Sicherheit
14.03.2019
IT-Sicherheit als Dienstleistung
1. Teil: „Managed Security Services (MSS)“

Managed Security Services (MSS)

IT-SicherheitIT-SicherheitIT-Sicherheit
Bild: Shutterstock / Pasko Maksim
Die IT-Sicherheitsrisiken steigen, doch Geld und Personal für Abwehrmaßnahmen fehlen meist. Die Security-Belange in die Hände eines Managed Security Services zu legen, kann hier Abhilfe schaffen.
Die meisten Chief Information Officer und IT-Spezialisten in deutschen Unternehmen sind nicht zu beneiden. Denn sie müssen nicht nur die Digitalisierung von Geschäftsprozessen vorantreiben, gleichzeitig werden durch die Digitalisierung auch die Angriffsflächen größer. Das heißt, die IT-Abteilung muss mehr Zeit in den Schutz von Netzwerken, Applikationen und Daten investieren. Und das kostet.
Dass sich die Risiken durch Cyberangriffe deutlich erhöht haben, belegt eine Vielzahl von Studien. So stufen etwa laut „Allianz Risk Barometer 2019“ rund 44 Prozent der Fachleute für Risikomanagement in Deutschland IT-bezogene Risiken wie Hackerangriffe als Gefahr für den Geschäftsbetrieb ein. Eine Studie des Digitalverbands Bitkom zum Thema Wirtschaftsschutz ergab zudem, dass die Hälfte der deutschen Industrieunternehmen zwischen 2016 und 2018 Schäden durch IT-Angriffe erlitten haben. Die Schadenssumme taxiert der Verband auf mehr als 43 Milliarden Euro.

Experten als Mangelware

Besserung ist nicht in Sicht: „Ein Kernproblem ist der Mangel an IT-Sicherheitsexperten“, sagt Michael Cerny, Head of Security Software DACH bei IBM Security. Und das International Information System Security Certification Consortium (ISC)2 geht davon aus, dass in Europa 2022 rund 350.000 Cyber-Security-Spezialisten fehlen werden. „Hinzu kommt, dass die Angreifer für ihre Attacken mittlerweile dieselben Technologien nutzen wie die ‚Verteidiger‘, also die Security-Spezialisten von Unternehmen und Managed-Security-Services-Provider“, so Cerny weiter. „Dazu zählen beispielsweise Künstliche Intelligenz und maschinelles Lernen.“
Dass die unternehmensinternen IT-Sicherheitskonzepte an Grenzen stoßen, ist auch auf weitere Faktoren zurückzuführen. „Nicht nur die Angriffe werden komplexer, sondern auch das Angebot an Cyber-Security-Technologien“, betont Kai Grunwitz, Senior Vice President EMEA bei NTT Security. Unternehmen falle es daher immer schwerer, die Bedrohungs­lage richtig einzuschätzen, Angriffe frühzeitig zu erkennen und das erforderliche Know-how in den unterschiedlichen IT-Sicherheitsbereichen bereitzustellen, um zielgerichtet und schnell reagieren zu können.
2. Teil: „Rundum-Schutz“

Rundum-Schutz

  • Top-10-Kriterien für MSS-Provider: Know-how und Kosten sind für deutsche Unternehmen am wichtigsten.
    Quelle:
    IDC Research Service, n = 194
Nach Einschätzung von IBM setzen Unternehmen im Schnitt mehr als 80 unterschiedliche IT-Sicherheits-Tools von mehr als 40 Anbietern ein. „Solche ‚Point Solutions‘ kommen in speziellen Bereichen zum Einsatz, etwa dem Security Information and Event Management, kurz SIEM, oder dem Identity and Access Management“, erläutert Michael Cerny von IBM. Dadurch sei es schwer, mit akzeptablem finanziellem und personellem Aufwand eine ganzheitliche Sicht auf Cyberbedrohungen sicherzustellen und Angriffe abzuwehren.
Gerade diesen ganzheitlichen Ansatz lassen viele Firmen vermissen, so Holger Hartwig, Experte für Cyber-Security-Services bei der Unternehmensberatung Capgemini. Sie würden sich zu sehr auf Einzelmaßnahmen verlassen: „Das ist in etwa so, als würde man einen Türsteher damit beauftragen, die Eingangstür zu bewachen, während man nicht weiß, wie viele Fenster das Haus hat und ob diese geschlossen sind. Das ist Stückwerk.“ Sein Rat: „Mit Managed Services können Firmen mit ihrem Dienstleister den gewünschten Zielzustand definieren und die Qualität des Services über Service-Levels prüfen. Damit gibt man natürlich die Kontrolle über die operative Steuerung ab, erhält aber ein Ergebnis, das dem gewünschten Zielzustand entspricht: ein sicheres Unternehmen.“

