Managed Security Service Provider
MSSP-Guideline
Acht Hilfestellungen, worauf bei der Auswahl des passenden Sicherheitsdienstleisters zu achten ist.
❶ Detektion und Abwehr versus reine Compliance-Erfüllung
Das Ziel gibt den Weg vor: Entweder das Unternehmen will gesetzlich nur Vorschriften einhalten oder die Zahl der Angriffe tatsächlich verringern. Leider zeigt die Wirklichkeit der aktuellen Bedrohungslage, dass die Compliance in der Regel erst ex post an reale Bedrohungen angepasst wird. Wer auf die bloße Einhaltung von Vorschriften setzt, sollte daher den preisgünstigsten Anbieter auswählen. Die entgegensetzte Strategie zielt darauf ab, Risiken und Angriffe bestmöglich zu erkennen und darauf zu reagieren, wovon die gesamte Organisation profitiert. Hierfür sind höhere Kosten zu erwarten, aber zugleich auch eine wirksame Minimierung des Schadensrisikos.
❷ Gefahrenerkennung und Reaktion durch Transparenz
Eine effektive Überwachung und Erkennung von Bedrohungen ist auf eine praktikable Sicherheitstelemetrie und Transparenz angewiesen. Für einen objektiveren Überblick ist es ratsam, einen unabhängigen Experten zur Bewertung hinzuzuziehen. Eine gute Basis legt, wer darauf achtet, dass der MSSP blinde Flecken identifiziert und entfernt, um Transparenz zu schaffen und die gesetzten Ziele zu erreichen. Ein breiter Erfahrungsschatz wirkt dabei wie eine Visitenkarte. Das schließt Know-how auf verschiedenen Feldern ein – von On-Premises-Infrastrukturen über Cloud-Umgebungen und Endpoints bis hin zu Industrial Control Systems (ICS) und Operational Technology (OT). Ebenfalls bewährt es sich, wenn der Security-
Anbieter bereits Expertise für das eingesetzte System mitbringt.
❸ Budget nur für wirklichen Bedarf freimachen
Die sachliche und fachliche Eignung des Dienstleisters sollte an erster Stelle stehen, erst dann folgt die keineswegs triviale Frage nach dem Budget. Es gilt der Grundsatz: Alles ist verhandelbar, insbesondere der Vertragsumfang. Unverzichtbare Funktionen sind die Erkennung von und Reaktion auf Angriffe. Leistungen auf niedrigerer Ebene – wie die Verwaltung von Kennwortrücksetzungen, Schwachstellenmanagement oder eine IAM-Lösung – lassen sich aus dem Vertrag streichen, ohne dass die Sicherheit darunter leidet. Elementar ist jedoch, dass Transparenz hinsichtlich der Sicherheit der essenziellen Geschäftsfunktion gewahrt bleibt. Auch wenn mehrere Partner beteiligt sind, muss der Hauptanbieter jederzeit den lückenlosen Überblick über alle Prozesse haben, um schnell und wirksam gegen Angriffe vorzugehen.
❹ Inhouse versus Outsourcing
Routineaufgaben können durchaus weiterhin vom internen IT-Team übernommen werden – denn das Vorgehen ist kosteneffizient und setzt auf fundierte Unternehmensexpertise. Dennoch ist qualifiziertes IT-Personal schwer auf dem Arbeitsmarkt zu finden. Da ausgewiesene Sicherheitsexperten umfassende Kenntnisse von Endgeräten, Betriebssystemen, Cloud-Infrastrukturen und einer Vielzahl weiterer Tools und Technologien haben müssen, empfiehlt es sich, einen Dienstleister mit gut gefülltem Talentpool einzubinden.
❺ Ergebnisorientiert planen, nicht technologiefixiert
Die Entwicklung der Cybersicherheitsbranche verläuft in atemberaubender Geschwindigkeit. Eine große Gefahr dabei: Viele Unternehmen lassen sich von vollmundigen Versprechungen neuer Technologien blenden. Derweil lässt sich der erhoffte Effekt vielfach bereits durch konsequente Umsetzung grundlegender Maßnahmen erzielen. Konkret gilt es, die Transparenz und die Fähigkeit der Teams zu verbessern, Bedrohungen zu erkennen und angemessen zu reagieren, anstatt kopflos neuen Technologietrends zu folgen.
❻ Alte Technologien so lange nutzen, wie es sinnvoll ist
Brandneue Tools und Technologien entfalten nicht automatisch Mehrwert, wenngleich ein Update des Tech-Stacks im Einzelfall mitunter lohnenswert ist. Der Fokus sollte dennoch unbedingt auf den Sicherheitszielen liegen. Nicht jeder MSSP wird wohl eine SIEM- oder Cloud-Sicherheitsplattform als Mittel der Wahl einsetzen. Vor diesem Hintergrund sind Entscheider gut beraten, einen ehrlichen Dialog über die Grenzen und das Potenzial ihrer Systeme zu führen, um abzuwägen, welcher Anbieter ihnen optimale Unterstützung bietet.
❼ Angebote anhand von aussagekräftigen SLAs bewerten
Service Level Agreements (SLA) mit mangelnder Aussagekraft sind häufiger anzutreffen. Wer die Ausbreitung von Ransomware in der IT-Infrastruktur schnell erkennen und darauf reagieren möchte, sollte sich fragen, ob und inwiefern der Umfang der dem Account zugewiesenen Ressourcen von Bedeutung ist. Erkenntniswert bieten aussagekräftige Kennzahlen, die sich eindeutig messen lassen.
❽ Kompetenz als Basis für strategische Entscheidungen
Nicht selten bildet der Einkauf das Zünglein an der Waage, wenn ein Dienstleister ausgewählt wird. Dabei sollte allen klar sein: Beschaffungsabteilungen geben vielfach Kostenzielen den Vorrang vor nuancierten Unterschieden zwischen einzelnen Anbietern oder den Sicherheitszielen des Unternehmens. Daher ist es ratsam, Sicherheitsbeauftragte die endgültige Entscheidung treffen zu lassen oder sie zumindest entscheidend daran zu beteiligen. Denn sie verfügen über die erforderliche Expertise, um einzuschätzen, wie gut der Dienstleister unterstützen kann und wie sich ein Versagen der Sicherheitssysteme auf die Geschäftsziele auswirkt.
Lesen Sie mehr zum Thema
