Business-IT
09.02.2016
Managed Security Services (MSS)
1. Teil: „IT-Sicherheit als Dienstleistung spart Geld“

IT-Sicherheit als Dienstleistung spart Geld

Autor:
Managed Security ServicesManaged Security ServicesManaged Security Services
Anna / Fotolia
Wer Security-Aufgaben über Managed Security Services an Provider auslagert, macht auch seine IT sicherer.
Die Verantwortlichen in der Business-IT sehen sich einer wachsenden Flut an Cyberschädlingen ausgesetzt. Die Sicherheitsexperten von Panda Security, Sophos, Check Point und anderen identifizieren bis zu 500.000 neue Bedrohungen täglich. Vor zwei Jahren waren es im Durchschnitt noch 82.000. Die schiere Zahl an Angriffsvektoren ist jedoch nur ein Aspekt, der die Absicherung von IT-Systemen zunehmend schwieriger macht. Hinzu kommen neue, immer raffiniertere Methoden, mit denen Internetverbrecher die Schutzmaßnahmen eines Unternehmens überwinden oder untertunneln.
So nutzen Cyberkriminelle vermehrt internetfähige Kleingeräte wie Router oder Settop-Boxen, um DDoS-Attacken (Distributed Denial of Service) zu verüben oder greifen mit sogenannten Advanced Persistent Threats (APT) Unternehmen ganz gezielt und auf verschiedensten Wegen an, ohne dabei Spuren zu hinterlassen (siehe dazu auch „Neue Gefahren erzwingen neue Abwehrstrategien“).

Komplexe Gefahren

Als sei dies nicht genug, müssen die Sicherheitsfachleute in den Firmen auch noch an immer neuen Fronten kämpfen. So hat beispielsweise der Trend zu Cloud-Computing eine Schatten-IT entstehen lassen, die von den Fachabteilungen an der Unternehmens-IT vorbei aufgebaut wurde. „Aus Unternehmenssicht wächst mit der Nutzung von Cloud-Services und -Applications auch das Bedrohungspotenzial“, stellt Georgios Salustros, Sales Leader Security Services IBM DACH, fest. Zudem greifen Mitarbeiter vermehrt mit mobilen Endgeräten wie Smartphones und Tablets – oft ihren privaten – auf Firmenressourcen zu. Komplett unübersichtlich wird die Sicherheitslage für die Verantwortlichen schließlich durch das Internet der Dinge und den Trend zu Industrie 4.0. „Die zunehmende echtzeitfähige Vernetzung von Menschen, Maschinen und Objekten erhöht das Angriffspotenzial enorm“, warnt Jan-Frank Müller, Solution Director Secure Information bei dem IT-Dienstleister Computacenter.
2. Teil: „Eigene Security Operation Center rechnen sich nicht“

Eigene Security Operation Center rechnen sich nicht

IT-Verantwortliche müssen also immer mehr Systeme vor immer komplexer werdenden Gefahren schützen. Entwicklungen wie Cloud-Computing, Schatten-IT in den Fachabteilungen und Bring Your Own Device (BYOD) haben zudem zur Folge, dass die Sicherheitsspezialisten in den IT-Abteilungen gar nicht mehr alle Geräte und Applikationen kennen, die sie schützen sollen. Deshalb kommt der möglichst schnellen Aufdeckung erfolgter Einbrüche immer größere Bedeutung zu.
  • 2015 gaben Unternehmen in Deutschland insgesamt rund 3,7 Milliarden Euro für IT-Sicherheit aus (6,5 Prozent mehr als 2014).2015 gaben Unternehmen in Deutschland insgesamt rund 3,7 Milliarden Euro für IT-Sicherheit aus (6,5 Prozent mehr als 2014).2015 gaben Unternehmen in Deutschland insgesamt rund 3,7 Milliarden Euro für IT-Sicherheit aus (6,5 Prozent mehr als 2014).
     