Dienstleister - übernehmen Sie!

Vor diesem Hintergrund ist es nachvollziehbar, dass laut einer Studie der IDG Research Services mittlerweile 54 Prozent der deutschen Unternehmen auf Managed Security Services zurückgreifen. An die 40 Prozent nutzen sogar zwei oder drei Dienste. In erster Linie wollen die Nutzer mit Hilfe von externen Security-Spezialisten das IT-Sicherheitsniveau verbessern (42 Prozent). Doch auch eine höhere Rechtssicherheit und ein geringerer Aufwand beim Schutz von Daten und IT-Systemen sind wichtige Faktoren. Interessanterweise spielen Kos­ten­einsparungen durch MSS nur für rund 29 Prozent der Unternehmen eine wichtige Rolle. Dies ist ein Indiz dafür, dass Firmen allmählich die strategische Bedeutung von IT-Sicherheit erkennen.
Im ersten Schritt müssen sich Interessenten allerdings darüber klar werden, welche Art von Dienstleistung sie überhaupt wollen beziehungsweise benötigen, so Kai Grunwitz: „Man muss zunächst zwischen Managed Services und Managed Security Services differenzieren.“ Oftmals werde der klassische Betrieb etwa von Infrastrukturen als Managed Security Service klassifiziert. „Dies ist meiner Ansicht nach falsch“, so Grunwitz. „Es handelt sich um das Auslagern einer Betriebsleistung, nicht um einen Ma­naged Security Service.“ Beispiele für Managed-Security-Dienste sind seiner Ansicht nach das frühzeitige Erkennen und Abwehren von Cyberbedrohungen und -angriffen. „Weiterhin können Managed Security Services auch beim Key-Management oder beim Vulnerability-Management sinnvoll eingesetzt werden.“
Einen zusätzlichen Aspekt bringt Philipp Röttgen ins Spiel, Partner und Channel Manager Cyber-Security bei Atos Deutschland: „Ein Security-Service-Provider greift nicht nur auf ein großes Lösungs-Portfolio zurück, er kann auch durch Consulting-Leistungen interne Abteilungen des Kundenunternehmens bei der Auswahl und beim Einsatz von Security-Leistungen beraten.“ Ein Unternehmen könne den Managed-Security-Services-Provider (MSSP) zudem mit dem Betrieb der IT-Sicherheitsinfrastruktur beauftragen. Solche Beratungsleistungen umfassen etwa die Analyse der IT-Umgebung, um Sicherheitsrisiken zu erkennen und Datenbestände zu identifizieren, die für Angreifer besonders interessant sind.
Kritische Punkte bei der MSSP-Wahl
Laut dem IT-Service-Anbieter Freudenberg IT sollten man bei der Wahl eines Anbieters von Managed Security Services die folgende Punkte abklären.
Wie geht der Provider mit sensiblen Kundendaten um?
Erfüllt er beispielsweise alle Anforderungen der Datenschutz-Grundverordnung und welche Maßnahmen sieht er für den Fall vor, dass er selbst einem Datendiebstahl zum Opfer fällt?
Welche Referenzkunden kann der Anbieter angeben? Relevant sind vor allem Kunden des MSSP, die in derselben Branche wie der Interessent aktiv sind, über eine ähnliche IT-Infrastruktur verfügen und eine vergleichbare Zahl von Mitarbeitern haben (also Mittelstand, Großunternehmen, kleinere Firma).
Mit welchen IT-Sicherheitsunternehmen arbeitet er zusammen? Die Liste sollte bekannte und renommierte Hersteller umfassen, die hochwertige Lösungen bereitstellen.
Protokolliert der Provider alle kundenbezogenen Aktivitäten? Dadurch hat ein Kunde die Kontrolle darüber, ob tatsächlich nur die erforderlichen Tätigkeiten abgerechnet werden. Außerdem kann der Nutzer prüfen, ob der MSSP mit Security Incidents zu nachlässig umgeht.
Wie ist es um die Kostentransparenz und Skalierbarkeit der Angebote und Abrechnungsmodelle bestellt? Einige Anbieter locken Kunden mit einem preisgünstigen Basisangebot. Müssen jedoch weitere IT-Komponenten geschützt werden, steigen die Preise deutlich an.
Sind Standardpakete und maßgeschneiderte Angebote verfügbar? Für manche Kunden sind standardisierte, kostengünstige Servicepakete ausreichend.
Über welche Qualifikationen verfügen die Mitarbeiter des MSSP? Nutzt ein Unternehmen IT-Komponenten oder Software von Anbietern wie Cisco, VMware, Oracle oder SAP, sollte der Service-Anbieter Mitarbeiter bereitstellen, die sich mit diesen Lösungen auskennen. Das lässt sich mit Zertifikaten belegen, die solche Hersteller im Rahmen von Schulungen vergeben.
3. Teil: „Vielfältige Angebotspalette“

Vielfältige Angebotspalette

  • Führend bei MSS: Weltweit als „Leaders“ sieht Gartner Secure­works, IBM, Symantec, Verizon und Trustwave.
    Quelle:
    Gartner, Dez. 2017
Ein Consulting im Vorfeld kann durchaus sinnvoll sein, da nach Einschätzung der meisten Sicherheitsexperten viele Unternehmen die Gefährdungslage unterschätzen. „Etliche Firmen argumentieren, dass es bei ihnen nichts zu holen gibt“, kritisiert Holger Hartwig. Das ist zu kurz gedacht: Wenn Geschäftsdaten oder Kundeninformationen in falsche Hände gelangen, drohen mittlerweile saftige Sanktionen, etwa durch den Gesetzgeber. Hinzu kommen Faktoren wie Image-Einbußen und Vertrauensverlust.
Die klassischen Aufgaben, die ein Managed-Security-Services-Provider übernehmen kann, sind jedoch andere: ein Security-Monitoring, Sicherheitsanalysen, das Aufspüren und Schließen von Schwachstellen sowie Threat-Intelligence-Dienste. Hinzu kommen Angebote wie SIEM sowie Incident-Response-Dienste. Solche Services werden meist über spezielle Rechenzentren bereitgestellt: Security Operations Center (SOCs). Unternehmen können zudem auf GRC-Services (Governance, Risk, Compliance) zurückgreifen. Sie prüfen, ob ein Unternehmen Compliance-Vorgaben einhält, und erstellen entsprechende Reports, die der Kunde dann bei den Aufsichtsgremien vorlegen kann.

Überzeugungsarbeit leisten

Trotz der Einsicht bei einer wachsenden Zahl von Unternehmen, dass IT-Security nach dem Do-it-yourself-Ansatz nicht mehr funktioniert, sind Managed Security Services kein Selbstläufer. Vielmehr müssen Dienstleister ihre Kunden immer noch vom Nutzen gemanagter Sicherheitsservices überzeugen. So gelte es Ängste zu überwinden, die internen IT-Fachleute verlören die Kontrolle über die IT-Umgebung, bestätigt Philipp Röttgen von Atos: „Managed-Security-Services-Provider müssen somit nicht nur in technischer Hinsicht auf dem neuesten Stand der Technologien und Entwicklungen sein. Sie müssen sich auch als zuverlässiger und vertrauenswürdiger Partner erweisen.“
Befürchtungen, dass sich ein Unternehmen einem MSSP „ausliefert“, hält Holger Hartwig von Capgemini für über­zogen. Natürlich binde sich ein Nutzer an einen Service-Provider. „Aber wenn der Service in Ordnung ist, stellt das kein Problem dar. Und wenn der Service nicht stimmt, stehen einem Kunden die vertraglich festgelegten Sanktionsmöglichkeiten zur Verfügung, bis hin zur Vertragsauflösung.“

Dienste für KMUs

Das derzeit vorhandene Angebot an Managed Security Services ist zu einem großen Teil auf die Anforderungen von Großunternehmen abgestimmt, die über mehrere 1.000 IT-Arbeitsplätze verfügen. Das spiegelt sich auch in den Marktanalysen von Beratungshäusern wider. „Auf dem Markt finden sich etliche interessante Managed Services“, so Jürgen Jakob, Geschäftsführer von Jakobsoftware, einem Value Added Reseller (VAD) mit Fokus auf IT-Security. „Diese Dienste sind allerdings oftmals komplex und auf die Anforderungen von Konzernen zugeschnitten. Daher sind für kleinere Unternehmen weder der damit verbundene Aufwand noch die Kosten zu schultern.“
Generell empfiehlt Jakob aber auch kleinen und mittelständischen Unternehmen, Aufgaben im Bereich IT-Sicherheit an Service-Anbieter auszulagern. „Selbst kleinere Projekte, etwa sichere E-Mail-Postfächer, würden sich schnell bezahlt machen: Der Nutzer spart Hard- und Software für den Mailserver, zudem die Kosten für Lizenzen und die Wartung.“
Jakob rät daher kleinen und mittelständischen Unternehmen, sich auf dem MSSP-Markt nach Anbietern umzusehen, die nicht nur die Großen im Blick haben. „Solche Anbieter haben häufig einen besseren Blick für kleinere Kunden und häufig eine einfachere Handhabung der Services.“
Ein Knackpunkt ist jedoch speziell bei KMUs die Ausarbeitung der Verträge für Managed-Security-Dienste. Sowohl Kunden wie Anbieter tun sich Jakob zufolge damit schwer. Ein kritischer Punkt sind die regelmäßig anfallenden Kosten für solche Services. Allerdings sollten Nutzer bedenken, dass der Aufbau und Unterhalt einer internen IT-Sicherheitsinfrastruktur einen höheren finanziellen Aufwand bedeuten können.
Anbieter von Managed Security Services (Auswahl)
4. Teil: „Kosten im Blick“

Kosten im Blick

  • Am wichtigsten: Mit externen Dienstleistern wollen deutsche Unternehmen vor allem mehr IT-Security erreichen.
    Quelle:
    IDC Research Service, n = 194
Apropos Kosten von Managed Security Services: Naturgemäß sind die Anbieter solcher Dienste zurückhaltend, wenn es da­rum geht, Zahlen zu nennen: „Das hängt vom Einzelfall ab“, erklärt Holger Hartwig von Capgemini, also den individuellen Anforderungen des Nutzers, dessen Schutzbedarf und der im eigenen Haus vorhandenen Expertise im Bereich IT-Sicherheit. Hartwig führt folgendes Kostenbeispiel an: „Wenn wir über einen Monitoring- und Analytics-Service auf einem kundeneigenen SIEM-System sprechen, liegen wir bei einer Vertragslaufzeit von 36 Monaten bei etwa 500.000 Euro bis 800.000 Euro.“
Kosteneinsparungen von bis zu 50 Prozent sind nach Angaben von Marcus Schmid, Associate Partner IBM DACH Security Services, möglich: „Um punktuelle IT-Security-Lösungen inhouse zu betreiben, sind mindestens sieben bis acht Fachleute nötig. Diese lassen sich für andere, wichtigere Aufgaben einsetzen, wenn ein Managed Security Service zum Zuge kommt.“

Trends: KI und ML

Ein Punkt, der gemanagte Sicherheitsdienste künftig noch attraktiver machen könnte, ist die Einbindung von Technologien wie Künstliche Intelligenz und maschinelles Lernen (ML). „Diese Ansätze tragen bereits heute dazu bei, IT-Umgebungen sicherer zu machen“, konstatiert Michael Cerny von IBM. Allerdings ist es nicht das Ziel, mit Hilfe von KI und Machine Learning Security-Experten überflüssig zu machen. Vielmehr sollen diese Techniken Fachleuten dabei helfen, sogenannte Incidents zu erkennen und zu untersuchen.
Solche Angebote erfordern einen hohen technischen Aufwand. Daher bietet es sich für Unternehmen an, sie als Managed Service zu nutzen. Wer nicht riskieren möchte, dass seine Geschäftsdaten ungefragt in Fernost landen oder sein Unternehmensnetz infiltriert und lahmgelegt wird, sollte die Nutzung solcher Dienste durchaus ins Auge fassen.

Auswahlkriterien für einen MSSP

Angesichts der großen Zahl von Anbietern ist es für Unternehmen schwierig, den passenden Managed-Security-Ser­vices-Provider zu finden. Dies gilt umso mehr, als auch jeder individuelle Anforderungen in Bezug auf IT-Sicherheitsmaßnahmen hat. Es gibt allerdings etliche Kriterien, die bei der Auswahl eines MSSP helfen.
Kosten: Hier sollten Firmen prüfen, ob mit der Nutzung des Managed Services Anschaffungen verbunden sind, etwa der Einsatz von speziellen IT-Security- oder Monitoring-Systemen. Dies kann die Kosten deutlich erhöhen.
Funktionen und eingesetzte Technologien: Ausgangspunkt ist eine Bestandsaufnahme nach dem Motto „Welche Security-Dienste brauchen wir?“. Dies gibt Aufschluss über die benötigten Dienste, von herkömmlichen Antivirus-Lösungen über das Scannen auf Sicherheitslücken (Vulnerability Scanning) bis hin zu einem SIEM (Security Information Event Management) und Incident-Response-Diensten.
Reports und Insights: Zu klären ist, wie oft der Anbieter Berichte und Analysen, sogenannte Insights, bereitstellt und welche Informationen diese enthalten. Denn die hauseigene IT-Abteilung sollte über alle
sicherheitsrelevanten Vorfälle Kenntnis haben. Zudem sind solche Berichte notwendig, um die Einhaltung von Compliance- und Datenschutzregelungen zu dokumentieren.
Lückenloses Monitoring: Ein Großteil der gemanagten Security Services steht rund um die Uhr zur Verfügung. Nutzer sollten allerdings nachfragen, ob das für alle gebuchten Services gilt. Es kann durchaus vorkommen, dass diese Verfügbarkeit nur für Premium-Dienste vorgesehen ist.
Kommunikations- und Eskala­tionsstrategie: Wenn es zu einem Incident kommt, sollte klar sein, wann, auf welchem Weg und an wen diese Informationen aufseiten des Kunden weitergegeben werden. Zudem muss trans­parent sein, wie ein MSSP auf Vorfälle reagiert und welche Gegenmaßnahmen er ergreifen kann.
Partnerschaften: Kein Managed-Security-Dienstleister verfügt über Hard- und Software, mit der sich alle Sicherheitsprobleme lösen lassen. Daher sollte man nachfragen, mit welchen Technologie- und strategischen Partnern der Anbieter zusammenarbeitet, etwa bei Firewall- oder SIEM-Systemen.
Einsatz von Technologien wie KI und ML: Eine schnelle und automatisierte Behebung von IT-Sicherheitsproblemen erfordert zunehmend den Einsatz von KI und maschinellem Lernen. Der Provider sollte daher darlegen, welche Technologien er nutzt und welche Services davon profitieren.
Unterstützung von hybriden Infrastrukturen: Auch deutsche Unternehmen nutzen verstärkt Hybrid Clouds. Sie brauchen daher IT-Sicherheitsdienste, die auch solche Umgebungen schützen.
Präsenz in allen relevanten Regionen: Unternehmen, die in mehreren Ländern aktiv sind, sollten überall die Managed Security Services ihres Providers nutzen können. Wichtig ist zudem ein lokaler Support in der Landessprache.
Zertifizierungen: Über welche Zertifikate verfügen der MSSP und dessen Rechenzentren sowie Security Operations Center (SOCs)? Wichtig für deutsche Nutzer sind Zertifikate, die in der EU und Deutschland relevant sind, etwa ISO 27001.
Optionales Device-Management: Die Verwaltung von IT-Sicherheitslösungen des Kunden ist zwar keine klassische Aufgabe eines MSSP. Doch für manche Unternehmen ist es hilfreich, wenn sie auch solche Funktionen auslagern können.
5. Teil: „Im Gespräch mit Kai Grunwitz von NTT Security“

