine Studie des Spezialversicherers Hiscox. Meist sind KMUs nicht nur schlechter geschützt und leichter anzugreifen – gerade bei den „Hidden Champions“ erbeuten Kriminelle oft lukrative Daten- und Betriebsgeheimnisse.
Unternehmen aller Größen haben es heute schwer, Security-Spezialisten zu finden. Besonders stark aber sind KMUs vom Fachkräftemangel betroffen. Das führt dazu, dass IT-Abteilungen meist knapp besetzt und ohnehin schon überlastet sind. Security ist jedoch nichts, was man schnell einmal nebenbei erledigen kann: Sie erfordert volle Aufmerksamkeit, spezialisiertes Know-how und kontinuierliche Weiterbildung. Um den immer raffinierteren Angriffsmethoden die Stirn zu bieten, werden auch Security Tools immer komplexer und dadurch aufwendiger zu managen. So ist es nur konsequent, dass die Mehrheit der deutschen Unternehmen (79 Prozent) laut einer Deloitte-Studie [3] bereits Cybersecurity-Expertise von externer Seite in Anspruch nimmt. Viele Dienstleister bieten IT-Sicherheits-Services an, auch zahlreiche klassische IT-Systemhäuser haben mittlerweile entsprechende Leistungen im Programm.
Häufig bestehen diese aus Managed Services zu ausgewählten Security-Tools. Ein „waschechter“ MSSP (Managed Security Service Provider) ist dagegen ganz auf Sicherheit spezialisiert. Statt sich auf Produkte zu fokussieren, entwickelt er Ende-zu-Ende-Lösungen, die genau auf die Bedürfnisse des Anwenderunternehmens abgestimmt sind. Dafür ermittelt er zunächst gemeinsam mit dem diesem, welche Anforderungen und Ziele es hat. Anschließend wählt er den passenden Weg aus, um diese Ziele zu erreichen. Der MSSP kann für eine Vielzahl von Anwendungsfällen auf Standarddienstleistungen zurückgreifen, die er bei Bedarf individuell anpasst – zum Beispiel Secure E-Mail, Secure Access oder Zwei-Faktor-Authentisierung. Sie lassen sich leicht ausbringen und gut skalieren. Welche Produkte dabei zum Einsatz kommen, hängt stets von den jeweiligen Kundenanforderungen und Zielen ab. Die branchenführenden und teuersten Lösungen eignen sich nicht unbedingt am besten. Vielmehr geht es darum, ein für den Anwendungsfall angemessenes Schutzniveau zu erreichen. Vielleicht braucht man dafür gar keinen Ferrari, sondern es reicht schon ein Golf.
Security-Prozesse an einen externen Dienstleister auszulagern, erfordert viel Vertrauen. Schließlich legen Unternehmen hier hochsensible Bereiche in fremde Hand. Daher sollten sie sich für die Wahl des MSSPs ausreichend Zeit nehmen und ihn auf Herz und Nieren prüfen. Wie gut ist der Provider aufgestellt? Verfügt er über ausreichend qualifizierte Mitarbeiter, und kann er tatsächlich halten, was er verspricht? Um einen guten Eindruck zu gewinnen, empfiehlt sich ein Vor-Ort-Besuch. Im Idealfall ist der MSSP jederzeit bereit, seine Kunden zu empfangen, ihre Fragen zu beantworten und ihnen zu zeigen, wie er arbeitet. Er sollte stets auditfähig sein und sich nicht erst vorbereiten müssen. Für sämtliche operativen, vertraglichen und prozessbegleitenden Rollen hat er gemäß der ITIL-Best-Practices klare Verantwortlichkeiten definiert. Ein wichtiger Anhaltspunkt ist zudem eine Zertifizierung nach ISO 27001. Damit weist der MSSP nach, dass er internationale Security-Standards erfüllt und DSGVO-konform mit Kundendaten umgeht. Indem er nicht nur seine kundenseitigen, sondern auch interne Prozesse nach ISO 27001 zertifiziert hat, manifestiert er, wie ernst er das Thema nimmt. Unternehmen, die zum Beispiel aus Compliance-Gründen keine Daten ins Ausland verlagern dürfen oder wollen, sollten außerdem darauf achten, dass der MSSP eigene Rechenzentren in Deutschland betreibt. Darüber hinaus lohnt es sich, auf Kundenreferenzen und Herstellerpartnerschaften zu achten, die die fachliche Kompetenz des Dienstleisters dokumentieren.