    Der deutsche Markt für IT-Sicherheit: 2015 gaben Unternehmen in Deutschland insgesamt rund 3,7 Milliarden Euro für IT-Sicherheit aus (6,5 Prozent mehr als 2014).
Dafür ist jedoch ein Team von Experten notwendig, das in einem sogenannten Security Operation Center (SOC) 24 Stunden am Tag alle Ereignisse im Firmennetz registriert und bewertet – und das im Schadensfall sofort eingreifen kann.
Für einen Mittelständler ist dies kaum zu bezahlen. „Ein eigenes SOC rechnet sich in der Regel höchstens für DAX-Unternehmen“, sagt Lars Kroll, Cyber Security Strategist bei Symantec. Selbst wenn ein Unternehmen bereit und in der Lage ist, erhebliche Summen in den Ausbau seiner IT-Sicherheitsinfrastruktur und -Mannschaft zu investieren, sind geeignete Security-Spezialisten kaum zu finden. Cisco beispielsweise schätzt in seinem Security Threat Report von 2014, dass in diesem Segment weltweit eine Million Fachleute fehlen. „Angesichts des Fachkräftemangels stehen Unternehmen vor der Herausforderung, geeignetes und spezialisiertes Security-Personal zur Absicherung ihrer Daten und Strukturen zu finden“, bekräftigt Computacenter-Manager Müller.
Es liegt also nahe, nach einer Alternative zum Eigenbetrieb zu suchen. „IT-Sicherheit ist nicht die Kernkompetenz vieler Organisationen. Es ist daher sinnvoll, diese an Dritte auszulagern“, rät Alexander Schellong, General Manager Global Cybersecurity Central & Eastern Europe, Italy and Turkey bei CSC. Das sehen viele Anwender wohl genauso, denn der Markt für Security-Services wächst kräftig.

Der Markt wächst

Dem aktuellen Information Security Forecast von Gartner zufolge wird sich der Umsatz für Security-Services von 15 Milliarden Dollar 2015 auf 27 Milliarden Dollar im Jahr 2019 fast verdoppeln. Ganz ähnlich sehen das die Analysten von Allied Market Research. Sie prognostizieren für das Jahr 2020 eine Marktgröße von knapp 30 Milliarden Dollar bei einem durchschnittlichen jährlichen Wachstum von rund 16 Prozent.
In Deutschland ist die Zunahme zwar nicht ganz so groß, aber dennoch signifikant. Der Branchenverband Bitkom etwa geht auf Basis von Prognosen des Marktforschungsunternehmens IDC für 2015 von einem Umsatzwachstum von 6,5 Prozent für Security-Software und -Services aus. Von den insgesamt 3,7 Milliarden Euro sollen über 2,9 Milliarden, und damit mehr als 78 Prozent, durch Dienstleistungen erwirtschaftet werden – im Vergleich zum Jahr zuvor bedeutet das ein Plus von fast 200 Millionen Euro.
Noch kräftiger fällt das prognostizierte Wachstum im „Security Vendor Benchmark 2015“ von Experton aus. Deren Marktforscher haben errechnet, dass der Markt für IT-Security-Lösungen und -Dienstleistungen in Deutschland 2015 im Jahresvergleich um rund 9 Prozent zulegt. Sie gehen dabei von einem Marktvolumen in Höhe von über 4 Milliarden Euro aus. Davon entfallen 1,64 Milliarden Euro auf Security-Services und 2,4 Milliarden Euro auf Security-Produkte.
3. Teil: „Managed Security Services - was genau ist das?“

Managed Security Services - was genau ist das?

