Thought Leadership
Ganz abgesehen von der Technologie: Letzten Endes entscheiden personelle und finanzielle Ressourcen über den Status der Cyberabwehr. Unabhängig von der Unternehmensgröße: IT-Sicherheit ist aufwändig und ressourcenintensiv.
Für viele Organisationen gilt es daher abzuwägen, ob sie die Cybersicherheitsexpertise inhouse wirksam abbilden können oder die Leistungen besser extern anmieten. Der Blick auf den dafür notwendigen Endbetrag spiegelt aber nicht den tatsächlichen Mehrwert der Hilfe von außen.
Wirtschaftliche und politische Unsicherheiten bremsen zurzeit die Investitionsbereitschaft. Eine erhöhte Angriffsfrequenz sowie wachsende Schadenssummen sollten eigentlich Mittel freimachen. Doch aus verschiedenen Gründen investieren Verantwortliche nicht nur zu wenig, sondern oft auch falsch. Zudem wird IT-Sicherheit für viele Entscheider noch immer als Hemmnis wahrgenommen. Dabei ist sie heute ein Enabler für Geschäftsprozesse und als integraler Bestandteil der Unternehmensstrategie zu verstehen.
Tool-Overload und ungesehene Synergiepotenziale
IT-Entscheider sehen sich heute nicht mehr nur mit reinen Security-Maßnahmen konfrontiert, sondern müssen auch Risiko- und Compliance-Management in ihre Strategien integrieren. Diese drei Aufgaben fallen häufig in unterschiedliche Verantwortungsbereiche mit variierenden Budgets. In der Praxis setzen die Verantwortlichen häufig mehrere Sicherheitslösungen ein, deren Aufgaben sich überschneiden. Erhöhter Zeitaufwand für den Betrieb, höhere Lizenzkosten und ineffizientes, weil umfangreiches und mehrfaches Alarm-Management sowie eine hohe Fehleranfälligkeit sind die Folge einer solchen Lösungsgemengelage. Das führt dazu, dass Investitionen oft unkoordiniert, nicht zielgerichtet und im schlimmsten Fall sogar redundant erfolgen: Verantwortliche übersehen die Überschneidungen zwischen den drei Disziplinen und übersehen Synergiepotenziale.
Eine effektive und wirksame Cyberabwehr steht aber nicht im Verhältnis zur Anzahl der eingesetzten Tools, sondern beruht auf deren optimalem Zusammenspiel sowie Benutzerfreundlichkeit und Einfachheit.
Cybersicherheit ist ressourcenintensiv
Der operative Aufwand einer zeitgemäßen Cyberabwehr wird gerade in kleinen und mittleren Unternehmen oft unterschätzt oder vernachlässigt, da sie häufig von der Gültigkeit einer „Set-and-Forget“-Strategie ausgehen. Diese kennen die Entscheider noch von klassischen Firewalls oder Antivirus-Programmen. In Wirklichkeit ist aber eine Arbeit mit den Lösungen und eine kontinuierliche Überwachung des IT-Geschehens erforderlich, um relevante Alarme zu erkennen, einzuschätzen und schnell Gegenmaßnahmen einzuleiten. Effektiver Schutz erfordert ein 24/7-Monitoring der IT- und Netzwerkaktivitäten mit verschiedenen Tools. Dafür fehlen häufig nicht nur die Zeit, sondern auch das Wissen oder die personellen Ressourcen.
Unternehmen stehen also vor der großen Herausforderung, mit begrenzten Ressourcen sinnvoll und effizient eine IT-Sicherheit abzubilden. Erster Schritt zur Lösung dieser Aufgabe ist eine einheitliche Cybersicherheitsplattform. Sie liefert eine zentrale Sichtbarkeit der gesamten Angriffsfläche eines Unternehmens. Sie erfasst alle Systeme, ihre Konfigurationen, Betriebssysteme, Anwendungen sowie bekannte Schwachstellen. Dieser ganzheitliche Überblick ist die Basis, Lücken und kritische Angriffspunkte anhand von erkannten Angriffspfaden zu priorisieren.
Externe Kompetenz = Mehrwert
Eine Managed Detection and Response (MDR) – und darüber hinaus ein Managed-SOC-Service – kann extern die notwendigen Zeit- und Kompetenzressourcen erschließen. Viele Verantwortliche scheuen aber diese zusätzliche Investition, weil sie nur auf die zusätzlichen absoluten Kosten blicken. Der Blick auf die reinen Zahlen ist aber kurzsichtig und übersieht den Mehrwert externer Hilfe:
• Wirkungsgrad von MDR: Ein MDR deckt heute im Gegensatz zu früher nicht nur Client/Server-Architekturen ab, sondern umfasst die gesamte IT-Infrastruktur. Dazu zählen interne Netzwerke, Cloud-Umgebungen, Collaboration-Tools wie Office365 sowie Business-Apps wie Jira oder Confluence.
