Managed Security Services für den Mittelstand

Im Jahr 2017 ist sicherlich auch der Geschäftsführung kleiner und mittelständischer Betriebe bewusst, wie wichtig das Thema Sicherheit für das Funktionieren der IT und damit des Geschäftsbetriebs ist. Doch die Erkenntnis allein verhilft noch nicht zu einer sicheren IT. Das Management von IT-Systemen ist zeit- und kostenintensiv und benötigt entsprechend geschultes Fachpersonal. Für den Security-Bereich gilt das besonders: Sowohl die Entwicklung der Angriffstechniken wie der Abwehrmechanismen in den Betriebssystemen, Anwendungen und Geräten schreitet so rasant voran, dass nicht nur Soft- und Hardware ständig auf dem aktuellen Stand gehalten werden müssen, sondern auch die Mitarbeiter kontinuierlich dazulernen müssen.

Schon große Unternehmen mit personell und technisch eher gut ausgerüsteten IT-Abteilungen klagen, dass sich die Sicherheit der IT-Infrastruktur intern kaum mehr bewältigen lässt.

Für kleine und mittelständische Unternehmen sind diese Herausforderungen in der Regel noch ernster. Dafür gibt es viele Gründe. Nicht nur fehlendes Personal ist ein Problem, häufig lässt auch das mangelnde Know-how ihrer Mitarbeiter die IT-Verantwortlichen verzweifeln. Und selbst wenn ein Unternehmen sich im Bereich IT-Sicherheit personell verstärken möchte, ist es derzeit nur schwer möglich, gut ausgebildete und in Sicherheitsthemen erfahrene IT-Spezialisten zu finden.

Dariush Ansari, Geschäftsleiter Network Box Deutschland GmbH, weiß um die besondere Situation der KMUs: „Viele haben ein mangelndes Sicherheitsbewusstsein und unzureichende Datensicherungskonzepte. Sie denken, dass sie für mögliche Hackerangriffe viel zu klein und uninteressant sind. Das macht die IT-Sicherheit häufig zu einem rein technischen Thema, fernab der eigenen Verantwortung.“ Er plädiert deshalb dafür, dass gerade Anwender und Firmen aus dem KMU-Umfeld auf die Dienste und das Know-how eines Managed-Security-Service-Providers (MSSP) setzen sollten.

Während sich Ansaris Firma Network Box mit ihrem Portfolio stark auf den Kreis der KMU-Anwender konzen­triert, zielt das Angebot des US-amerikanischen Unternehmens Trustwave auf größere Unternehmen. Dessen Argumente für den Einsatz eines MSSPs sind aber auch für die IT-Verantwortlichen und Geschäftsführer kleinerer Betriebe interessant. Die Trustwave-Fachleute nennen vor allem fünf Gründe, die für ein solches Outsourcing sprechen:

1. Sicherer Schutz – auch bei anspruchsvollen Bedrohungen. Unternehmen, die von Attacken professioneller Angreifer betroffen sind, verfügen eher selten über hoch spezialisierte Fachkräfte, die über solche Bedrohungen Bescheid wissen, sie rechtzeitig erkennen und (am besten vor einem Angriff) die richtigen Schutzmaßnahmen ergreifen können. MSSPs beschäftigen viele derartige Fachkräfte, die zudem stets auf dem aktuellen Stand sind. Sie können den von ihnen betreuten Firmen helfen, ihre IT-Infrastruktur sowohl vor internen als auch vor externen Bedrohungen zu schützen.

2. Sicherheitslösungen, die richtig eingesetzt werden. Gerade bei einem schmalen Sicherheits-Budget kommt es immer wieder vor, dass aufwendige und sehr komplexe Sicherheitslösungen zwar gekauft werden, dann aber kaum oder nicht sachgerecht zum Einsatz kommen, da das nötige Know-how und die Zeit zur Einarbeitung fehlen oder weil die Bedienung zu komplex und unübersichtlich ist. Bei einem MSSP sind diese Systeme einsatzfertig implementiert. Seine Spezialisten bereiten die Ergebnisse zudem so auf, dass die IT-Verantwortlichen genau wissen, wie es um die Sicherheit des eigenen Netzwerks steht.

3. Routineaufgaben werden über Standorte hinweg automa­tisiert. Schon wenn die Unternehmens-IT nur eine zusätzliche Außenstelle zu betreuen hat, wird die IT-Mannschaft häufig mit dem Problem konfrontiert, dass schon viele der grundlegenden Sicherheitsaufgaben an jedem Standort händisch oder direkt vor Ort ausgeführt werden müssen. Setzt das Unternehmen auf einen MSSP, kann dessen Security Operations Center (SOC) dabei helfen, solche Routinetätigkeiten standortübergreifend zu automatisieren.

4. Einsparungen schonen das Budget. Zwar haben auch KMU-Betriebe in den letzten Jahren ihre Ausgaben für die Sicherheit gesteigert – trotzdem reicht das Budget gerade hierfür häufig nicht aus. Die schiere Anzahl der Bedrohungen steigt täglich und es wird für die IT-Verantwortlichen schon deshalb immer schwieriger, einzuschätzen, wie viele Mittel für die Sicherheit zur Verfügung gestellt werden müssen. Diese Sorgen kann die Zusammenarbeit mit einem MSSP lindern: Kosten werden per Vertrag fest kalkuliert und ein Teil der weiteren typischen Sicherheitskosten, beispielsweise für neue Sicherheits-Hard- und -Software oder Mitarbeiterschulungen, fällt dann gar nicht oder in deutlich geringerem Maß an.

5. Mehr Ressourcen für andere IT-Projekte. Viele IT-Abteilungen oder IT-Einzelkämpfer in kleinen Unternehmen verbringen einen Großteil ihrer Zeit damit, das Unternehmensnetzwerk und die Systeme der Nutzer gegen Attacken abzusichern oder entstandene Schäden zu beheben. Werden die Sicherheitsaufgaben einem MSSP übertragen, dann hat die eigene IT-Mannschaft wieder mehr Zeit, sich um andere Projekte zu kümmern, die bis dato hintanstehen mussten.

Natürlich sollten Geschäftsleitung und IT-Verantwortliche genau abwägen, ob der Einsatz eines Providers für die Sicherheitsbelange ihres Unternehmens sinnvoll und machbar ist: Unternehmen des öffentlichen Sektors können solche Möglichkeiten aufgrund verschiedener Bestimmungen oft grundsätzlich nicht nutzen. Zudem mag manch ein Geschäftsführer Bedenken haben, die sicherheitsrelevanten Daten und Ressourcen seines Unternehmens außer Haus zu geben. Die Wahl eines vertrauenswürdigen Partners ist also ein entscheidender Schritt hin zur verwalteten Sicherheit.

Bevor ein Unternehmen einen Vertrag mit einem Service-Provider abschließt, sollte der IT-Verantwortliche zunächst klären, welche Bereiche und Aufgaben dem Dienstleister überantwortet werden sollen – falls ihm nicht die Komplettverantwortung für die Sicherheit des Unternehmens übertragen werden soll. Geht es beispielsweise nur darum, Firewalls und deren Logs aus der Ferne zu überwachen, eine Aufgabe, die besonders kleinere Unternehmen häufig vor große Schwierigkeiten stellt, oder soll der Service auch Dinge wie E-Mail-Archivierung oder Schutz vor Spam und Malware umfassen?

Matthias Röhr, Lead Consultant für IT-Security bei der iT-CUBE Systems AG, rät: „Gerade kleine und mittlere Unternehmen dürfen vor der Auswahl eines Service-Providers und eines entsprechenden Leistungspakets die Anforderungsanalyse nicht außer Acht lassen. Üblicherweise sind die Budgets bei KMUs sehr begrenzt, deshalb muss klar sein, welches Sicherheitsrisiko mit welcher Security-Lösung adressiert werden soll und was diese leistet.“

Röhr gibt zu bedenken, dass in den Fällen, in denen hoch spezifische Anforderungen zu erfüllen sind, die nicht mit den regulären Angeboten der Service-Provider in Einklang zu bringen sind, Sonderlösungen maßgeschneidert werden müssen: „Hier sinkt dann die Kosteneffizienz der Dienstleister und es kann unter Umständen sinnvoll sein, die notwendigen Ressourcen zur Leistungserbringung im eigenen Unternehmen zu schaffen. Oft relativieren sich solche hoch spezifischen Anforderungen aber auch, sodass ein tragfähiger Kompromiss gefunden werden kann.“

Ortwin Wohlrab, CEO und Vorstandsvorsitzender der Netfox AG, schildert eine Erfahrung aus seiner Praxis: „Dienstleistungen eines MSS-Providers können zum Schützen von heiklen Daten dienen, aber nicht nur. Sie können auch Grundlage sein für den Ausbau des eigenen Geschäfts, wie das Beispiel eines Ingenieurbüros mit rund 30 Mitarbeitern zeigt. Um an Aufträge der öffentlichen Hand zu kommen, musste die IT- und Rechenzentrumsinfrastruktur des Büros bestimmten Auflagen genügen. Diese aus eigener Kraft zu erfüllen und die jährlich neu anstehende Zertifizierung zu überstehen, wäre ein finanzieller Kraftakt gewesen – der durch die Wahl eines MSS-Anbieters vermieden wurde.“

Vergessen und viel zu stiefmütterlich behandelt werden in diesem Zusammenhang häufig die Backups – auch sie sind ein entscheidender Teil des Sicherheitskonzepts und vielfach sogar gesetzlich vorgeschrieben. Das gilt etwa dann, wenn es sich um personenbezogene Daten handelt, zum Beispiel um Informationen über Kunden und Mitarbeiter.

Firmen, die hier auf externe Sicherheitsdienstleister setzen, können sich damit die schnell teuer werdenden Erweiterungen der Storage-Hardware sparen und – das ist besonders für kleinere Unternehmen wichtig – die Daten werden sicher ausgelagert, ohne dass der Chef die Bänder mit nach Hause nehmen muss.

Wer sich im Internet umschaut und die Selbstbeschreibungen der Provider für Managed Security liest, stellt schnell fest, dass zwar viele große und bekannte IT-Firmen entsprechende Angebote in ihrem Portfolio haben, sich diese aber häufig sowohl hinsichtlich der Preisgestaltung als auch bezüglich des Umfangs der Dienste an große beziehungsweise sehr große Unternehmen richten.

Die Analysten von Gartner haben erst im Januar 2017 einen neuen „Magic Quadrant for Managed Security Services, Worldwide“ veröffentlicht. Da sie hier den globalen Markt betrachten, kann es kaum verwundern, dass darin vornehmlich die großen IT-Dienstleister auftauchen. Interessant ist, dass in dem Quadranten der Platz für die „Visionäre“ leer bleibt. Die Analysten begründen dies unter anderem damit, dass es sich bei MSS um ein voll entwickeltes Marktsegment handele („mature market“).

Ein Merkmal eines solchen Marktes ist es laut Gartner, dass er ein grundlegendes Set von Diensten aufweist, die in den meisten Angeboten der Firmen wiederzufinden sind. Eine Einschätzung, die unsere Recherche bestätigt. Gerade bei den großen Managed-Security-Playern wie IBM, Dell und HPE trifft man im Prinzip auf die gleichen Features und Optionen.

Eine Auswahl von Managed-Security-Service-Providern unterschiedlicher Größe und Ausrichtung soll das Spektrum veranschaulichen, das zur Verfügung steht:

DXC Technology/HPE: Dass der MSSP-Markt zwar „erwachsen“, aber durchaus in Bewegung ist, zeigt die Tatsache, dass HPE den Sektor Managed Security im April dieses Jahres in das neue gegründete Unternehmen DXC Technology ausgelagert hat.

Das Angebot von DXC Technology umfasst auch Services wie „Threat and Vulnerability Management“ und „Security Risc Management“. Auf dem Portal des Unternehmens sind schon einige Seiten eingedeutscht, die meisten Informationen stehen derzeit allerdings lediglich in englischer Sprache zur Verfügung. Zwar scheint der Anbieter deutlich auf Kunden aus dem Enterprise-Bereich zu zielen, KMUs sollten auf dessen umfangreiches Angebot aber trotzdem einen ge­naueren Blick werfen, bevor sie sich für einen Provider entscheiden.

Dell SecureWorks: Auch Dell betreibt das MSS-Geschäft in einem separaten Unternehmen. Bereits 2011 hat Dell zu diesem Zweck die Firma SecureWorks übernommen (die wiederum zwei Jahre zuvor das MSS-Geschäft von Verisign aufgekauft hatte), um sie seitdem als Tochterunternehmen unter dem Namen Dell SecureWorks zu führen.

Hadi Hosn, Director Cyber Security Solutions bei Secure­Works, findet es für Unternehmen aus dem KMU-Bereich besonders wichtig, auf die Reputation des Providers zu achten, wenn es darum geht, Managed Security Services einzusetzen. Sie sollten sich, so Hosn, bei der Entscheidungsfindung fragen: „Existiert ein Team von zertifizierten, gut trainierten und proaktiv agierenden Spezialisten beim Provider? Wie sieht die Kommunikation zwischen der eigenen Firma und dem Provider auf täglicher Basis aus und genügt sie den Ansprüchen des eigenen IT-Teams? Und schließlich: Ist der Provider auch flexibel genug, wenn das eigene Geschäftsmodell in Zukunft Änderungen er­fordert?“

Insgesamt bietet SecureWorks eine sehr große Bandbreite an verwalteten Sicherheitslösungen. Sie reicht von der klassischen „Managed Firewall“ – ein Bereich, der für viele KMUs der Einstieg in diese Art Dienste ist – über spezielle Vulnerability-Management-Lösungen zur Bekämpfung von Sicherheitslücken bis hin zur Protokollverwaltung im Rahmen von Compliance-Nachweisen.

iT-CUBE Systems: Die Firma iT-CUBE Systems ist seit 1. Januar 2017 Teil der SecureLink-Gruppe. Laut Matthias Röhr, Lead Consultant für IT-Security bei iT-CUBE, versteht sich das Unternehmen als Full-Service-Provider für Informationssicherheit. Es ist in neun europäischen Ländern mit insgesamt 16 Standorten vertreten. Dabei betreibt die Gruppe fünf lokale Cyber Defense Center (CDC) und vier Network Operations Center (NOC) mit Rund-um-die-Uhr-Support an 365 Tagen. Über 625 Security-, IT-, und Netzwerkspezialisten arbeiten für das Unternehmen.

Das Leistungsportfolio von iT-CUBE Systems beinhaltet eigenen Angaben zufolge neben der Beratung auch umfassende Managed Security Services in den Bereichen „Security Operations“ und „Managed Detection and Response“ sowie Lösungen der führenden Hersteller für IT-Security und Cyber Defence.

Hinzu kommen für die Implementierung notwendige Professional Services wie „Architecture Consulting“ oder „System Implementation“. Mit der eigenen Lösung „agileSI“ kann die Firma Kunden zudem eine Möglichkeit bereitstellen, SAP-Systeme in SIEM-Systeme zu integrieren.

Network Box: Dieser Anbieter offeriert für kleine und mittelständische Unternehmen Managed Security Services auf Basis eigener Hard- und Software. Firmenchef Dariush Ansari hebt hervor, wie wichtig bei der IT-Sicherheit heutzutage eine ganzheitlichen Herangehensweise sei.

Seine Kunden können zwischen den folgenden Security-Appliances auswählen: Firewall, VPN, Intrusion Detection/Intrusion Prevention, Application Control, Anti-Malware, E-Mail Protection, Content Filtering, Data Leakage Prevention, WAF, Anti-DDoS, Infected LAN sowie Realtime Monitoring und Reporting. Über eine patentierte Push-Technologie werden nach Aussagen von Network Box Updates schnell eingespielt und alle Sicherheits-Features vollautomatisch auf dem neuesten Stand gehalten. Die Reaktionszeit von Network Box auf Kundenanfragen liegt – so Ansari – im Durchschnitt bei 12 Minuten pro Anfrage. Ein Vorteil für die Kunden ist, dass dabei jegliche Support-Aktionen kostenfrei sind.

Netfox AG: Die Aktiengesellschaft Netfox versteht sich als Systemhaus und IT-Dienstleister. Ein Schwerpunkt, so das Unternehmen, sind dabei anspruchsvolle und sicherheitskritische IT-Infrastrukturen mit Managed Security Services als sehr wichtigem Teil davon.

Die Netfox AG stellt verschiedene Dienstleistungsmodelle bereit, die individuell vereinbart werden können. Dazu gehören die „Netfox Advanced Managed Security Ser­vices“, bei denen die Systeme beim Kunden vor Ort installiert und betrieben werden. Bei den „Netfox Hosted Managed Security Services“ tritt die Firma als MSSP auf, hostet die Sicherheitskomponenten im eigenen Rechenzen­trum und überwacht sie über das „Netfox Operation Center“.

Als dritte Variante bietet Netfox unter der Bezeichnung „Partner Hosted Managed Security Services“ die Möglichkeit an, dass ein Technologie-Partnerunternehmen dem Kunden die benötigten Dienste als MSSP zur Verfügung stellt.

Netfox-CEO Ortwin Wohlrab hebt hervor, dass KMUs bei der Auswahl eines Providers inbesondere auf einschlägige Zertifizierungen achten sollten: „Wichtige Hinweise sind für den Kunden umfangreiche Zertifizierungen des Partner-Status durch den Hersteller (Gold, Silber, Platin und so weiter). Im Fall des Netzwerkausrüsters Cisco ist beispielsweise großer Schulungsaufwand aufseiten des MSS-Anbieters nötig, um die eigenen Techniker für den Umgang mit der Hard- und Software fit zu machen und spezielles Sicherheitsfachwissen zu vermitteln. Dazu kommen dann noch Sicherheitsüberprüfungen, wie sie etwa Auftraggeber der öffentlichen Hand fordern.“

Ein gereifter Markt mit erfahrenen Dienstleistern bietet Unternehmen jeder Größe die realistische Möglichkeit, die sich drastisch verschärfenden Sicherheitsherausforderungen ganz oder teilweise durch Outsourcing zu bewältigen – ohne sich finanziell zu übernehmen. Ob ein MSSP im Einzelfall die adäquate Lösung ist und welcher Anbieter am besten zum Unternehmen passt, das muss jede Firma für sich herausfinden.

---