Was genau ein Managed Security Service (MSS) ist, dafür gibt es keine allgemeingültige Definition. „Hinter dem Begriff können sich vielfältige Dienstleistungen verbergen“, erklärt Markus Müller, Bereichsleiter Managed Security Services, Division Operational Services, bei der secunet Security Networks AG. Die Bandbreite reiche von eher unterstützenden Dienstleistungen über Penetrationstests bis hin zur vollständigen Bereitstellung von Sicherheitsinfrastrukturen wie Firewalls oder VPN als Service, so Müller weiter. „Dazwischen werden diverse Schattierungen angeboten.“
Tatsächlich verschwimmen die Grenzen zwischen Managed Security Service und Security as a Service aus der Cloud immer mehr. Typische Cloud-Services zeichnen sich durch eine höhere Standardisierung, Selfservice und den Bezug im Abo-Modell aus. Managed Services sind dagegen in der Regel sehr viel individueller auf den Kunden zugeschnitten und werden im Rahmen von Dienstleistungs- oder Outsourcing-Verträgen abgerechnet. Alle möglichen Zwischenstufen sind denkbar und werden auch angeboten. So kann der Service-Provider beispielsweise das Management der Cloud-Applikation übernehmen oder aus verschiedenen Cloud-Services in Kombination mit seinen eigenen Dienstleistungen eine Komplettlösung generieren.
Managed-Security-Service-Provider (MSSP)
Softwarehersteller, Consulting-Unternehmen und Telekommunikations-Provider – sie alle bieten IT-Sicherheit als Dienstleistung an.
Tabelle öffnen
Viele Anbieter haben mittlerweile neben klassischen Managed Services auch Cloud-Varianten im Angebot, etwa Deutsche Telekom, IBM oder SSP Europe. Oder sie ergänzen ihr Produktportfolio mit entsprechenden Service-Varianten wie die Antivirenspezialisten AVG, Avira und F-Secure.
4. Teil: „Die wesentlichen Vorteile von MSS-Lösungen“

Die wesentlichen Vorteile von MSS-Lösungen

Ob aus der Cloud und von der Stange oder maßgeschneidert, es gibt viele gute Gründe, warum Unternehmen ihre IT-Sicherheit ganz oder teilweise fremden Händen anvertrauen sollten:
  • Besserer Schutz: Spezialisierte MSS-Provider (MSSP) haben das Wissen und die technischen Voraussetzungen, um nach dem aktuellen Stand der Technik einen bestmöglichen Schutz vor Cybergefahren zu bieten. Intern einen ähnlichen Aufwand zu betreiben ist fast unmöglich.
     
  • Schnellere Reaktion:
    • Der Umsatz mit Managed Security Services soll bis 2020 um durchschnittlich 15,8 Prozent pro Jahr auf 29,9 Mrd. Dollar wachsen.Der Umsatz mit Managed Security Services soll bis 2020 um durchschnittlich 15,8 Prozent pro Jahr auf 29,9 Mrd. Dollar wachsen.Der Umsatz mit Managed Security Services soll bis 2020 um durchschnittlich 15,8 Prozent pro Jahr auf 29,9 Mrd. Dollar wachsen.
       
      Umsatz Managed Security Services: Der Umsatz mit MMS soll bis 2020 um durchschnittlich 15,8 Prozent pro Jahr auf 29,9 Mrd. Dollar wachsen.
    MSS bieten Schutz rund um die Uhr. Je nach Service Level Agreement (SLA) liegen die Reaktions­zeiten bei wenigen Stunden oder gar Minuten. „Beim Threat Monitoring bietet BT beispielsweise an, innerhalb von 15 Minuten nach dem Auftreten einer neuen Bedrohung oder dem Erkennen eines Angriffs die zuständigen Administratoren zu benachrichtigen und ihnen Vorschläge für die Abwehr der Gefahr zu machen – und zwar zu jeder Tages- oder Nachtzeit“, verspricht Martin Stemplinger, Senior Security Consultant bei BT in Deutschland.
     
  • Bessere Wirtschaftlichkeit: „Spezialisierte Anbieter können eine größere Anzahl erfahrener Security-Spezialisten vorhalten als es für ein einzelnes Unternehmen möglich oder ökonomisch vertretbar ist. Dies führt zu einem höheren Sicherheitsniveau“, so Stemplinger weiter. „Jeder Kunde kann sich Services nach seinem Bedarf einkaufen und zahlt nur für die konsumier­ten Dienstleistungen“, ergänzt CSC-Manager Schellong. „Die Unternehmen können zum Beispiel auf Kenntnisse von Spezialisten zugreifen, die selten benötigt, aber im Ernstfall überlebenswichtig sind, wie etwa forensische Analysen“, sagt IBM-Manager Georgios Salustros.
     