Im Gespräch mit Kai Grunwitz von NTT Security

  • Kai Grunwitz: Senior Vice President EMEA bei NTT Security
    Quelle:
    NTT Security
Nicht jedes Unternehmen kann sich vorstellen, seine IT-Sicherheitsmaßnahmen an einen Dienstleister auszulagern. Angesichts der Frequenz und Komplexität von Cyberangriffen sind Managed Security Services aber eine sinnvolle Lösung, findet Kai Grunwitz, Senior Vice President EMEA bei NTT Security.
com! professional: Warum sind für Unter­nehmen Managed-Security-Dienste überhaupt relevant?
Kai Grunwitz: Nicht nur die Angriffe werden komplexer, sondern auch das Angebot an Cyber-Security-Technologien. Unternehmen fällt es daher immer schwerer, die Bedrohungslage richtig einzuschätzen, Angriffe frühzeitig zu erkennen und das erforderliche Know-how in den unterschiedlichen IT-Sicherheitsbereichen bereitzustellen, um zielgerichtet und schnell reagieren zu können. Hinzu kommt der anhaltende Mangel an IT-Security-Fachkräften: Selbst Unternehmen, die sich intensiv mit dieser Problematik auseinandersetzen, sind kaum in der Lage, die benötigten Spezialisten zu finden. Zudem stellt sich auch die Kostenfrage: Der Aufbau und die ständige Weiterbildung eines internen Cyber-Security-Teams ist deutlich teurer als die Zusammenarbeit mit einem Managed-Security-Service-Provider.
com! professional: Welche Rolle spielen gesetzliche Vorgaben wie die DSGVO?
Grunwitz: Solche Bestimmungen haben dazu beigetragen, dass viele Unternehmen in Deutschland die zentrale Rolle von IT-Security und die Vorteile von Managed Security Services erkannt haben und diese für einen besseren Datenschutz und in der Datensicherheit einsetzen.
com! professional: Welche Vorteile haben solche Dienste, aber auch welche potenziellen Nachteile?
Grunwitz: Ich sehe naturgemäß eher die Vorteile. Neben einer viel kürzeren Time-to-Market, sprich einer schnelleren Bereitstellung der Sicherheitsdienste durch einen Managed-Security-Service-Anbieter verglichen mit dem Aufbau eigener Services und Teams, lassen sich drei Vorteile hervorheben.
Erstens: Eine hoch entwickelte State-of-the-Art-Erkennungstechnologie, etwa auf Basis von Machine Learning in Kombination mit globalen Threat-Intelligence-Daten aus diversen Quellen. Sie hilft dabei, Bedrohungen aufzudecken, die von herkömmlichen Mechanismen nicht erkannt werden. Dieser Wissens­-Pool verschafft unseren Kunden einen enormen Zeit- und Qualitätsvorteil bei der täglichen Cyberabwehr.
Zweitens: Eine professionelle 24/7-Überwachung und -Analyse ist essenziell für eine frühzeitige Erkennung von Sicherheitsvorfällen. Für deren Behebung, aber auch bei anderen Ressourcen-Engpässen, müssen unsere Kunden kein eigenes Personal vorhalten, sondern profitieren vom Zugang zu hoch qualifizierten Sicherheitsexperten.
com! professional: Und welches ist der dritte Faktor?
Grunwitz: Managed Security Services lassen sich schnell an neue Anforderungen und technologische Veränderungen anpassen beziehungsweise durch zusätzliche Komponenten wie einen Incident Response Service erweitern. Das bietet dem Nutzer eine große Flexibilität mit Blick auf die eingesetzten Managed Security Services.
