Sicherheitsexperten Mangelware: Auf MSPs setzen, die Lösung der Wahl?
Chief Security Officers (CSOs) kämpfen bekanntermaßen an mehreren Fronten gleichzeitig. Sie schlagen sich mit ausgefeilten Bedrohungen herum, die sich stetig weiterentwickeln, sie jonglieren mit knappen Budgets, müssen gesetzliche Vorschriften einhalten und komplexe Risiken innerhalb der Lieferketten managen. Für dieses Anspruchsprofil braucht es neben fundiertem technischem Fachwissen zudem die richtigen Soft Skills, was die Führungs- und Kommunikationskompetenz anbelangt, ebenso wie Geschäftssinn und strategisches Denken.
Solche Fachleute zu finden und an das eigene Unternehmen zu binden, zählt aktuell zu einer der größten Herausforderungen für Sicherheitsabteilungen. Angesichts begrenzter Ressourcen und einer unaufhörlich wachsenden Zahl von Aufgaben stehen viele CSOs spürbar unter Druck. Der Versuch, alle Bereiche so gut wie möglich abzudecken, führt nicht selten zu überforderten Mitarbeitern.
Viele setzen auf MSPs – die Lösung der Wahl?
Managed Service Provider (MSP) federn den vielbeschworenen Fachkräftemangel in der Cybersecurity-Branche wenigstens in Teilbereichen ab, denn sie verfügen über das nötige spezialisierte Wissen. Das ist in aller Regel sehr viel ressourcenschonender als direkt geeignete Kräften einzustellen. Allein sie zu rekrutieren ist oft langwierig und kostenintensiv, wenn man die aufgewendete Zeit, die Schulungsanforderungen und nicht zuletzt wettbewerbsfähige Gehälter berücksichtigt. Begehrte Fachkräfte zu finden ist die eine Sache. Sie langfristig an das Unternehmen zu binden, wird angesichts der Nachfrage schnell zu einer weiteren Herausforderung.
Die Cybersicherheitslandschaft entwickelt sich ständig weiter. Für die meisten Firmen ist es eine anspruchsvolle Aufgabe, ein Team mit den entsprechenden Fähigkeiten zusammenzustellen und dann konsequent in kontinuierliche Schulungen zu investieren, um alle auf dem neuesten Stand zu halten. Dazu kommen Investitionen in neue Lösungen und Tools, die vorausschauend und effizient auf moderne Cyberbedrohungen reagieren sollten. Dazu kommt die Skalierbarkeit. Wie viel Aufwand im Bereich Unternehmenssicherheit kann man realistischerweise von einem einzelnen Teammitglied erwarten? Wie kann man Urlaubs- und Krisenfälle bewältigen, und das 24 Stunden an 365 Tagen im Jahr? Eine entsprechend besetzte Abteilung aufzubauen, treibt die Kosten zwangsläufig nach oben.
Wenn CSOs mit MSPs zusammenarbeiten, haben sie nicht nur Zugriff auf einen Pool an Fachwissen, sondern auch auf eine 24×7-Überwachung, unabhängig davon, ob ein CSO oder das interne IT- und Sicherheitspersonal vor Ort sind. MSPs investieren regelmäßig in die aktuellen Tools und Technologien, einschließlich von künstlicher Intelligenz, um ihre Services möglichst umfassend zu gestalten und ihren eigenen Wettbewerbsvorteil zu wahren. Wichtig ist nicht zuletzt, dass CSOs die laufenden Kosten im Voraus kennen und die Budgets sich gut kontrollieren lassen. Serviceunterbrechungen aufgrund von Personalwechsel entfallen, und für die laufende Weiterbildung der MSP-Mitarbeiter ist gesorgt. Diese Punkte sind zumeist vertraglich festgehalten und garantiert.
Strategisches Outsourcing, maximale Wirksamkeit
Die Frage ist nicht, ob man Cybersicherheitsfunktionen überhaupt auslagern sollte. Es geht vielmehr darum, herauszufinden, welche Fähigkeiten den größten strategischen Wert haben und die besten Ergebnisse erzielen, wenn man sie in die Hände von Experten legt.
Moderne Bedrohungen nehmen wenig Rücksicht auf Geschäftszeiten. Dennoch tun sich die meisten Unternehmen schwer, die immensen Investitionen für einen 24×7-Sicherheitsbetrieb zu rechtfertigen. Man muss in die nötige Technologie investieren und qualifizierte Fachkräfte verpflichten, möglicherweise an mehreren Standorten und in unterschiedlichen Zeitzonen. MSPs stellen bereits praxiserprobte Abläufe bereit, die von den Erfahrungen mit unterschiedlichen Kunden profitieren.
Gerade in Bereichen wie dem Schwachstellenmanagement oder bei Penetrationstests kommt es bei internen Teams (trotz bester Absichten) im Laufe der Zeit zu organisatorischen blinden Flecken. Assessments durch Dritte sorgen für mehr Objektivität und eröffnen Perspektiven, die nicht von interne Vorannahmen oder parteiischen Überlegungen beeinflusst sind. MSPs sind mit diversen Angriffsvektoren vertraut. Man muss verstehen, wie Bedrohungen sich entwickeln und synchron die entsprechenden Verteidigungsmaßen umsetzen. Schwachstellen zu finden, reicht nicht.