• Zusätzliche Tools und Experten: Ein externes Security Operations Center (SOC) verbindet die Expertise erfahrener Sicherheitsanalysten mit spezialisierten Tools, die Anomalien erkennen, interpretieren, bewerten und darauf reagieren. Ein SOC greift bei gezielten und komplexen Angriffen ein. SOC-Mitarbeiter müssen das IT-Geschehen kontinuierlich überwachen, Alarme bewerten, nachverfolgen, dokumentieren und bei Bedarf begründen – ein aufwändiger Prozess, der im schlimmsten Fall forensische Analysen nach sich zieht.
• Der nicht bezahlbare Blick von außen: Ein externes Managed SOC ergänzt interne Sicherheit um die Außenperspektive. Angriffe auf aktuelle Schwachstellen, bestimmte Regionen oder Branchen können interne Mitarbeiter meist nicht frühzeitig erkennen oder präventiv abwehren. Experten kennen die globale Sicherheitslage und können entscheiden, ob aktuelle Risiken für ein Unternehmen relevant werden. Dieser Return on Security Investment (ROSI) ist schwer zu beziffern, aber für Unternehmen jeder Größe offensichtlich.
Die Ressourcen für diese Mehrwerte können die wenigsten Unternehmen intern abbilden. Investitionen in ein internes SOC zum Beispiel bedeuten Lohnkosten für qualifiziertes Personal, das rund um die Uhr verfügbar sein muss – was angesichts des Fachkräftemangels hohe Kosten verursacht. Für eine 24/7-Überwachung sind mindestens fünf, in der Praxis meist acht Personen notwendig, die im Durchschnitt dann rund 80.000 Euro pro Jahr erhalten. Bei einem Durchschnittsgehalt von etwa 80.000 Euro pro Jahr entstehen so erhebliche Personalkosten. Weitere Kosten entstehen, weil Mitarbeiter zu rekrutieren, oft über mehrere Monate einzuarbeiten und dann langfristig zu binden sind. Gerade der letzte Faktor führt dazu, dass die Ausgaben tendenziell steigen, wenn ein Unternehmen die der IT-Sicherheit abträgliche Fluktuation vermeiden will. Manche Personalinvestition braucht zudem seine Zeit für den Return on Investment: Bei großen Unternehmen kann es Monate dauern, bevor ein Mitarbeiter produktiv ist. Hinzu kommen Lizenzkosten und spezialisierte Analyse-Tools, etwa Threat-Intelligence-Plattformen, die aktuelle Gefahrenfeeds liefern.
Für viele Unternehmen ist externe Sicherheitskompetenz daher oft kostengünstiger und schneller als der Aufbau eines eigenen SOC. Bedenken hinsichtlich Kontrollverlust sind bei einem seriösen Managed Security Provider, der als Partner eng mit dem Unternehmen zusammenarbeitet, unbegründet. Denn Unternehmen lagern ja keine Daten oder Applikationen aus, sondern lediglich Aufgaben. Zudem gibt es bei MDR oder bei einem SOC verschiedene Stufen des Outsourcings.
Auch kleine Unternehmen benötigen einen Mehrwert
Ein Managed Detection and Response (MDR) kann für viele eine sinnvolle Alternative sein, um eine ganzheitliche Sicherheitsarchitektur aufzubauen. Die fehlende Unternehmensgröße ist dabei kein Entscheidungsfaktor gegen eine Investitionsentscheidung. Hacker wählen ihre Ziele nach einem Kosten-Nutzen-Prinzip, das weniger von der Mitarbeiterzahl, sondern vielmehr von der Branche, der Relevanz der Daten, dem vermuteten Vermögen oder einer günstigen Gelegenheit abhängt. Im Zweifelsfall ist jedes Unternehmen einen Angriff wert.
Maßgeblich für ein eventuelles Outtasken und für dessen Umfang ist der tatsächliche Bedarf: IT-Sicherheitsverantwortliche sollten daher eine Gap-Analyse durchführen: Welche digitalen Prozesse oder Infrastruktur sind kritisch? Welche Tools und Kompetenzen sind intern vorhanden, was fehlt? Ein Penetrationstest oder Red-Teaming kann helfen, den aktuellen Sicherheitsstatus realistisch einzuschätzen und die richtige Entscheidung zu treffen.
