Thought Leadership
Cyberkriminelle schlagen immer häufiger und aggressiver zu. Doch in vielen Unternehmen fehlen Security-Fachkräfte, um für angemessenen Schutz zu sorgen. Diese Sicherheitslücke lässt sich schließen, indem man Security-Aufgaben an Spezialisten auslagert. Doch dafür sind einige Voraussetzungen nötig.
102,9 Milliarden Euro – das ist der Gesamtschaden, der deutschen Unternehmen laut einer Bitkom-Studie pro Jahr durch Datendiebstahl, Spionage und Sabotage entsteht. Eine stattliche Summe, zumal zwei Drittel der Befragten in den vergangenen zwei Jahren Opfer von Cyberangriffen waren. Hacker wenden immer raffiniertere Angriffsmethoden an. Im Gegenzug werden auch Security Tools zunehmend komplexer und aufwändiger zu managen. Ein Problem für viele Unternehmen, denn IT-Security-Mitarbeiter zu finden, ist schwer. Insbesondere kleinere und mittelständische Unternehmen leiden unter dem anhaltenden Fachkräftemangel. Aktuell sind sie aber zum attraktiven Angriffsziel geworden, so eine Studie des Spezialversicherers Hiscox.
Wie gelingt es, angesichts der verschärften Situation für angemessene Sicherheit zu sorgen? Technologie ist nur ein Aspekt eines umfassenden Schutzkonzepts. Genauso wichtig sind Prozesse und Organisation sowie die Benutzer-Awareness. Nur die wenigsten Unternehmen können die umfangreichen und komplexen Security-Aufgaben heute noch im Alleingang stemmen. 79 Prozent der deutschen Firmen nehmen bereits Unterstützung von spezialisierten Dienstleistern in Anspruch, so eine Deloitte-Studie.
Was unterscheidet einen MSSP von einem klassischen Systemhaus?
Ein Managed Security Service Provider (MSSP) ermöglicht es Unternehmen, Security-Prozesse komplett oder teilweise auszulagern. Anders als ein klassisches IT-Systemhaus ist er auf Cybersecurity spezialisiert. Er verkauft nicht nur Security-Produkte und betreibt sie als Managed Service, sondern entwickelt eigenständige Ende-zu-Ende-Sicherheitslösungen, die individuell auf die Bedürfnisse des Kunden abgestimmt sind. Unternehmen können Managed Security Services entweder Cloud-basiert beziehen oder On-Premises. Im letzten Fall installiert der MSSP die Sicherheitslösung vor Ort beim Kunden, betreibt sie und bietet einen Rundum-Service. Bei der Cloud-Variante stellt er die Technologie über eine hochsichere Public Cloud zur Verfügung und übernimmt das komplette Management im Hintergrund. Beide Optionen ermöglichen es Unternehmen, ihr Schutzniveau zu erhöhen, ohne dass sie sich selbst um die technischen Details kümmern müssen.
Ein Beispiel für einen Managed Security Service ist „Secure Access“. Damit erhalten Kunden eine vollständig gemanagte, browserbasierte SSL-VPN-Lösung als Service. Diese ermöglicht es Mitarbeitern oder Lieferanten, mit unterschiedlichen Endgeräten sicher auf das Unternehmensnetzwerk zuzugreifen. Anwender müssen keinen Client installieren, sondern melden sich einfach über eine individuelle Webportal-Seite an. Ganz nach Bedarf können Kunden beliebig viele Concurrent Sessions buchen und bequem skalieren. Müssen einmal alle Mitarbeiter gleichzeitig ins Homeoffice – wie etwa während der Corona-Krise – lässt sich auf diese Weise schnell und unkompliziert eine Anbindung einrichten.
Diese Voraussetzungen sollten Unternehmen erfüllen
Um Managed Security Services erfolgreich einzubinden, muss das Unternehmen grundsätzlich Service-affin sein. Dies geht einher mit einem generellen Wandel der IT-Abteilung – weg vom vorwiegend operativen Geschäft hin zu einer eher strategischen, koordinativen Rolle. Die IT-Abteilung muss sich zum Dienstleister für die Fachabteilungen entwickeln. Denn da Technologie die Grundlage für die Digitalisierung bildet, kommt ihr eine tragende Rolle als Business Enabler zu. IT-Abteilungen, die bereits selbst über ein solches Dienstleistungsverständnis verfügen, tun sich leichter, auch externe Partner einzubinden. Erst mit deren Hilfe gewinnen sie in der Praxis die nötige Zeit, sich um Digitalisierungsprojekte und Innovationen zu kümmern.
Außerdem lassen sich Security-Prozesse nur dann erfolgreich auslagern, wenn sie bereits klar definiert sind. Rollen, Verantwortlichkeiten und Abläufe sollten festgelegt sein und Best Practices folgen. Ist dies nicht der Fall, muss man entsprechende Prozesse zunächst etablieren. Dabei kann ein MSSP bereits unterstützen, bevor er einen Bereich dann ganz oder teilweise übernimmt.
Ebenso wichtig ist ein sorgfältiges Onboarding, für das sich beide Partner Zeit nehmen sollten. Jetzt geht es darum, gegenseitige Erwartungen zu besprechen und die zu erbringenden Leistungen in Service Level Agreements zu vereinbaren. Außerdem muss eine klare Schnittstelle zwischen MSSP und der IT-Abteilung geschaffen werden. Der Dienstleister braucht einen kompetenten Ansprechpartner im Haus, mit dem er eng zusammenarbeitet und der die Brücke zu den Fachabteilungen bildet. Denn es gibt immer Aspekte, für die eine tiefere Kenntnis der internen Strukturen erforderlich ist und über die nur das Unternehmen selbst entscheiden kann. Ganz aus der Verantwortung ist die IT-Abteilung also nicht.
Fazit
Ohne externe Hilfe wird es immer schwerer, sich angemessen vor Cyberangriffen zu schützen. Die Zukunft liegt daher in Managed Security Services. Dabei empfiehlt es sich, mit einem spezialisierten Provider zusammenzuarbeiten. Er kann bereits im Vorfeld beratend unterstützen und bietet Ende-zu-Ende-Lösungen, die passgenau auf die individuellen Bedürfnisse abgestimmt sind. Voraussetzungen, um Security-Aufgaben erfolgreich auszulagern, sind Service-Affinität sowie klare Prozesse und Schnittstellen. Nur durch eine partnerschaftliche Zusammenarbeit kann umfassende Security entstehen.
