Thought Leadership
In Zeiten des zunehmenden digitalen Datendiebstahls werden „Managed Security Services“ für Unternehmen immer wichtiger. Über die Vorteile von MSS sprach Information Security Manager Patrick Andreas (Foto), TAROX, mit it management-Herausgeber Ulrich Parthier.
Der IT-Sicherheitsaspekt sollte mittlerweile für jedes Unternehmen im Vordergrund stehen und auch in der Chefetage verankert sein. Wie sieht die Realität aus?
Patrick Andreas: Leider ist dieses Thema noch nicht wirklich in der Gesch.ftsführung oder beim Vorstand angesiedelt, sondern nach wie vor hauptsächlich in den IT-Abteilungen verankert. Wenn man aber bedenkt, wie sehr Verfügbarkeit und Vertraulichkeit auch von der IT-Sicherheit abhängt, sollte eine Aufwertung nicht länger herausgezögert werden. Für mich gehört IT-Sicherheit auf jeden Fall zur Chefsache erklärt, denn der ganzheitliche Ansatz von Informationssicherheit sollte in den oberen Etagen angesiedelt sein und dort auch mit Nachdruck verfolgt werden.
Warum genau sollte der ganzheitliche Ansatz auf keinen Fall fehlen?
Patrick Andreas: IT-Systeme unterstützen in jedem Unternehmen fast alle Geschäftsprozesse, die zur Produktivität und zur Wertschöpfung beitragen – also gehören sie bestmöglich abgesichert. Firewalls und Antivirenprogramme reichen schon lange nicht mehr aus, um die IT-Infrastruktur zu schützen, deshalb können nur ganzheitliche Lösungen einen wirklichen Schutz darstellen.
In den vergangenen Jahren wurde der deutsche Mittelstand vermehrt Ziel von Cyberkriminellen. Wie hat sich die Lage geändert und welche Probleme ergeben sich daraus?
Patrick Andreas: Die deutsche Wirtschaft wächst und gerade der Mittelstand gilt als stark wachsend. Dadurch rücken besonders kleine und mittlere Unternehmen (KMUs), unabhängig ihrer Firmengröße, in den Fokus von Cyberkriminellen. Deren Angriffe werden immer professioneller und längst nicht mehr nur von Einzelpersonen oder Organisationen gesteuert. Gezielte Angriffe, fachlich Advanced Persistent Threats (APT) genannt, erfolgen immer wieder in Wellen und sind im Prinzip mit gezielter Spionage gleichzusetzen. Besonders in KMUs werden elementare Werte, wie Kundendaten, Patente, Musterdesigns, Businesspläne oder Forschungsergebnisse, wenig oder auf einfachste Art und Weise geschützt. Somit sind diese Daten leichte Beute, können aber enormen finanziellen Schaden und/ oder Reputationsverlust verursachen.
Seine Daten und Werte richtig zu schützen, ist natürlich auch eine Kostenfrage. Für viele Unternehmen wäre es daher eine kostengünstige Option, die IT-Sicherheit auszulagern – zum Beispiel mit Managed Security Services (MSS)?
Patrick Andreas: Ja, das wäre eine Alternative. MSS bringen vor allem Kostenvorteile mit sich. Sie umfassen alle Dienste, mit denen die IT-Sicherheit im Unternehmen sichergestellt wird. Dazu gehören die ununterbrochene Überwachung der Netzsicherheit, das Erkennen und Managen von Schwachstellen, Schutz vor Angriffen durch Hacker, das Verhindern von Spam, das Management von Intrusion Detection Systems (IDS), Sicherheitstests verschiedener Sicherheitskomponenten wie Firewalls, Aktualisierungen der Sicherheits- und Anti-Viren-Software und weitere sicherheitsrelevante
Wie funktioniert das und welche Vorteile ergeben sich durch MSS noch?
Patrick Andreas: Mit Managed Security Services werden Dienste, mit denen die Netzwerksicherheit von Unternehmen und Organisationen verwaltet und sichergestellt werden, auf Spezialprovider ausgelagert. Diese Dienste könnten auch von Unternehmensmitarbeitern bereitgestellt werden, was allerdings häufig auf Grund der fehlenden oder mangelnden Spezialisierung eine Überforderung darstellt. Entsprechende Provider, die Unternehmensnetze überwachen, Sicherheitslücken aufspüren und beheben, werden Managed Security Service Provider (MSSP) genannt. Somit liegt die IT-Sicherheit in den Händen von Profis. Und: Neben dem Kostenaspekt können MSS auch helfen rechtliche Probleme zu reduzieren, da sie sich auch um das Backup und das Überwachen von Netzwerken kümmern.
Tarox bietet einen Gesundheitscheck der IT-Umgebung an. Wie sieht der aus?
Patrick Andreas: Kein Unternehmen kann es sich heute leisten, Sicherheit und Verfügbarkeit von Firmendaten zu gefährden. Deshalb sollte man nachhaltig in seine IT-Sicherheit investieren und ein ganzheitliches Konzept haben. Mit dem Security Quick Check bietet Tarox einen schnellen und transparenten Überblick über die Ausgangslage. In einem Security Audit überprüfen unsere Experten die Sicherheitsprozesse, erfassen einzelne Aspekte noch detaillierter und planen entsprechende Maßnahmen. In einem dritten Schritt bieten wir innerhalb des Informationssicherheitsmanagements (ISMS) nach ISO 27001 Konzepte für Sicherheitskomponenten und -prozesse. Denn ein zertifiziertes ISMS ist die Grundlage, um Sicherheitsrisiken zu identifizieren und zu beherrschen.
Bild: Der Gesundheitscheck für die IT-Umgebung.
Wo liegen für Ihre Systemhauspartner im Bereich Security aktuelle Herausforderungen und Probleme?
Patrick Andreas: Laut Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) können „im industriellen Umfeld“ insbesondere „Angriffe auf IT-Büronetze“ deutliche „Auswirkungen auf Steuerung und Fertigung“ haben. Die Frage nach den wirtschaftlichen Schäden beschäftigt daher vermehrt das Management – wo wir auch wieder bei der Ausgangsfrage wären.
Es ist so, dass unsere Systemhauspartner Kompetenzen auf- und ausbauen müssen. Die IT-Sicherheit ist ein sehr komplexes Thema, das nur von echten Experten konzipiert, konfiguriert und überwacht werden kann. Systemhäuser, die dies nicht selbst sicherstellen können, sollten sich daher schnellstens externe Kompetenzen zur Seite stellen. Besonders in Zeiten von mobilem Arbeiten und sozialen Netzwerken steigen einerseits die Gefahren, andererseits wächst der Anspruch an die Informationssicherheit und die soll letztendlich einen Schutz über 24 Stunden an sieben Tagen in der Woche über das ganze Jahr garantieren.
Herr Andreas, wir danken Ihnen für das Gespräch.
