Managed Security Services

Ganschow: Zunächst müssen die individuellen Herausforderungen, die das jeweilige Unternehmen zu bewältigen hat, betrachtet werden. Wichtig ist vor allem, herauszuarbeiten, welche Risiken bestehen und wie hoch das Risikobewusstsein des Betriebes ist. Daraus ergibt sich dann eine ganze Reihe an Maßnahmen, die es zu ergreifen gilt. Es wird eruiert, auf welchem Reifegrad sich das Unternehmen befindet und wo es eigentlich stehen sollte. Aus den herausgefilterten Ergebnissen wird dann eine Roadmap erstellt, um das gesteckte Ziel zu erreichen. Eine Universallösung für alle gibt es allerdings nicht.

com! professional: Ist ein Trend auszumachen, mit welchen Herausforderungen die meisten Unternehmen zu kämpfen haben?

Ganschow: Wir konnten in der Vergangenheit feststellen, dass Unternehmen das Thema IT-Sicherheit oft sehr taktisch betrachtet haben. In den verschiedenen Bereichen wurden zwar die richtigen Maßnahmen ergriffen, diese waren jedoch nicht immer im Einklang mit den eigentlichen Business-Zielen. Es ist weniger sinnvoll, Systeme wie Fort Knox abzusichern, wenn der jeweils dahinterstehende Prozess für das Unternehmen eigentlich relativ bedeutungslos ist. Abgesichert werden sollten vorwiegend jene Bereiche, die von hoher Relevanz für die Firma sind.

Das ist immer dann der Fall, wenn der Ausfall einer dieser Bereiche kritische Auswirkungen haben könnte. Auch das sind höchst unterschiedliche Dinge. So kann es für das eine Unternehmen höchst bedrohlich werden, wenn der Kantinenserver ausfällt, weil dann die Schichtarbeiter kein Mittagessen erhalten. Für andere wiederum ist die Kantine eher unwichtig und es gelten andere Maximen. Genau dafür muss die richtige Lösung gefunden werden, die durch Managed Security Services unterstützt werden kann.

Ganschow: Prognosen für die IT-Sicherheit sind immer extrem schwierig. Das liegt vor allem daran, weil sich die Bedrohungen und Maßnahmen der Angreifer extrem schnell weiterentwickeln und einem großen Wandel unterworfen sind. Darauf muss sich die Security-Branche einstellen und immer so schnell wie möglich darauf reagieren. Grundsätzlich bin ich der Meinung, dass die IT-Security mit den vorherrschenden Trends mitgehen muss. Sonst kann es leicht passieren, dass ausgerechnet die Security zum Hemmnis wird.

Die Fachkräfte direkt in den Unternehmen werden sich in Zukunft hoffentlich mehr darum kümmern, die richtigen Security-Maßnahmen zu erhalten, statt beispielsweise selbst an der Härtung des verwendeten Betriebssystems zu basteln. Das bedeutet nicht, dass es künftig weniger Spezialisten in den Firmen geben wird, nur weil auf die Hilfestellung von außen zurückgegriffen wird. Vielmehr werden so wieder Ressourcen dafür frei, die eigentlichen Geschäftsprozesse intensiver zu verstehen und zu schützen. Allerdings bleiben immer noch ausreichend viele Aufgaben für die Firmen-ITler übrig. Auch ein Managed-Security-Service-Provider ist nicht dazu in der Lage, die Kritikalität eines Business-Prozesse zu durchdringen. Dazu bedarf es schlicht interne Kenntnisse. Außerdem fungieren die IT-Mitarbeiter als Schnittstelle zwischen dem Unternehmen und dem Provider.