  • Umfangreiches Wissen: MSS-Provider agieren oft global. Alle Ereignisse aller Kunden laufen in einer zentralen Informationsplattform zusammen, gern als GSOC (Global Security Operations Center) oder GROC (Global Risk & Operations Center) bezeichnet. Die Anbieter sind deshalb schneller und besser informiert als jedes Einzelunternehmen. Dieser Wissensvorsprung kommt den Kunden zugute. „Wird durch die Auswertung der Logdaten und die Korrelation mit Symantecs weltweiten Angriffsdaten eine Attacke identifiziert, unterstützt der zuständige Threat Analyst den Kunden auch bei der Behebung des Problems“, sagt beispielsweise Lars Kroll von Symantec.
5. Teil: „Gefahren des Outsourcings von IT-Security-Aufgaben“

Gefahren des Outsourcings von IT-Security-Aufgaben

Auch wenn das Auslagern von IT-Security-Aufgaben viele Vorteile bringt – über die Schattenseiten sollte man sich ebenfalls im Klaren sein. Schließlich gibt man sensible Informationen, wichtige Systeme, ja womöglich die komplette Infrastruktur aus der Hand. „Für Unternehmen kann es gefährlich sein, zu viel Wissen und Prozesse auszulagern und dadurch in extreme Abhängigkeit von einem Dienstleister zu geraten“, warnt Jan-Frank Müller von Computacenter. „Die Security komplett auszulagern ist daher nicht zu empfehlen.“
Müller rät zu einem „Co-Sourcing-Modell“, bei dem das Know-how im Unternehmen mitwachsen kann: „Das Erkennen eines Sicherheitsvorfalls und weitere vorgelagerte Stufen sind Aufgaben, die guten Gewissens an Security-Service-Provider vergeben werden können. Aber die weitere Verarbeitung und Analyse sollte nach wie vor intern verantwortet und gegebenenfalls von außen unterstützt werden.“ Nicht alle Experten sind jedoch dieser Meinung. Matthias Zacher, Senior Consultant beim Marktforschungsunternehmen IDC Central Europe, rät von einem hybriden Modell, also der Kombination eigener Ressourcen mit externen Services, ab: „Das kann relativ teuer werden.“ (Siehe auch Interview auf der letzten Seite dieses Beitrags)
Anbieter cloudgestützter Sicherheits-Services
Neben den klassischen Managed Services werden zunehmend Sicherheitsdienstleistungen aus der Cloud angeboten.
Tabelle öffnen

6. Teil: „Leistungskatalog für den passenden MSS-Provider“

Leistungskatalog für den passenden MSS-Provider

Das Auslagern von IT-Sicherheitsaufgaben berührt die sen­sibelsten Bereiche im Unternehmen und muss sehr sorgfältig vorbereitet werden. „Ein ausführliches Beratungsgespräch mit dem zukünftigen MSSP ist unerlässlich“, sagt secunet-Bereichsleiter Markus Müller.
Die Auswahl an Anbietern ist groß. Im Security Vendor Benchmark 2015 hat Experton 25 davon im Bereich Managed Secu­rity Services, 28 unter Security Consulting und 22 im Segment Cloud und Datacenter Security aufgelistet, die nach Ansicht der Marktforscher für den deutschen Markt besonders relevant sind.
Dazu kommen lokale Systemhäuser und Dienstleister, die häufig auch als Wiederverkäufer von Security-Services auftreten, sowie Start-ups, die mit innovativen Cloud-Produkten Speziallösungen anbieten.
„Der Markt für Security ist sehr unübersichtlich geworden. Organisationen werden es immer schwerer haben, hier eine Auswahl zu treffen und zu kontrollieren, dass sie nicht zu viel ausgeben oder auf die ‚falsche‘ Technologie setzen“, sagt CSC-Manager Schellong und empfiehlt, vor der Entscheidung externe Experten mit einer Risikoanalyse zu beauftragen, um eine unabhängige Sicht auf vorhandene Gefahren und notwendigen Maßnahmen zu erhalten.
Leistungskatalog
Vor der Beauftragung eines Managed-Security-Services-Providers müssen folgende Fragen geklärt sein:
  • Welche Systeme sind vorhanden und wie ist deren Gefährdungsstatus?
     
