Thought Leadership
„Security first“: Was lange Zeit nur für die IT-Abteilung galt, ist heute eine Aufgabe der Geschäftsführung. Viele Unternehmen haben erkannt, dass E-Mails, Forschungsergebnisse oder Angebote schneller bei der Konkurrenz landen, als ihnen lieb ist.
Auf der anderen Seite steht jedoch das Investment: Mittelstand, Krankenhäuser oder Kommunen können nicht in dem Umfang in Security investieren, wie es gefordert wird oder wie es internationale Hacker-Aktivitäten oder einen gezielten Angriff unterbinden könnte.
CISO-for-rent als Trusted Advisor?
In solchen Fällen ist es wichtig, vertrauenswürdige und kompetente Consultants zu finden, die nicht das nächste Großprojekt wittern, sondern eine praktikable und funktionierende Lösung für die jeweilige Herausforderung bieten. Immer mehr Firmen setzen deswegen auf eigene Mitarbeiter, die als CISO die Strategie und deren Umsetzung vorgeben sollen. Wer sich hingegen keine Vollzeitstelle leisten kann oder möchte, hat die Möglichkeit, auf die Erfahrung eines professionellen CISO-for-rent zu setzen. Er bringt bestenfalls einschlägige Projekterfahrung mit und scheut zudem auch kein aufwändiges Paperwork zu Compliance, Datenschutz oder ISO-Zertifizierungsarbeiten. Zudem hat er bei Bedarf Zugang zu technischen Spezialisten, die er gegebenenfalls um Rat fragt – ohne dafür umgehend eine Rechnung gestellt zu bekommen.
Managed-Security-Services sind eine Lösung
Wie stellt sich nun aber die Situation nach einem Sicherheitsvorfall bei einem Marktbegleiter oder im eigenen Umfeld dar, der zum Handeln zwingt? Sei es ein Angriff, ein Stromausfall oder ein ehemaliger Mitarbeiter, der für Ärger sorgt: Lösungen sind recht schnell zur Hand. Von der teuren Software-Anschaffung bis zum gesamten Outsourcing der IT ist die Bandbreite groß. Die klassische Vorgehensweise: „Viel Geld hilft viel“. Allerdings werden dabei oftmals nur punktuelle Maßnahmen ergriffen, ohne die Umgebung näher zu betrachten. Als sinnvolle – und kostengünstigere – Alternative haben sich Managed-Security-Services erwiesen, die für eine monatliche Gebühr verschiedene Aufgaben übernehmen und damit bereits einen großen Beitrag zur Unternehmenssicherheit leisten.
Die Vorteile eines MSSP sind gravierend, wenn gewisse Rahmenbedingungen stimmen. So können unter anderem schrittweise Themen wie Updates und Patches übernommen und hohe Investitionen vermieden werden. Im Notfall oder bei einfachen Fragen ist außerdem ein Ansprechpartner zur Hand, der die Infrastruktur inklusive ihrer Schwächen bereits kennt.
Zudem ergeben sich weitere Vorteile:
• Vermeidung hoher Rekrutierungs- und Personalkosten
• Nutzung der Skaleneffekte des MSSP
• Verfügbarkeit hochprofessioneller Services (24×7) bei kurzfristigem Bedarf
• Abdeckung von Vorfällen, Spitzen und Ausfällen
• Verfügbarkeit von Spezialisten für spezielle Anforderungen
• Nutzung der Markt- und Produktkenntnisse des MSSP
Doch nicht jeder MSSP kann dies leisten. Das liegt vor allem daran, dass die bekannten, großen Anbieter ihre Schwerpunkte meist auf englischsprachige Regionen legen und vor Ort sehr dünn besetzt sind. Zudem sind die Security Operation Center (SOC) oftmals in Übersee. Damit stellt sich auch die Frage nach der Überwachungsfähigkeit, des Datenschutzes und der Vertrauenswürdigkeit (Bild: Antares NetlogiX Netzwerkberatung GmbH).
Managed-Security-Services sind nicht gleich MSSP
Es ist trivial, doch ein Software-Anbieter ist selten auch ein guter MSSP. Meist setzt er eigene Lösungen und sein eigenes Rechenzentrum ein und kann somit nicht mit der objektiven Unabhängigkeit durch die perfekt passenden Reseller und Partner punkten. Zwar bieten viele renommierte Software-Hersteller globale Verträge, es gestaltet sich jedoch schwierig, nationale Partner zu gewinnen, die den geforderten Standard erfüllen. Mittelständische MSSP, die freie Software-Wahl sowie mehrere Anbieter im Portfolio haben, mehrstufig und im Interesse des Kunden arbeiten, haben es hier leichter. Ob Zeitverschiebungen, Sprachbarrieren oder das Machtverhältnis zwischen Kunde und MSSP: All dies gilt es bei der Wahl des Partners zu berücksichtigen.
Mittelständische MSSP für mittelständische Kunden
Somit ergibt sich eine Schlussfolgerung: Vielseitige mittelständische MSSP, die ein eigenes SOC aufbauen oder betreiben, bieten einen erheblichen Mehrwert für mittelständische Kunden. Sie können mit dem Anbieter mitwachsen und stufenweise flexibel Services nutzen. Oftmals wird mit Firewall Services begonnen. Dem nächsten Level nähert man sich dann über das Monitoring, das Network Access Control Management oder die Endpoint Security. Pentester und Security-Analysten, die aktiv das Unternehmen „beschützen“, sollten genauso bereitstehen wie Software-Entwickler, die die Software-Verteilung beherrschen. Damit sind sie in der Lage, das fast tägliche Patchen abzubilden und nach Schwachstellen zu stöbern. Nicht zuletzt sollten Reports generiert und dem Kunden zur Verfügung gestellt werden. Durch die Kombination aus Mittelstand und Mittelstand kann so wirklich „Security first“ gewährleistet werden.