com! professional: Wie werden Managed-IT-Sicherheits-Services in Deutschland angenommen? Wollen Firmen oder deren IT-Abteilungen zentrale Dienste wie IT-Security überhaupt outsourcen?
Grunwitz: Das Thema IT-Sicherheit entwickelt sich für viele Unternehmen zu einem Problem. Ein Grund sind die immer aggressiveren Cyberangriffe, ein weiterer der Mangel an IT-Sicherheitsexperten. Und weil die meisten Unternehmen ihre IT-Systeme nicht alleine absichern können oder wollen, wächst die Bereitschaft, auf externe Dienstleister zurückzugreifen.
Das ist auch ein zentrales Ergebnis einer Studie von NTT Security zum Thema Managed Security. Laut der Untersuchung nutzen bereits mehr als die Hälfte der Unternehmen - circa 54 Prozent - externe IT-Sicherheitsdienste. Fast 40 Prozent greifen sogar auf die Unterstützung von zwei bis drei Anbietern von Managed Security Services zurück.
com! professional: In welchen Bereichen können Managed-Security-Dienste in erster Linie Unterstützung bieten?
Grunwitz: Man muss zunächst zwischen Managed Services und Managed Security Services differenzieren. Oftmals wird der klassische Betrieb etwa von Infrastrukturen als Managed Security Service klassifiziert. Dies ist meiner Ansicht nach falsch, hier handelt es ich um das Auslagern einer Betriebsleistung, nicht um einen Managed Security Service.
Ich möchte vielmehr auf ein paar Security Services eingehen, die einen konkreten Nutzen bieten. Ganz oben auf der Liste steht das frühzeitige Erkennen und Abwehren von Cyberbedrohungen und -angriffen. Weiterhin können Managed Security Services auch beim Key-Management oder Vulnerability-Management sinnvoll eingesetzt werden - beides Themen, die gerade in Zusammenhang mit Multi-Cloud-Umgebungen geschäftskritisch sind und für eine Inhouse-IT eine sehr komplexe Aufgabe darstellen. In der Studie von NTT Security zum Thema Managed Security Services wurde zudem von ungefähr 30 Prozent der Befragten die Überwachung von Security Policies genannt.
com! professional: Für welche Unternehmen sind Managed-IT-Security-Services interessant? Wie sieht es mit kleineren Firmen aus?
Grunwitz: Cyberattacken sind für die globale Wirtschaft und Unternehmen aller Couleur und vor allem jeder Größe eine signifi­kante Bedrohung. Um es klar zu sagen, auch mittlere und kleine Firmen geraten in das Visier der Hacker. Somit sollte IT-Sicherheit eine fundamentale Säule aller Unternehmen und ein wichtiges Thema für die Geschäftsleitung sein.
Cyber-Security wird mehr und mehr zum Business-Enabler, damit Unternehmen störungsfrei am Markt agieren und ihre digitale Transformation vorantreiben können. Wir haben in Deutschland diverse hoch vernetzte Schlüsselbranchen, etwa den Maschinenbau mit einem ausgeprägten Mittelstand. Für diese Unternehmen spielen eine verlässliche Kostenkontrolle und der hohe Standardisierungsgrad von Managed Security Services eine große Rolle. Zudem ist Cyber-Security nicht ihre Kernkompetenz. Gemanagte Services sind daher gerade auch im Mittelstand das Mittel der Wahl. Dies spiegelt sich auch in unserer Kundenstruktur wider.

mehr zum Thema