Warum Unternehmen auf externe Hilfe setzen sollten – Ohne Managed Security Services keine Geschäftsfähigkeit?

39 Prozent der von Unternehmen eingesetzten Sicherheitstechnologien gelten als veraltet – das besagt die 2022 erschienene Security Outcomes-Studie von Cisco [1]. Fehlende Fachkräfte und daraus resultierende Ressourcenknappheit sind zwei der Hauptgründe, warum Unternehmen das Thema IT-Security noch immer nicht umfassend angehen. Warum nicht einfach einen Managed Security Services Provider – kurz MSSP – mit an Bord holen? Damit geben Firmen die »Mammutaufgabe« IT-Security an einen externen Fachexperten ab.

Viele Firmen haben die Notwendigkeit für Sicherheitsmaßnahmen mittlerweile erkannt: In der Lünendonk-Studie 2022 »Der Markt für IT-Dienstleistungen in Deutschland« gaben 84 Prozent der befragten Digital- und IT-Verantwortlichen an, die Absicherung ihrer Unternehmensnetze vor Hackerangriffen und Datendiebstahl stärker zu priorisieren [2]. Dennoch berichten fast die Hälfte der Befragten (48 Prozent) in Deutschland von veralteter Infrastruktur. Unternehmen wissen also um die Unerlässlichkeit umfangreicher Security-Maßnahmen, dennoch haben viele noch nicht mit deren Umsetzung gestartet. Wie lässt sich dieser scheinbare Gegensatz überwinden?

Die Rolle und Notwendigkeit von Managed Security Services Provider. Um das Risiko für Angriffe möglichst gering zu halten, müssen Firmen sich präventiv um ein ausreichendes Security-Konzept kümmern. Nur so gewährleisten sie einen unterbrechungsfreien Geschäftsbetrieb mit permanenter Verfügbarkeit. Aufgrund der Menge an IT-Sicherheitsaufgaben, die Verantwortliche zusätzlich zu anderen IT-Aufgaben erfüllen müssen, reichen die personellen Ressourcen in den Firmen dazu meist nicht aus. Das Hinzuziehen externer Fachleute – eines MSSP – ist dann ratsam. Doch die Auswahl an Anbietern auf dem Markt ist groß und welcher die Anforderungen eines Unternehmens am besten erfüllen kann, nicht immer auf den ersten Blick ersichtlich.

Um einen passenden MSSP zu finden, sollten Unternehmen zunächst definieren, was er alles leisten soll. Sie müssen sich also konkret fragen: Welche Security-Services möchte ich auslagern? Brauche ich eine »Rundumbetreuung« oder »nur« regelmäßige Security Assessments? Es ist empfehlenswert, folgende Kriterien bei der Auswahl zu berücksichtigen:

  • Verständnis für das (individuelle) Business: Der MSSP muss verstehen, was die wichtigsten, geschäftskritischen Business-Prozesse des Kunden sind und dessen Geschäftsziele kennen. Da jedes Unternehmen unterschiedlich ist, muss der Anbieter die Geschäftsprozesse beim Kunden individuell prüfen. Auf diese Weise erfährt er, an welchen Stellen er nachschärfen muss, kann passgenaue, anforderungsspezifische Lösungen anbieten und mit einem durchdachten Konzept für eine umfassende IT-Security sorgen. Nur so kann er Ausfällen vorbeugen und im Ernstfall bestmöglich reagieren.
  • Technologische Kompetenz: Möchte der Kunde Prozesse in die Hände Dritter legen, muss er sich sicher sein, dass der MSSP diese beherrscht und über eine weitreichende Security-Kompetenz verfügt. Darüber hinaus sollte er ein sehr breites Allgemeinwissen im IT-Markt haben, alle gängigen Hersteller einordnen und gleichzeitig herstellerneutral beraten können.
  • Genau hinschauen: Es gibt kaum ein IT-Systemhaus, das in der Tiefe sämtliche, für Security relevante Themen, »abfrühstücken« kann. Ein vertrauenswürdiger MSSP weiß, welche Dienstleistungen er erbringen kann und welche nicht. Das kommuniziert er auch seinen Kunden transparent.
  • Hinter den Kulissen: Indem Unternehmen den potenziellen Anbieter nach Referenzen und Kundenstimmen fragen, können sie sich vergewissern, wie viel Kompetenz und Erfahrung dieser wirklich in den Bereichen ganzheitliche IT-Security und Managed Security Services hat. Denn als »Versuchskaninchen« will wohl – gerade im Bereich Security – keine Firma herhalten.
  • Flexibilität im Fokus: Unternehmen entwickeln sich ständig weiter – damit das auch wirklich gelingt, ist der richtige Partner an Bord unerlässlich. Der MSSP muss also über einen längeren Zeitraum flexibel wechselnde Anforderungen erfüllen und dazu beraten können. Zudem sollte er an einer langfristigen Security-Strategie interessiert sein.
  • Eine weitere Herausforderung für den MSSP: Jedes Unternehmen hat meist schon ein heterogenes Konzept für IT-Security mit verschiedenen, oft nicht kompatiblen, Lösungen. Der MSSP startet also nicht auf einer grünen Wiese, sondern muss sich zunächst einen Überblick über vorhandene Prozesse verschaffen.

»Social Engineering« nicht außer Acht lassen. Laut BSI nutzt »der Täter den ›Faktor Mensch‹ als vermeintlich schwächstes Glied der Sicherheitskette aus, um seine kriminelle Absicht zu verwirklichen« [3]. Das heißt »vereinfacht«: Die technische Absicherung allein reicht nicht aus. Mindestens genauso wichtig sind die Nutzer der Technologien, Stichwort »Social Engineering«. Daher ist es auch Aufgabe des MSSP, regelmäßig Security-Awareness-Trainings beim Kunden durchzuführen, um eine größere Sichtbarkeit für das Thema zu schaffen. Auch das Definieren von Zuständigkeiten beziehungsweise Verantwortlichkeiten ist essenziell – Mitarbeiter sollten wissen, an wen sie sich im Falle eines Angriffs oder bei Verdacht auf einen solchen wenden.

Security nicht auf die leichte Schulter nehmen. Es ist längst Zeit, dass Unternehmen sich um ein ausreichendes Gesamtsicherheitskonzept kümmern. So schließen sie mögliche Einfallstore frühzeitig und stellen sich (präventiv) geschäftssicher auf. Der Digitalisierungsverbund Innovation Alliance unterstützt Unternehmen von der Ist-Analyse und Beratung über die Implementierung bis hin zu begleitenden Managed Security Services.

 


Sebastian Pütz,
Business Development Manager Dyn. Enterprise,
Pan Dacom Networking AG

 

 

[1] https://www.cisco.com/c/dam/global/de_de/
products/collateral/security/security-outcomes-study-2-de.pdf

[2] https://www.luenendonk.de/produkte/studien-publikationen/
luenendonk-studie-2022-der-markt-fuer-it-dienstleistungen-in-deutschland-it/

[3] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/
Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html

 

Illustration: © rudall30/shutterstock.com