Es liegt daher nahe, sich diese Aufgaben vom Hals zu schaffen und einen spezialisierten Dienstleister, in diesem Fall einen Managed Security Service Provider (MSSP) damit zu beauftragen. Diese erleben seit Monaten einen regelrechten Boom, da sie es den Sicherheitsverantwortlichen erleichtern, sich gegen ständig steigende Bedrohungen zur Wehr zu setzen und zudem sogar Kosteneinsparungen ermöglichten. MSSPs stellen Expertenwissen zur Verfügung, das sich viele IT-Abteilungen aus Mangel an Ressourcen nicht leisten könnten.

Die Marktuntersuchung »Managing Security in the Digital Era« von Unternehmen mit über 500 Mitarbeitern des Analystenhauses Pierre Audoin Consultants (PAC) zusammen mit Computacenter bestätigt den Trend: Auch in Deutschland setzen immer mehr Unternehmen auf Managed Security Service Provider, um der zunehmenden Cyberkriminalität und den stetig steigenden Sicherheitsrisiken im Rahmen der Digitalisierung zu begegnen, aber auch um die Compliance-Anforderungen durch die kommende EU-Datenschutzgrundverordnung zu erfüllen. Hauptursachen für die Sicherheitsbedenken vieler Unternehmen sind Cloud, Mobility und das Internet of Things. Rund die Hälfte der befragten Unternehmensvertreter sieht die unterschiedlichen Ausprägungen der digitalen Transformation als hauptsächliche Bedrohung an. Bereits zwei Drittel der von PAC befragten Unternehmen arbeiten mit Managed Security Services Providern zusammen, weitere 24 Prozent wollen dies in Zukunft tun. Dabei bleiben die Investitionen in Managed Security Services konstant oder steigen leicht: 92 Prozent der Teilnehmer gaben an, dass sie weiterhin genauso viel oder mehr investieren wollen.

MANAGED SECURITY SPART KOSTEN

Für 69 Prozent aller Befragten der PAC-Studie sind Kosteneinsparungen und eine höhere Effizienz beim Thema IT-Sicherheit die wichtigsten Ziele der Nutzung von Managed Security Services. 31 Prozent der Umfrageteilnehmer planen, ihre interne IT-Sicherheitsexpertise auszubauen, um sich besser gegen neue Bedrohungen und Angriffsmethoden aufzustellen.

»Unternehmen stehen mehr denn je unter Druck, ihre IT-Security gut aufzustellen. Der kluge Einsatz eines Managed Security Service Providers kann hierbei einen wichtigen Beitrag leisten«, beurteilt Jan Müller, Director Security Services bei Computacenter, die aktuelle Marktsituation. »Die Umfrage zeigt, dass sich Unternehmen aber nur ungern vollständig auf einen MSSP verlassen wollen – und das ist auch richtig so. Um sich gegen die zunehmenden Sicherheitsrisiken gut zu schützen, ist der Auf- und Ausbau der eigenen Expertise in Kombination mit dem Einsatz eines erfahrenen und flexiblen MSSP eine sinnvolle Strategie.«

Noch vor ein paar Jahren wäre es schwer vorstellbar gewesen, dass Unternehmen freiwillig die Kontrolle über ihre Daten und deren Schutz aus der Hand geben. Für viele Unternehmen erscheint es aber weniger risikoreich, die IT-Security in die Hände von Dritten zu legen, als sich selbst mit der täglich wachsenden Bedrohungslage auseinanderzusetzen. MSSPs sind IT-Security-Spezialisten, die die Kapazitäten haben, um schnell auf größere Vorfälle reagieren zu können. Wenn ein Unternehmen groß genug ist, um seine eigene IT-Abteilung mit den gleichen Fähigkeiten aufzubauen, wird es das tun. Für kleine oder mittlere Unternehmen ist ein Managed Security Service Provider wahrscheinlich die bessere Wahl.

Auch die Studie »2017 Security Pressures Report« von Trustwave zeigt die Akzeptanz von Managed Security Services Providern: 31 Prozent der Teilnehmer haben demnach einen MSSP als Partner, und 26 Prozent der Befragten setzen auf einen Mix aus Inhouse und MSSP. Das deckt sich in etwa mit den Ergebnissen der PAC-Studie. Die Zahl der Unternehmen, die über eine zukünftige MSSP-Partnerschaft nachdenken, beträgt beachtliche 43 Prozent.