  • Was genau soll abgesichert werden – die gesamte IT oder nur Teilaspekte, etwa die mobilen Endgeräte?
     
  • Welche Leistungen sollen bezogen werden? Sind nur technische Dienstleistungen gefragt oder auch Consulting und strategische Unterstützung?
     
  • Wie soll der Vertrag gestaltet sein? Welche Verfügbarkeit wird benötigt? Was geschieht bei Nichterfüllung?
     
  • Wie soll der Dienstleister seine Services erbringen?
     
  • Wird er vor Ort im Unternehmen tätig, greift er remote auf Systeme zu oder handelt es sich um einen Cloud-Service, der über das Internet bezogen wird?
     
  • In welchem Umfang soll der Service-Provider die Dienste dokumentieren? Genügen wöchentliche oder monatliche Reports oder sollen lückenlose Log-Files oder gar Dashboards zur Verfügung gestellt werden, die eine Überwachung der Services in Echtzeit ermöglichen?
Tabelle öffnen
7. Teil: „Die Auswahlkriterien für MSS-Provider im Detail“

Die Auswahlkriterien für MSS-Provider im Detail

Sind die grundsätzlichen Punkte geklärt, lässt sich das Feld potenzieller Service-Partner anhand der folgenden Fragen eingrenzen:
  • Seit wann ist der MSSP tätig?
    Bei einem Unternehmen, das bereits lange erfolgreich agiert, ist die Wahrscheinlichkeit gering, dass es plötzlich vom Markt verschwindet. „Die Auslagerung an einen MSSP lohnt sich nur, wenn dies für einen längeren Zeitraum erfolgt“, sagt secunet-Manager Müller. „Der MSSP muss über viele Jahre das Sicherheitsniveau aufrechterhalten und verbessern können.“
     
  • Welche Dienstleistungen erbringt der MSSP? Ist er auf preisgünstige Standard-Services oder individuelle Kundenprojekte spezialisiert? „Ein MSSP für standardisierte Services tut sich in der Regel schwer mit individuellen Diensten“, so Müller weiter. „Ein MSSP für kundenspezifische Dienste ist üblicherweise weniger effizient bei der Erbringung von Standard-Services.“ Von großer Bedeutung sei die Fähigkeit, Prozesse des MSSP mit den Prozessen des Kunden zu integrieren, ergänzt Martin Stemplinger von BT: „Im Idealfall beginnt die Arbeit des Providers mit einer Bestandsaufnahme, die auch Bereiche außerhalb der IT einbezieht, um so die Anforderungen definieren zu können.“ Das Portfolio sollte nach Stemplingers Ansicht von standardisierten Services wie Managed Firewall oder Identity Management bis hin zu ausgefeilten Lösungen zur Abwehr von DDoS-Attacken oder dem Erkennen neuartiger Bedrohungen reichen. Neben einem stimmigen Portfolio ist die menschliche Komponente wichtig, meint Sy­man­tec-Stratege Kroll: „Ein Anbieter muss ein ausreichendes Maß an Expertise im Team haben und dies auch in Form von Assessments und Trainings mit dem Kunden teilen.“
     
  • Welche Kundenreferenzen gibt es? Hier ist darauf zu achten, dass die beim Referenzkunden erbrachten Leistungen den Services entsprechen oder zumindest ähneln, die man selbst in Anspruch nehmen will.