Geeignete Kandidaten für ein Outsourcing
Die E-Mail-Kommunikation ist einer der Bereiche, die bei Cyberangriffen oft an erster Stelle stehen.
Die Raffinesse moderner E-Mail-Bedrohungen, KI-gestütztes Phishing ist dabei nur ein Beispiel, erfordert spezielles Fachwissen, das weit über die traditionellen IT-Kenntnisse hinausgeht. MSPs investieren sowohl in KI-Engines wie auch in Threat Intelligence, um die Absichten von Cyberkriminellen frühzeitig offenzulegen und zu analysieren oder abweichende Verhaltensmuster als solche zu erkennen. Die damit verbundenen Investitionen sind für Firmen intern kaum zu stemmen. Neben der Anschaffung schlagen Entwicklungskosten sowie die Wartung und Pflege zubuche.
Ein anderer kritischer Bereich ist der des Disaster Recovery, der deutlich über die reine Datensicherung hinausgeht. Für Firmen ist es überlebenswichtig, den Betrieb angesichts ausgeklügelter Angriffe aufrechtzuerhalten. MSPs bringen das technische Know-how mit und haben praktische Erfahrung bei der Wiederherstellung in unterschiedlichsten Umgebungen, einschließlich von aktuellen und abrufbereiten Disaster-Recovery-Plänen.
Herkömmliche firmeninterne Awareness Trainings stoßen schnell an ihre Grenzen und sind ressourcenintensiv. Schulungen von MSPs sind zumeist praktischer angelegt und lassen sich auf die individuellen Bedürfnisse des jeweiligen Unternehmens zuschneiden. Dazu zählen beispielsweise realistische Phishing-Simulationen und personalisierte, interaktive Schulungspfade.
Auch der große Bereich der Compliance ist ein guter Outsourcing-Kandidat. MSPs übernehmen die aufwendige Arbeit, Nachweise zu sammeln, Assessments durchzuführen und auditfähige Berichte zu erstellen. Daneben haben MSPs das Dickicht von Verordnungen und Gesetzen im Blick, damit Änderungen ein Unternehmen nicht unvorbereitet treffen.
Strategische Funktionen
Bestimmte Funktionen bilden das Fundament der unternehmerischen Identität und des jeweiligen Wettbewerbsvorteils. Diese strategischen Funktionen sollten unter interner Aufsicht verbleiben und intern verantwortet werden. Bestimmte Entscheidungen sind so grundlegend, dass sie nicht delegiert werden können, unabhängig vom verfügbaren externen Fachwissen.
Zu einer Sicherheitsstrategie gehört es, Bedrohungen abzuwehren und gleichzeitig das Unternehmenswachstum zu fördern. Nur die interne Führungsriege eines Unternehmens verfügt über das nötige Verständnis der geschäftlichen Prioritäten, der Wettbewerbsdynamik und der langfristigen Vision, um eine darauf abgestimmte Sicherheitsstrategie zu entwickeln. MSPs mögen Orientierungshilfe anbieten, die Verantwortung für die endgültigen Entscheidungen liegt beim Unternehmen selbst.
Risikotoleranz ist keine technische Spezifikation, sondern ein Attribut der Unternehmenskultur, das alle geschäftlichen Entscheidungen durchdringt. Firmen müssen selbst die volle Verantwortung für das Risikomanagement übernehmen, einschließlich der Risikobewertung Dritter und der Überprüfung von Lieferanten. Ohne eine genaue Kenntnis der Geschäftsabläufe und Prioritäten ist das nicht zu machen.
Welche Daten man als sensibel einstuft, ist ebenfalls eine geschäftskritische Entscheidung. Sie wirkt sich darauf aus, wie wettbewerbsfähig ein Unternehmen ist, welche Regeln einzuhalten sind und wie man Vertrauen aufbaut. So ein »Data Classification Framework« bildet die Grundlage für jede nachfolgende Sicherheitsentscheidung – von Zugriffskontrollen bis hin zu Prioritäten bei der Reaktion auf Sicherheitsvorfälle. MSPs können auch hier Hilfestellung leisten und Empfehlungen für die Verwaltung der Daten und den Datenschutz aussprechen. Die grundlegende Frage, welche Informationen für das Unternehmen am wichtigsten sind, kann nur von innen heraus beantwortet werden.
Die Richtlinien für das Identity und Access Management legen fest, wer wann und unter welchen Umständen auf was zugreifen kann und wie lange. Solche Entscheidungen erfordern eine genaue Kenntnis der Rollenverantwortlichkeiten, der Geschäftsprozesse und der subtilen Dynamik, die sich daraus ergibt, wie die Arbeit tatsächlich erledigt wird und wie sie demgegenüber in den Organigrammen erscheint. Die Befugnis, den Zugang festzulegen und zu regeln, sollte ebenfalls nur vergeben werden.
Zusammenfassend lässt sich sagen, dass ein CSO die Bereiche Strategie, Risikotoleranz, Datenregelungen und Zugriff weiterhin selbst verantworten sollte. Dies hilft zudem, bei der Zusammenarbeit mit einem MSP klare Grenzen zu ziehen. So gewährleistet man, dass auch Externe die Geschäftsziele des Unternehmens unterstützen und nicht rein taktisch agieren.
Rachel White, MSP Community Director, VIPRE Security Group