Managed Security Services sind kein Selbstläufer. Wer sie erfolgreich einbinden will, muss die passenden Voraussetzungen erfüllen und einige Vorbereitungen treffen. Unternehmen sollten grundsätzlich Service-affin sein und Strukturen schaffen, an die sich externe Dienstleistungen andocken lassen. Häufig ist dafür ein Umdenken nötig, denn traditionell herrscht der Gedanke vor, dass die IT-Abteilung alles selbst macht. Jetzt muss sie sich damit anfreunden, Aufgaben abzugeben. Administrative Tätigkeiten fallen dadurch häufig weg, sodass die IT-Abteilung ihre eigene Rolle neu definieren muss. Künftig ist sie ohnehin verstärkt als „Business Enabler“ gefragt und sollte sich als Dienstleister für die Fachabteilungen verstehen. Ihre Aufgabe ist es, die technischen Voraussetzungen für Innovationen und Geschäftserfolg zu schaffen. Wer dieses Dienstleistungsverständnis bereits entwickelt hat, tut sich leichter, externe Services in Anspruch zu nehmen. Denn sie entlasten die Mitarbeiter und verschaffen ihnen erst den Freiraum, den sie für ihre neue Rolle benötigen.
Es wäre falsch zu glauben, dass man MSS wie von Zauberhand über Nacht einführen kann. Zunächst einmal stellt sich die Frage, ob ein Unternehmen überhaupt schon klar definierte Security-Prozesse hat. Ist dies nicht der Fall, gilt es im ersten Schritt, sie zu etablieren. Wer ist für was verantwortlich? Wer berichtet an wen, und welche Schritte erfolgen nacheinander? Solche Fragen sind wichtig. Ein MSSP kann dabei unterstützen, Security-Prozesse auf Basis von Best Practices zu entwickeln. Erst anschließend lassen sie sich ganz oder teilweise auslagern. Zudem ist ein sorgfältiges Onboarding nötig: ein gemeinschaftlicher Prozess, bei dem die Partner die Basis für ihre künftige Zusammenarbeit schaffen. Sie besprechen gegenseitige Erwartungen und legen diese in SLAs (Service Level Agreements) fest.
Wichtig sind klare Schnittstellen zwischen MSSP und IT-Abteilung. Denn auch wenn der MSSP Security-Aufgaben selbstständig übernimmt, braucht er einen kompetenten Ansprechpartner im Haus, der die internen Prozesse genau kennt. Die IT-Abteilung übernimmt hier eine koordinative Rolle und bildet die Brücke zu den Fachabteilungen.
Es gilt das Prinzip der geteilten Verantwortung. Umfassende Security kann nur durch eine partnerschaftliche Zusammenarbeit zwischen der IT-Abteilung und dem MSSP entstehen. Denn es gibt immer Entscheidungen, die nur das Unternehmen selbst treffen kann, weil dafür tiefe Kenntnisse der eigenen Umgebung nötig sind. Am meisten profitieren Unternehmen von Managed Security Services, wenn diese passgenau auf die eigenen Bedürfnisse abgestimmt sind und dort ansetzen, wo es am wichtigsten ist. Deshalb sollten sich Unternehmen im Vorfeld darüber Klarheit verschaffen, was ihre wertvollsten Assets und Daten sind. Welche Informationen dürfen auf keinen Fall in falsche Hände gelangen oder verloren gehen? Welche Systeme müssen unbedingt funktionieren, damit man den Betrieb aufrechterhalten kann? Dies sind die Kronjuwelen, die mit höchster Priorität bestmöglich zu schützen sind. Der MSSP kann dabei helfen, dies herauszuarbeiten und mögliche Angriffsszenarien durchzuspielen. Anschließend kann er geeignete Security-Dienstleistungen vorschlagen, um ein angemessenes Schutzniveau aufzubauen.
Managed Security Services ermöglichen es Unternehmen, die Sicherheitslücke zu schließen, die durch den Fachkräftemangel entsteht. Auch kleinere und mittelständische Betriebe haben so die Chance, sich vor den immer aggressiveren Angriffen zu schützen.
Wolfgang Kurz ist CEO und Gründer von Indevis, indevis.de.
Lesen Sie mehr zum Thema