  • Welche Zertifizierungen hat der Dienstleister? Ein wesentliches Dokument ist das ISO/IEC 27001-Zertifikat auf der Basis von IT-Grundschutz. Es weist nach, dass die Systeme im geprüften Unternehmen die Anforderungen der ISO-Norm erfüllen und zusätzlich die Kriterien des IT-Grundschutzes eingehalten werden, wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert hat. Auch die Niederlassungen des TÜV – oft selbst Anbieter von Ma­naged Security Services – offerieren eine Reihe von Zertifikaten, die einem Provider eine sichere Infrastruktur und ein vertrauenswürdiges Management bescheinigen, so etwa die Siegel „Trusted Product“, „Trusted Site“ und „Trusted Process“ der TÜV Nord Group (www.tuvit.de) oder die Rechenzentrumszertifizierungen des TÜV Süd. Bei der Überprüfung solcher Siegel muss man jedoch genau hinschauen, sagt BT-Manager Stemplinger: „Es genügt nicht, dass ein Teil des Providers über diese Zertifizierungen verfügt, sondern es sollten konkret die MSS sein.“
     
  • Wie steht es mit Datenschutz und Datensicherheit? Bleiben personenbezogene Daten wie Log-Files in Deutschland oder wenigstens in der EU? Werden die Daten verschlüsselt? Falls ja, wo und mit welchen Algorithmen? Wer besitzt die Schlüssel? Nach dem Safe-Harbor-Urteil des EuGH gehen Unternehmen, die ihre Daten auf Basis dieses Abkommens in den USA hosten, ein hohes Risiko ein. „Es ist davon auszugehen, dass die Verarbeitung von datenschutz­relevanten Daten durch einen MSSP, der nicht explizit die Anforderungen aus dem Datenschutz erfüllt, als nicht zulässig angesehen werden wird. In keinem Fall wird es reichen, wenn ein MSSP die Compliance zu den Safe-Harbor Richtlinien lediglich erklärt“, sagt Markus Müller von secunet. Inwieweit auch MSSP betroffen sein werden, die zwar die Daten in Deutschland oder der EU verarbeiten, aber ihren Stammsitz im EU-Ausland haben, könne noch nicht abgeschätzt werden, so Müller weiter. „Es ist zu befürchten, dass diese MSSP letztendlich dem Auskunftsersuchen ihrer Behörden am Stammsitz nachgeben.“

Fazit

Ohne Sicherheits-Profis dürfte kaum noch ein Unternehmen auskommen, dazu sind die Gefahrenquellen zu komplex und die zu sichernden Infrastrukturen zu unübersichtlich geworden. Mit dem Cloud-Computing ist in den Secu­rity-Services-Markt eine enorme Dynamik und Vielfalt gekommen, die es nicht gerade einfacher macht, das richtige Angebot zu finden.
Um so wichtiger ist es, eine klare Vorstellung vom eigenen Gefährdungsgrad, den unbedingt notwendigen und den nur wünschenswerten Maßnahmen zu haben. Nur dann lässt sich bei der Suche und Beauftragung eines Managed-Security-Service-Providers ein befriedigendes Ergebnis erzielen.
Von einer Vorstellung muss man sich auf jeden Fall verabschieden: Hundertprozentige Sicherheit kann auch der beste MSSP nicht garantieren. Wer dies verspricht, handelt unseriös. Der MSSP der Wahl sollte deshalb nicht nur Abwehrmaßnahmen definieren, sondern auch klar darlegen können, was er im Fall eines erfolgten Cybereinbruchs zu tun gedenkt.
8. Teil: „„Von einem hybriden Modell rate ich ab““

„Von einem hybriden Modell rate ich ab“

mehr zum Thema

Bad News

Game macht Fake News spielerisch erkennbar

Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen. >>
Huawei Roadshow 2024

Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs

Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen. >>
Nach der Unify-Übernahme

Mitels kombinierte Portfoliostrategie

Kommunikation
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren. >>
Tools

GitLab Duo Chat mit KI-Chat-Unterstützung

Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows. >>