Managed Security Services: IT-Outsourcing mit Sicherheit

IT-Sicherheit: Make or Buy?

Komplexe Cyberangriffe nehmen zu. Oft bleibt als Gegenmittel nur Hilfe von außen.

Keyfacts über Managed Security

  • Managed Security braucht gute Vorbereitung
  • Managed Security benötigt genauen Bedarf
  • Managed Security ist im Idealfall günstig
Zusammenfassung lesen

Die Idee war gut. Ein Mittelständler im Schwarzwald war die dauernden Sorgen wegen möglicher Cyberangriffe leid und wollte dagegenhalten. Einen externen Managed Security Service für den Schutz seiner vertraulichen Daten lehnte er aber ab. Stattdessen plante er im Alleingang ein professionell aufgestelltes Security Operation Center (SOC). 20 Spezialisten sollten dort Hackerattacken parieren: rund um die Uhr, 365 Tage im Jahr – und im kompletten Eigenbetrieb durch das Unternehmen. Das Projekt war durchdacht und durfte durchaus etwas kosten. Trotzdem scheiterte es schon im Ansatz: Der Unternehmer fand einfach nicht genug qualifiziertes Personal für sein Projekt.

Security-Experten: Gut, teuer – und selten

So wie dem Baden-Württemberger Betrieb geht es auch vielen anderen. Sie müssen erfahren, dass fähige Mitarbeiter für die komplexen Aufgaben eines SOCs kaum zu bekommen sind. Das liegt auch am Fachkräftemangel. Er blockiert sinnvolle Eigenlösungen. Und er treibt die Gehälter der Experten in die Höhe. Die Kosten können sich kleine oder mittelständische Betriebe selten leisten, Großunternehmen schon eher. Und auch Managed-Security-Service-Provider. Deren Dienste nehmen derzeit geschätzte zehn Prozent der deutschen Unternehmen in Anspruch. Dieser Anteil wird sich künftig noch stark ausweiten, weil die Bedrohungslage immer komplexer wird.

Wo sind die Kronjuwelen?

Managed-Security-Service-Anbieter nehmen ihren Auftraggebern nicht nur stark spezialisierte Aufgaben der IT-Sicherheit ab. Sie können das zudem in vielen Fällen günstiger tun als interne SOCs. Aber nur, wenn sie einen sauber zusammengestellten Anforderungskatalog bekommen. Und genau das ist der Knackpunkt, an dem es oft hapert. Für Unternehmen ohne Fachleute ist es nicht trivial, den eigenen Bedarf korrekt zu beschreiben und ihre „Kronjuwelen“ eindeutig zu identifizieren. Das können Ergebnisse aus Forschung und Entwicklung sein, Konstruktionsdaten oder Rezepte für Medikamente. Findet auf derlei schützenswerte Informationen ein erfolgreicher Cyberangriff statt, dann nimmt er schnell große Ausmaße an – bis hin zum Ruin.

10

Prozent aller Unternehmen in Deutschland vertrauen bereits auf Managed Security Service Provider

Die Kernfragen zur Vorbereitung sind also: Was will ich vor kriminellem Zugriff bewahren? Wo bin ich da gut aufgestellt, wo nicht? Nur die richtigen Antworten führen zu Use Cases, mit denen Fachleute für IT-Sicherheit eine individuelle Abwehrstrategie entwickeln. Grundsätzlich bieten Managed-Security-Service-Provider zwar Standardlösungen an. Die passen aber nicht für jeden Betrieb. Im Zweifel zahlen Unternehmen Geld für eine Dienstleistung, die ihren Anforderungen nicht entspricht. Deshalb lohnt sich bereits bei der Bedarfsermittlung für diese Form von IT-Outsourcing eine externe Beratung.

Managed-Security-Service-Provider: Wer ist der richtige?

Auch die Auswahl des richtigen Partners will gut überlegt sein. Wer etwa als Mittelständler zu einem global agierenden Anbieter geht, ist dort nicht automatisch gut aufgehoben. Kommt es nämlich zu gefährlichen internationalen Bedrohungslagen – Stichworte Petya oder WannaCry – dann wird sich ein Branchenriese wahrscheinlich zuerst um seine großen, relevanten Kunden kümmern. Das wäre nicht gerade das gewünschte – und bezahlte – Serviceniveau. Hilfreich bei der Suche nach einem geeigneten Managed-Security-Service-Provider können Unternehmen der gleichen Branche sein, die bereits Erfahrungen mit dem Thema gemacht haben. Ein Check der Referenzen ist ebenfalls sinnvoll. Zertifikate, etwa nach der Norm ISO 27001, sind gut, aber blindes Vertrauen verdienen sie nicht.

Das letzte Risiko bleibt

Ist ein Vertrag unterschrieben, heißt das übrigens nicht, dass der Auftraggeber damit seine Verantwortung auf den Provider überträgt. Klar muss sein: Das letzte Risiko liegt immer beim Unternehmen – inklusive der finanziellen und juristischen Folgen eines erfolgreichen Cyberangriffs. Allerdings lassen sich finanzielle Risiken durch die Aufnahme entsprechender Klauseln und Vertragsstrafen durchaus mindern. Dennoch bleibt es für alle Beteiligten wichtig, den Ernstfall im Team zu trainieren. Zum Beispiel mit Penetration Testing, das einen Hackerangriff simuliert und gegebenenfalls Schwachstellen im laufenden Betrieb offenbart.

Üben, üben, üben

Liegt ein echter Angriff vor, dann muss ein vorbereitetes Incident Management anlaufen. Und zwar schnell. Auch diese Situation sollten Unternehmen und ihr Managed-Security-Service-Provider durchspielen, weil sie unter Umständen Entscheidungen von großer Tragweite erfordern. Hier ist die Führungsebene in der Pflicht. Sie muss letztlich verantworten, ob beispielsweise der öffentliche Webauftritt heruntergefahren und die Produktion angehalten wird und ob öffentliche Mitteilungen verbreitet, Interviews gegeben sowie Kunden und Lieferanten informiert werden. Das verlangt nach vorausschauender Planung wie beispielsweise durch vorbereite Kontaktlisten. Greift aber am Ende die Teamarbeit in der Netzwerksicherheit ideal ineinander, verlieren Cyberangriffe einen großen Teil ihres Schreckens. Das überzeugte letztlich auch den Mittelständler im Schwarzwald. Er legte das SOC in die Hände eines externen Dienstleisters. Jetzt hat er eine Sorge weniger.

Mehr über Angriffserkennung, Alarmierung und Reporting bei Cyberangriffen erfahren Sie hier.

26. September 2017
Zusammengefasst

»Die Kombination aus sehr komplexen Aufgaben und einem Mangel an entsprechend qualifizierten Fachkräften führt dazu, dass Managed Security Services in vielen Unternehmen ein echtes Sorgenkind sind. «

Attacken aus dem Internet werden immer professioneller. Das wird Unternehmen aller Größen zunehmend klar. Eine Abwehrmaßnahme sind interne Security Operation Center. Doch versiertes Personal dafür ist rar und teuer. Daran scheitern Eigenlösungen oft. Ein externer Managed Security Service kann eine gute und günstige Alternative sein. Der Trend geht bereits in diese Richtung und wird sich verstärken. Ein digitales Bollwerk aus fremder Hand verlangt allerdings nach perfektem Teamwork.

Hans-Peter Fischer Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

IT-Sicherheit outsourcen: Was halten Sie von Managed Security Services?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen