IT-Sicherheit in Profi-Händen

Die IT-Sicherheitslage bleibt angespannt bis kritisch“ – so betitelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Website den Bericht zur Lage der IT-Sicherheit in Deutschland für 2021. Die Angreifer werden demnach immer erfindungsreicher und die Anzahl der Schadsoftware-Varianten steigt stetig.

Insgesamt haben die Angreifer binnen eines Jahres rund 144 Millionen neue Schadprogramm-Varianten produziert, 22 Prozent mehr als im Vorjahr (117,4 Millionen). Ähnlich besorgniserregend sind die Zahlen des Security-Spezialisten Trend Micro. Er warnt in einer aktuellen Studie vor allem vor der Gefährdung digitaler Infrastrukturen und der Mitarbeiter im Homeoffice. Laut Trend Micro stieg die Gesamtzahl der erkannten Bedrohungen 2021 im Vergleich zum Vorjahr um 42 Prozent auf über 94 Milliarden.

Ransomware stellt den beiden genannten Reports zufolge die aktuell größte Cyberbedrohung für Unternehmen dar. Hier legen Angreifer durch Verschlüsselung von Daten den IT-Betrieb weitgehend lahm und fordern Lösegeld, um die Daten wieder freizuschalten. Eines der prominentesten Opfer war Ende Oktober letzten Jahres der Automobilzulieferer Eberspächer. Er musste seine Produktion fast zwei Wochen stoppen und brauchte mehrere Wochen, bis er seine Kunden wieder normal beliefern konnte.

Doch die Zunahme der Bedrohungen stellt nicht die einzige Security-Herausforderung für Unternehmen dar. Das Problem: Die Bedrohungslandschaft ändert sich ständig, etwa weil Hacker verstärkt KI-Technologien einsetzen. Um damit Schritt zu halten, müssen Unternehmen ihre IT-Sicherheitssysteme kontinuierlich im Auge behalten, aktualisieren und schnell auf Ereignisse reagieren. Viele Unternehmen verfügen hierfür nicht über das erforderliche Fachwissen oder Personal. Insbesondere kleine und mittlere Firmen sind mangels Know-how und finanzieller Mittel überfordert.

Hier kommen Managed Security Service Provider (MSSPs) ins Spiel. Sie bieten grundsätzlich eine spezifische Dienstleistung aus dem Bereich IT-Sicherheit zu einem festen monatlichen Preis an. Managed Security Services umfassen ein breites Spektrum, das vom grundlegenden Support bis hin zum vollständigen Outsourcing von Funktionen reicht. Bei Bedarf übernimmt der MSSP die komplette IT-Security eines Unternehmens – von der Beratung über die Installation und den Betrieb bis hin zur foren­sischen Analyse sowie dem Erstellen und Umsetzen eines Notfallplans.

Zu den typischen Services gehören Produkt-Supportdienste, verwaltete Plattformdienste wie Firewall, Anti­virus, Proxy, SIEM oder Identität, Incident-Response-Dienste, Risikomanagement für Dritte, Beratung zu Präventionsmaßnahmen, Bedrohungsmanagement wie Managed Detection & Response (MDR), Schwachstellenmanagement, Penetrationstests und alle anderen Betriebsservices, um einen kontinuierlichen Echtzeitschutz zu bieten. Am oberen Ende des Spektrums stehen vollständig ausgelagerte SOC-as-a-Service-Angebote, also der Betrieb eines Security Operations Centers (SOC) durch den MSSP. Als Sicherheitsleitstelle kümmert sich der Anbieter hier um den Schutz der IT-Infrastruktur eines Unternehmens.

Laut IDC belief sich der Markt für Managed Security Services (ohne Beratung und Deployment) in Deutschland im Jahr 2021 auf knapp 1,4 Milliarden Euro. Für das Jahr 2025 prognostiziert IDC ein Marktvolumen von etwa 2,4 Milliarden Euro. Das Geschäft wächst also. Matthias Zacher, Senior Consulting Manager bei IDC, sieht den Hauptvorteil eines Managed Security Providers darin, dass Ser­vices durch sehr gut geschultes Personal rund um die Uhr erbracht werden. „Managed Security ist grundsätzlich für Unternehmen jeder Größe und Branche empfehlenswert. Firmen geben damit den Betrieb von Teilen oder ihrer gesamten Security in professionelle Hände und bleiben damit auf dem aktuellen Stand. Allerdings muss eine gewisse IT-Security-Kompetenz im Haus verbleiben, um Bedrohungsszenarien einschätzen und mit dem Provider auf Augenhöhe sprechen zu können“, so Matthias Zacher.

Andreas Tomek ist Cyber Security Partner bei KPMG Österreich. Im Interview mit com! professional erklärt er, worauf Unternehmen beim Thema Managed Security achten sollten.

Andreas Tomek: Managed Security Services zahlen sich normalerweise für Unternehmen jeder Größe aus. Schließlich fehlen vielen Firmen die Kapazitäten, um ein Security-Team aufzubauen, das 24/7-Service leisten kann. Denn Cyberangriffe finden auch nachts und an Wochenenden statt.

Voraussetzung für Managed Security ist aber ein Überblick über die Verantwortlichkeiten und Prozesse in der gesamten IT. Nur so können Firmen herausfinden, was sie beim Thema IT-Sicherheit selbst übernehmen können oder zukaufen müssen. Das ist keine triviale Situation.

Tomek: Je mehr Standardkomponenten die IT umfasst, desto schneller und einfacher kann man Security-Services auslagern. Bei einer gewachsenen, heterogenen IT-Landschaft und einem hohen Anteil an Eigenentwicklungen wird es komplexer. Managed Security funktioniert am besten, wenn die IT-Landschaft einheitlich gestaltet ist. Existieren viele Sonderlösungen, ist Outsourcing schwieriger.

Tomek: Je größer das Unternehmen, desto größer ist im Normalfall auch die IT-Abteilung. Ziel sollte es sein, dass rund 10 Prozent der IT-Mitarbeiter für Security zuständig sind. Meiner Meinung nach ist es mit weniger als fünf reinen IT-Security-Experten im Unternehmen schwierig, alle Themen der IT-Sicherheit komplett selbst abzudecken. Bei Firmen mit 15 bis 20 Security-Mitarbeitern ist denkbar, dass sie nur Teilbereiche outsourcen. Schwieriger wird es für kleinere Unternehmen. Sie haben nicht genügend Personal und damit nicht die Ressourcen und das Fachwissen, um sich umfassend vor Angriffen zu schützen. Für sie führt wohl kein Weg an Managed Security vorbei.

Tomek: Dagegen sprechen die zusätzlichen Kosten, der Aufwand beim Onboarding oder die Tatsache, dass Managed Security dazu verleiten kann, sich in falscher Sicherheit zu wiegen. Managed Security heißt nicht, dass ich mich als Unternehmen nicht mehr um IT-Sicherheit kümmern muss und der Anbieter alle Aufgaben für mich erledigt. Firmen dürfen sich trotz Managed Security nicht zurücklehnen und alle Verantwortlichkeiten nach außen abgeben. Mit dem Outsourcing steigt auch das Risiko von Supply-Chain-Angriffen, da der Serviceanbieter tief in die IT-Landschaft seiner Kunden eingreift. Wird der Dienstleister erfolgreich attackiert, kann der Hacker eventuell auch in die Systeme seiner Kunden eindringen. Die Auswahl des Managed Security Providers ist entscheidend, da durchaus ein gewisser Vendor-Lock-in besteht.

Tomek: Der Service-Anbieter sollte zu ihnen passen hinsichtlich Größe, der Zertifizierungen und des unterstützten Technologie-Stacks. Zudem sollte er über Erfahrungen mit ähnlich großen Kunden aus der eigenen Branche verfügen, das gewünschte Service-Level und die gewünschten Länder abdecken sowie Cloud- und On-Premises-Services anbieten. Die Palette reicht vom lokalen Anbieter über Cloud-Provider bis hin zu den großen Hyperscalern. Es stellt sich unter anderem die Frage: Ist es besser, einer der größten Kunden bei einem kleinen Anbieter zu sein oder einer der kleinsten Kunden bei einem großen Anbieter?

Kleine oder mittlere Anbieter haben oft mehrere Kunden der eigenen Firmengröße. Gibt es zeitgleich ähnliche Vorfälle oder einen Flächenbrand wie etwa beim Exchange-Problem oder bei Log4Shell, muss ich als Unternehmen hoffen, dass ich auf der Prioritätenliste weit oben stehe. Denn auch die Ressourcen des Providers sind nicht unerschöpflich – mit einem eigenen IT-Team und entsprechenden Security-Experten könnte ich das Problem gleich lösen. Größerer Service-Anbieter sind auch hier besser aufgestellt.

Tomek: Im Grundsatz deckt Managed Security alle fünf Phasen beziehungsweise Funktionen aus dem NIST-Cybersecurity-Framework ab: Identify, Protect, Detect, Respond und Recover. Die Palette reicht vom Erkennen von Angriffen mit Stichworten wie SOC, SIEM oder Threat Intelligence über Managed Endpoint Security, Managed Network Security oder Managed Vulnerability Services mit Schwachstellen-Scans oder auch Pentests bis hin zu Managed Incident Response, sprich der Ab­arbeitung von Angriffen inklusive Wiederherstellung der Systeme.

Manche Provider bieten sämtliche Services der Security-Kette an, manche decken nur einen Teil ab. Zu bedenken ist: Wenn ein Managed Security Provider alle Aspekte abdeckt, wird er eher zum potenziellen Ziel von Angriffen. Und die Kunden müssen natürlich genau prüfen, welche Security-Bereiche sie nach außen verlagern und welche SLAs tatsächlich notwendig sind. 24/7-Service ist teuer.

Tomek: Wie anfangs gesagt, müssen Firmen ihre internen Prozesse und Verantwortlichkeiten kennen, um zu wissen, welche Security-Services sie selbst übernehmen können oder auslagern müssen. Mit diesem Wissen können sie auch die Verträge mit den Providern positiv für sich gestalten. Die meisten Probleme entstehen bei der Abgrenzung: Was macht der Anbieter, was machen wir als Unternehmen selbst? Wo findet die Übergabe statt? Das ist bis ins Detail zu definieren.

Natürlich benötigen die Firmen intern weitere IT-Kapazitäten. Die eigenen IT-Mitarbeiter müssen im Notfall nach einem Hackerangriff erreichbar sein, die Melde- und Eskalationswege müssen bekannt sein. Zudem ist es notwendig, intern eine Governance-Funktion aufzubauen, um den Managed Security Provider zu steuern und auch zu kontrollieren.

Tomek: Wenn der Anbieter ausgesucht ist, läuft die Implementierung je nach Umfang der Managed Services meist in einer bestimmten Reihenfolge ab. Am Anfang stehen die Endpoints im Fokus, danach folgen die Server und deren Einbindung ins Logging. Die sogenannte Einschwingphase kann je nach der Leistungsbreite des Services und der Größe der eigenen Infrastruktur zwischen drei und neun Monaten dauern. Manche Punkte wie die Office-365-Security-Features lassen sich als eine Art Cloud out of the Box auch einfach mit einem Mausklick aktivieren.

Tomek: Die Anbieter von Managed Security Services werden künftig verstärkt versuchen, alle Services aus einer Hand anzubieten. Und sie konzentrieren sich immer mehr auf den Technologie-Stack von großen Anbietern wie Cisco oder Microsoft, die im Backend viel Arbeit wegnehmen. Dadurch werden die Dienste künftig immer einfacher zu bedienen und auch stärker automatisiert sein. Ziel ist „Run everything as Code“. Das heißt, die standardisierten Services lassen sich über APIs einbinden und automatisiert steuern, die Workflows laufen automatisiert ab: Wenn das passiert, erfolgt dieser Schritt. Dadurch können die Managed Security Provider schneller reagieren, da man im Notfall weniger auf Menschen zugreifen muss. Denn diese sind nicht immer erreichbar.

Da MSSPs im Regelfall viel Fachwissen und Erfahrung beim Umgang mit Sicherheitsvorfällen haben, können sie sehr schnell auf solche Vorfälle reagieren – viel schneller als eine ohnehin schon überlastete, dünn besetzte interne IT-Abteilung. „Weil MSSPs mit einer breiten Palette von Technologien und Kunden arbeiten, ist es viel wahrscheinlicher, dass sie das Problem, das ein Unternehmen hat, schon einmal erlebt haben“, erklärt Torsten George, Vice President Product Marketing bei Absolute Software. Mit diesem Erfahrungsschatz können sie auch die jeweils besten Tools und Services für den individuellen Fall eines Unternehmens zusammenstellen.

Torsten George sieht zudem viele Kostenvorteile für Unternehmen, die ihre IT-Sicherheit teilweise oder komplett nach außen verlagern: „Über einen MSSP können Unternehmen die Informationssicherheit personell ohne die intensive Suche nach Fachkräften verstärken. Darüber hinaus können MSSPs wesentlich günstigere Angebote von Herstellern einholen, als es vielen Unternehmen auf eigene Faust möglich ist. Hardware und Software stehen damit kostengünstiger zur Verfügung.“ Auch die sonst anfallenden Kosten für Hardware- und Software-Upgrades lassen sich reduzieren, indem Firmen diese über SLAs an die MSSPs übertragen, so George. Teure Schulungen der internen IT-Mitarbeiter fallen ebenfalls weg. „Die meisten MSSPs verlangen, dass ihre Techniker für die von ihnen unterstützten Geräte geschult werden, und sie sind bereit, das Geld für ihre Zertifizierung auszugeben“, berichtet Torsten George.

Da MSSPs sehr viele Geräte und Software von Anbietern kaufen, erhalten sie in der Regel einen besseren Hersteller-Support, etwa einen speziellen 24/7-Service. Dazu Torsten George: „Jedes Problem, das auftritt, wird sofort an die richtigen Leute weitergeleitet, anstatt den normalen Weg zu gehen. MSSPs erhalten meist auch Patches, Korrekturen und Updates viel schneller. Bei Bedarf sind die Anbieter manchmal bereit, ein Engineering-Release anzupassen, um ein aktuelles Problem zu beheben.“ Allerdings haben nicht alle MSSPs dieselben Support-Verträge mit den Anbietern.

Doch MSSPs sind nicht immer die ideale Investition. Zwar erhöht sich mit dem Know-how des MSSPs die Informationssicherheit, aber der Zugriff eines externen Partners auf die eigene IT-Infrastruktur sowie die Verlagerung wichtiger Speicherorte können das Gesamtrisiko eines Unternehmens erhöhen. „Im schlimmsten Fall werden MSSPs zur einzigen Anlaufstelle für einen Ausfall oder Angriff. Darüber hinaus sind sehr komplexe Umgebungen mit vielen Legacy-Anwendungen möglicherweise nicht das beste Szenario für den Bezug von Managed Security“, gibt Torsten George zu bedenken.

Andreas Riepen, Regional Sales Director für die Region Central Europe bei Vectra AI, sieht beim Verhältnis zwischen MSSPs und Kunden die Gefahr, dass die Erwartungen nicht richtig aufeinander abgestimmt sind. „Entweder ist sich das Unternehmen, das Managed Services in Anspruch nehmen möchte, nicht im Klaren darüber, welche Anforderungen es an den Anbieter stellt, oder der Anbieter hält die vereinbarten SLAs nicht regelmäßig ein. Viele Firmen sind mit ihrem MSSP unzufrieden, weil er nicht genug leistet, um sich in die internen Prozesse des Unternehmens zu integrieren, sondern nur das absolute Minimum, das im Vertrag festgelegt ist.“

Ein gewisses Risiko besteht immer, wenn Firmen ein wichtiges Thema wie IT-Sicherheit teilweise oder ganz nach außen verlagern. Das Unternehmen muss daher zunächst definieren, was es von einem MSSP erwartet und welche Erfolgskriterien es gibt. „Dazu gehören Gespräche mit einer Reihe interner Interessengruppen, um sicherzustellen, dass alle von ihnen die Entscheidung für ein Outsourcing unterstützen und dass sie sich für den Erfolg des gewählten MSSPs einsetzen werden“, so Andreas Riepen.

Damit der Managed Security Provider für umfassenden Schutz sorgen kann, benötigt er Klarheit über die Prozesse und Zuständigkeiten im Unternehmen: Wer ist für Netzwerkzugänge, Anwenderschulung, Server-Administration und weitere Bereiche verantwortlich? Wenn etwa eine Firewall-Konfiguration oder eine Gruppenrichtlinie geändert werden muss: Wer ist dafür zuständig? „Der Anbieter benötigt volle Transparenz über alle Prozesse, Verantwortlichkeiten, Applikationen und bisherige Security-Maßnahmen im Unternehmen. Zudem müssen Firmen sich Gedanken zu den SLAs und Reaktionszeiten machen, die sie von einem MSSP erwarten“, betont Matthias Zacher von IDC.

Ein Service Level Agreement (SLA) enthält verbindliche Normen für die Reaktionszeiten und Garantien bei Sicherheitsvorfällen. Wichtig sind hier aussagekräftige, messbare Kennzahlen. „Firmen sollten zudem ihre Hardware-Infrastruktur prüfen und mit dem Angebot des MSSPs vergleichen sowie potenzielle künftige Änderungen in betrieblichen Abläufen in ihre Überlegungen einbeziehen, damit die Ausgaben nicht zu hoch werden“, so Zacher weiter.

Für die Prüfung und Auswahl des richtigen Dienstleisters sollten sich Unternehmen viel Zeit nehmen. Er muss die richtigen Tools und Services für die Aufgabe bereitstellen. Am besten ist es, die Dienste vorher auszuprobieren. „Wie bei allen IT-Themen sollte der Anbieter entsprechende Erfahrung vorweisen, auf mich als Kunden individuell und flexibel eingehen, transparent agieren und ein Portfolio und Kostenspektrum vorweisen können, das zu mir als Kunden passt. Zudem sollte der MSSP den Kunden nicht mit technischen Fachbegriffen überfordern und Anwendungen mit Mehrwert bieten“, erklärt Olaf Windhäuser, CTO und Mitglied der Geschäftsleitung beim MSSP Optm, bis vor Kurzem unter dem Namen Sysback bekannt.

Hierbei ist es seiner Meinung nach wichtig für Kunden, integrative Lösungen zu finden, damit der „Tool-Zoo“ nicht beständig größer und sukzessive unbeherrschbar wird. Alle Hersteller vergrößern laut Olaf Windhäuser die Funktionsvielfalt ihrer Tools ständig in alle Richtungen. Es ergebe für Kunden aber keinen Sinn, Agent für Agent auf den Servern oder Endgeräten zu installieren und viele Funktionalitäten dann doppelt oder dreifach zu haben. Daher sei die richtige Integration in die Gesamtarchitektur ein wichtiges und zu berücksichtigendes Thema.

Aus Sicht von Optm spielt Cloud-Security die zentrale Rolle für kleine und mittlere Unternehmen, da die dort vorhandenen Standards und Möglichkeiten vom Komplexitätsgrad her niemals in kleinen und mittleren Firmen On-Premises erbracht werden könnten. Kleine und mittelständische Betriebe erhalten durch standardisierte Cloud-Lösungen gute Schutzfunktionen, die ihrem Budget entsprechen. Selbst große Firmen oder Konzerne benötigen laut Olaf Windhäuser sehr viele Funktionen aus der Cloud, da die Korrelation von Angriffen, Daten und Schutzmechanismen nur mit großen Datenmengen und Künstlicher Intelligenz im Hintergrund sauber funktioniere.

Der Anbieter darf seiner Meinung nach den Kunden nicht überfordern, er sollte aber auch nicht als Blackbox agieren. „Wie immer ist es wichtig, das richtige Maß an Information mit dem Kunden auszutauschen, sodass der Kunde sich gut abgeholt und geschützt fühlt. Er sollte verstehen, dass der Schutz aus der Cloud kommt. Viele Unternehmen fürchten sich immer noch vor der Cloud, statt deren Vorteile zu nutzen“, betont Windhäuser.

Auch Volker Bentz, Geschäftsführer beim pfälzischen Systemhaus und MSSP Brandmauer IT, setzt bei den MSSP-Diensten für seine mittelständischen Kunden auf die Cloud. Dafür arbeitet Brandmauer IT mit dem Security-Anbieter Sophos zusammen. Das Angebot reicht hier von Virenschutz as a Service bis hin zu Managed Threat Response und SOC as a Service. „Seit der Corona-Pandemie sind unsere Kunden viel offener für die Cloud, die meisten Bedenken sind ausgeräumt. Viele unserer mittelständischen Kunden setzen zum Beispiel auf Managed Threat Response, weil sie so sichergehen, dass jemand auf sie aufpasst und im Hintergrund ihre Systeme überwacht“, sagt Volker Bentz.

Sophos nutzt bei Managed Threat Response die fortschrittliche XDR-Technologie (Extended Detection and Res­ponse). Sie sammelt und analysiert Logdaten von sämt­lichen IT-Systemen, Netzwerken, Clouds, Endpunkten und Anwendungen, sucht mithilfe von KI nach Anomalien und entdeckt auf diese Weise Bedrohungen und Angriffe. Anschließend leitet das rund um die Uhr verfügbare Managed-Threat-Team von Sophos Maßnahmen ein, um den Angriff einzudämmen und die Bedrohung zu beseitigen. Je nach gewähltem Tarifmodell übernimmt Sophos direkt und autonom, oder es erfolgt eine Rücksprache mit dem Partner-Systemhaus beziehungsweise der Firma selbst.

Nach der Unterzeichnung eines MSSP-Vertrags folgt in der Regel ein Übergangsprozess, um Mitarbeiter, Prozesse und Technologie des Unternehmens auf den Einsatz der Managed Security Services vorzubereiten. Dieser Zeitraum ist den von uns befragten Experten zufolge entscheidend für den letztendlichen Erfolg des Dienstes und wird in der Angebots- und Auswahlphase oft übersehen oder zu wenig berücksichtigt. Der MSSP sollte hier gemeinsam mit dem Kunden die Ziele und Lösungen definieren: Welche Kerngeschäftsprozesse müssen besonders gut geschützt werden? Wo muss die IT-Infrastruktur verbessert werden? Wie viel Schulung benötigt das Personal?

Brandmauer IT startet hier etwa im Rahmen seines „myBIT IT Security Assistance“-Programms (MISA) mit einem 130 Punkte umfassenden Security-Check. Laut Volker Bentz liegt der Erfüllungsgrad bei den meisten Unternehmen nur zwischen 30 und 50 Prozent. „Das Ergebnis ist oft der Türöffner, um die Geschäftsführer der kleinen und mittleren Unternehmen davon zu überzeugen, dass sie mehr Geld für IT-Sicherheit ausgeben und sich besser vor Cyberangriffen schützen müssen. Ich sage immer: Den Return on Investment von IT-Sicherheit kann man auch heute noch nicht berechnen. Im besten Fall vermeiden Ihre IT-Sicherheits-Investitionen aber einen Schaden, von dem Sie nie etwas bemerken“, erklärt Bentz.

Bei den meisten Anbietern melden sich Managed-Security-Kunden über ein sicheres Portal an, um Anfragen zu stellen. Der Sicherheitsanbieter kann dann Sicherheitsereignisse einstufen, Richtlinien ändern, Warnungen senden oder eine Reaktion auf einen Vorfall automatisieren. Der Kunde selbst nutzt in der Regel die Dashboards seines MSSPs, um Berichte über den aktuellen Sicherheits-Status, die Anzahl der Sicherheitsereignisse und Schwachstellen, SLA-Aktivitäten und so weiter zu erstellen.

Häufigere und komplexere Angriffe, der Mangel an qualifizierten internen Experten und unzureichendes IT-Budget führen dazu, dass Firmen immer öfter auf Managed Security Services zurückgreifen.

Im Prinzip eignet sich Managed Security für Unternehmen jeder Größe. Das beginnt bei kleinen Firmen, die sich über die Cloud eine Lösung für Patchmanagement, Antivirus und Anti-Ransomware mit zentralem Backup für ihre gesamten Geräte mieten, über Mittelständler, die mehrere der im Kasten auf Seite 56 genannten Services nutzen möchten, bis hin zu großen Unternehmen, die das gesamte Programm benötigen.

Um die Partnerschaft mit MSSPs erfolgreich zu gestalten, braucht der Anbieter volle Transparenz über alle Prozesse, Verantwortlichkeiten, Applikationen und Security-Maßnahmen im Unternehmen. Zudem müssen Firmen sich Gedanken zu den SLAs und Reaktionszeiten machen, die sie von einem MSSP erwarten, bevor sie den Ausschreibungsprozess starten. Bei der Entscheidung ist von der schlichten Wahl des günstigsten Anbieters abzuraten.