ENTSCHEIDUNGSKRITERIEN

Bei der Entscheidung über ein Outsourcing der IT-Sicherheit sind insbesondere drei Aspekte von Bedeutung: Das Unternehmen sollte zunächst herausfinden, ob Security Services von einem externen Dienstleister mit höherer Kompetenz und unter geringerem Kostenaufwand realisiert werden können, als das intern der Fall ist. Der Managed Security Services Provider sollte mit der internen IT und den Security-Teams zusammenarbeiten und nicht nur Zulieferer von IT-Sicherheitsservices im Hintergrund agieren. Der Provider sollte die Business-Risiken verstehen und entsprechende Prioritäten setzen können.

Das wichtigste Element ist Vertrauen. Es braucht eine Menge Vertrauen und Überzeugungsarbeit, um auf das MSSP-Modell zu wechseln. Aber wie der Boom in diesem Bereich zeigt: Diejenigen Unternehmen, die eine Partnerschaft mit Managed Security Services Providern eingehen, sind begeistert. In der PAC-Studie äußern sich über 70 Prozent sehr zufrieden mit ihrem derzeitigen MSSP. Darüber hinaus hinterlässt der Fachkräftemangel auch in diesem Bereich Spuren. Fachkräfte im Bereich IT-Sicherheit sind oft schwer zu finden, schwer zu halten und schwer zufriedenzustellen.

Insbesondere viele kleine Unternehmen haben oft ein mangelndes Sicherheitsbewusstsein und unzureichende Datensicherungskonzepte. Sie denken, dass sie für mögliche Hackerangriffe viel zu klein und zu uninteressant sind. Eine G-Data-Umfrage zu IT-Security im Mittelstand liefert entsprechende Zahlen: Bei der Mehrzahl der Unternehmen ist immerhin das Bewusstsein vorhanden, im Visier von Cyberkriminellen zu stehen. Doch 37,5 Prozent halten sich für kein attraktives Ziel; bei den kleinen Unternehmen mit weniger als 100 Mitarbeitern sind es sogar 47,1 Prozent. Sie sind der Ansicht, sie seien zu klein oder zu wenig bekannt, machten zu wenig Umsatz, hätten keine wichtigen Daten oder würden in einem nicht sonderlich spannenden Geschäftsfeld agieren, um bei Angreifern auf Interesse zu stoßen.

Das macht die IT-Sicherheit häufig zu einem rein technischen Thema, fernab der eigenen Verantwortung. Natürlich sollten Geschäftsleitung und IT-Verantwortliche genau abwägen, ob der Einsatz eines MSSPs für die Sicherheit ihres Unternehmens sinnvoll und machbar ist. Unternehmen des öffentlichen Sektors steht dieser Weg oft wegen rechtlicher Bestimmungen nicht offen. Zudem mag der ein oder andere Geschäftsführer Bedenken haben, die sicherheitsrelevanten Daten und Ressourcen seines Unternehmens außer Haus zu geben. Die Wahl eines vertrauenswürdigen Partners ist also ein entscheidender Schritt hin zur Managed Security.

VERNACHLÄSSIGTE BACKUPS

Oftmals vernachlässigt und etwas stiefmütterlich behandelt wird in vielen Unternehmen das Thema Backups, obwohl diese entscheidenden Teile des Sicherheitskonzepts und in vielen Fällen sogar gesetzlich vorgeschrieben sind. Unternehmen, die auch hier auf externe Sicherheitsdienstleister zurückgreifen, sparen Kosten für die Storage-Hardware und die Daten werden sicher ausgelagert.

Ein weiterer Aspekt: Auch im Bereich der IT-Sicherheit ist Automatisierung unabdingbar. Das belegte auch jüngst eine Studie von Autotask. Demnach verschwenden Service Provider jede Woche rund zehn Stunden mit manuellen Prozessen, die leicht automatisiert werden könnten. Dazu steigt die Zahl der zu verwaltenden Endpoints rapide an. In der Studie gaben 63 Prozent an, dass die Zahl der Endpoints, die sie verwalten, um bis zu 50 Prozent zugenommen hat.

GUTE ARGUMENTE

Selbst wenn ein Unternehmen sich im Bereich IT-Sicherheit personell verstärken will, ist es heute fast unmöglich, IT-Sicherheitsspezialisten zu finden. Viele Unternehmen haben deshalb gar keine andere Möglichkeit, als das Thema IT-Sicherheit an einen externen MSSP abzugeben. Trustwave erklärt in einer Studie, warum sich die Auslagerung der IT-Sicherheit für jedes Unternehmen lohnen kann.

• · Schutz vor ausgefeilten Bedrohungen

Unternehmen, die von Attacken professioneller Angreifer betroffen sind, verfügen eher selten über hoch spezialisierte Fachkräfte, die über solche Bedrohungen Bescheid wissen, sie rechtzeitig erkennen und am besten vor einem Angriff die richtigen Schutzmaßnahmen ergreifen können. MSSPs beschäftigen viele derartige Fachkräfte, die zudem stets auf dem neuesten Stand der Technik sind. Sie können den Unternehmen helfen, ihre IT-Infrastruktur sowohl vor internen als auch vor externen Bedrohungen zu schützen.

• · Sicherheitslösungen richtig einsetzen

Gerade bei einem schmalen Sicherheitsbudget kommt es immer wieder vor, dass aufwendige und komplexe Sicherheitslösungen zwar gekauft werden, dann aber nicht oder zumindest nicht sachgerecht zum Einsatz kommen, weil das nötige Know-how und die Zeit zur Einarbeitung fehlen oder weil die Bedienung zu komplex und unübersichtlich ist. Bei einem MSSP sind diese Systeme einsatzfertig implementiert. Seine Spezialisten bereiten die Ergebnisse zudem so auf, dass die IT-Verantwortlichen genau wissen, wie es um die Sicherheit des eigenen Netzwerks bestellt ist.

• · Routineaufgaben automatisieren

Routineaufgaben werden über Standorte hinweg automatisiert. Schon wenn die Unternehmens-IT nur eine zusätzliche Außenstelle zu betreuen hat, wird die IT-Mannschaft häufig mit dem Problem konfrontiert, dass viele der grundlegenden Sicherheitsaufgaben an jedem Standort händisch oder direkt vor Ort ausgeführt werden müssen. Setzt das Unternehmen auf einen MSSP, kann dessen Security Operations Center (SOC) dabei helfen, solche Routinetätigkeiten standortübergreifend zu automatisieren.

• · Budget schonen

Zwar haben auch KMUs in den vergangenen Jahren ihre Ausgaben für die Sicherheit gesteigert, trotzdem reicht das Budget häufig nicht aus. Die schiere Anzahl der Bedrohungen steigt täglich und es wird für die IT-Verantwortlichen schon deshalb immer schwieriger, einzuschätzen, wie viele Mittel für die Sicherheit zur Verfügung gestellt werden müssen. Diese Sorgen kann die Zusammenarbeit mit einem MSSP lindern: Kosten werden per Vertrag fest kalkuliert und ein Teil der weiteren typischen Sicherheitskosten, beispielsweise für neue Sicherheitshard- und -software oder Mitarbeiterschulungen, fällt dann gar nicht oder in deutlich geringerem Maß an.

• · Mehr Zeit für IT-Projekte

Viele IT-Abteilungen oder IT-Einzelkämpfer in kleinen Unternehmen verbringen einen Großteil ihrer Zeit damit, das Unternehmensnetzwerk und die Systeme der Nutzer gegen Attacken abzusichern oder entstandene Schäden zu beheben. Werden die Sicherheitsaufgaben einem MSSP übertragen, dann hat das IT-Team wieder mehr Zeit, sich um andere Projekte zu kümmern, die zuvor unerledigt bleiben mussten. MSSPs brauchen zudem aufgrund ihres Know-hows auch deutlich weniger Zeit, um die IT-Infrastruktur abzusichern.

von Andreas Dumont / Quelle: CRN-Extra