„Firmen dürfen sich trotz Managed Security nicht zurücklehnen“

Andreas Tomek ist Cyber Security Partner bei KPMG Österreich. Im Interview mit com! professional erklärt er, worauf Unternehmen beim Thema Managed Security achten sollten.

Andreas Tomek: Managed Security Services zahlen sich normalerweise für Unternehmen jeder Größe aus. Schließlich fehlen vielen Firmen die Kapazitäten, um ein Security-Team aufzubauen, das 24/7-Service leisten kann. Denn Cyberangriffe finden auch nachts und an Wochenenden statt.

Voraussetzung für Managed Security ist aber ein Überblick über die Verantwortlichkeiten und Prozesse in der gesamten IT. Nur so können Firmen herausfinden, was sie beim Thema IT-Sicherheit selbst übernehmen können oder zukaufen müssen. Das ist keine triviale Situation.

Tomek: Je mehr Standardkomponenten die IT umfasst, desto schneller und einfacher kann man Security-Services auslagern. Bei einer gewachsenen, heterogenen IT-Landschaft und einem hohen Anteil an Eigenentwicklungen wird es komplexer. Managed Security funktioniert am besten, wenn die IT-Landschaft einheitlich gestaltet ist. Existieren viele Sonderlösungen, ist Outsourcing schwieriger.

Tomek: Je größer das Unternehmen, desto größer ist im Normalfall auch die IT-Abteilung. Ziel sollte es sein, dass rund 10 Prozent der IT-Mitarbeiter für Security zuständig sind. Meiner Meinung nach ist es mit weniger als fünf reinen IT-Security-Experten im Unternehmen schwierig, alle Themen der IT-Sicherheit komplett selbst abzudecken. Bei Firmen mit 15 bis 20 Security-Mitarbeitern ist denkbar, dass sie nur Teilbereiche outsourcen. Schwieriger wird es für kleinere Unternehmen. Sie haben nicht genügend Personal und damit nicht die Ressourcen und das Fachwissen, um sich umfassend vor Angriffen zu schützen. Für sie führt wohl kein Weg an Managed Security vorbei.

Tomek: Dagegen sprechen die zusätzlichen Kosten, der Aufwand beim Onboarding oder die Tatsache, dass Managed Security dazu verleiten kann, sich in falscher Sicherheit zu wiegen. Managed Security heißt nicht, dass ich mich als Unternehmen nicht mehr um IT-Sicherheit kümmern muss und der Anbieter alle Aufgaben für mich erledigt. Firmen dürfen sich trotz Managed Security nicht zurücklehnen und alle Verantwortlichkeiten nach außen abgeben. Mit dem Outsourcing steigt auch das Risiko von Supply-Chain-Angriffen, da der Serviceanbieter tief in die IT-Landschaft seiner Kunden eingreift. Wird der Dienstleister erfolgreich attackiert, kann der Hacker eventuell auch in die Systeme seiner Kunden eindringen. Die Auswahl des Managed Security Providers ist entscheidend, da durchaus ein gewisser Vendor-Lock-in besteht.

Tomek: Der Service-Anbieter sollte zu ihnen passen hinsichtlich Größe, der Zertifizierungen und des unterstützten Technologie-Stacks. Zudem sollte er über Erfahrungen mit ähnlich großen Kunden aus der eigenen Branche verfügen, das gewünschte Service-Level und die gewünschten Länder abdecken sowie Cloud- und On-Premises-Services anbieten. Die Palette reicht vom lokalen Anbieter über Cloud-Provider bis hin zu den großen Hyperscalern. Es stellt sich unter anderem die Frage: Ist es besser, einer der größten Kunden bei einem kleinen Anbieter zu sein oder einer der kleinsten Kunden bei einem großen Anbieter?

Kleine oder mittlere Anbieter haben oft mehrere Kunden der eigenen Firmengröße. Gibt es zeitgleich ähnliche Vorfälle oder einen Flächenbrand wie etwa beim Exchange-Problem oder bei Log4Shell, muss ich als Unternehmen hoffen, dass ich auf der Prioritätenliste weit oben stehe. Denn auch die Ressourcen des Providers sind nicht unerschöpflich – mit einem eigenen IT-Team und entsprechenden Security-Experten könnte ich das Problem gleich lösen. Größerer Service-Anbieter sind auch hier besser aufgestellt.

Tomek: Im Grundsatz deckt Managed Security alle fünf Phasen beziehungsweise Funktionen aus dem NIST-Cybersecurity-Framework ab: Identify, Protect, Detect, Respond und Recover. Die Palette reicht vom Erkennen von Angriffen mit Stichworten wie SOC, SIEM oder Threat Intelligence über Managed Endpoint Security, Managed Network Security oder Managed Vulnerability Services mit Schwachstellen-Scans oder auch Pentests bis hin zu Managed Incident Response, sprich der Ab­arbeitung von Angriffen inklusive Wiederherstellung der Systeme.

Manche Provider bieten sämtliche Services der Security-Kette an, manche decken nur einen Teil ab. Zu bedenken ist: Wenn ein Managed Security Provider alle Aspekte abdeckt, wird er eher zum potenziellen Ziel von Angriffen. Und die Kunden müssen natürlich genau prüfen, welche Security-Bereiche sie nach außen verlagern und welche SLAs tatsächlich notwendig sind. 24/7-Service ist teuer.

Tomek: Wie anfangs gesagt, müssen Firmen ihre internen Prozesse und Verantwortlichkeiten kennen, um zu wissen, welche Security-Services sie selbst übernehmen können oder auslagern müssen. Mit diesem Wissen können sie auch die Verträge mit den Providern positiv für sich gestalten. Die meisten Probleme entstehen bei der Abgrenzung: Was macht der Anbieter, was machen wir als Unternehmen selbst? Wo findet die Übergabe statt? Das ist bis ins Detail zu definieren.

Natürlich benötigen die Firmen intern weitere IT-Kapazitäten. Die eigenen IT-Mitarbeiter müssen im Notfall nach einem Hackerangriff erreichbar sein, die Melde- und Eskalationswege müssen bekannt sein. Zudem ist es notwendig, intern eine Governance-Funktion aufzubauen, um den Managed Security Provider zu steuern und auch zu kontrollieren.

Tomek: Wenn der Anbieter ausgesucht ist, läuft die Implementierung je nach Umfang der Managed Services meist in einer bestimmten Reihenfolge ab. Am Anfang stehen die Endpoints im Fokus, danach folgen die Server und deren Einbindung ins Logging. Die sogenannte Einschwingphase kann je nach der Leistungsbreite des Services und der Größe der eigenen Infrastruktur zwischen drei und neun Monaten dauern. Manche Punkte wie die Office-365-Security-Features lassen sich als eine Art Cloud out of the Box auch einfach mit einem Mausklick aktivieren.

Tomek: Die Anbieter von Managed Security Services werden künftig verstärkt versuchen, alle Services aus einer Hand anzubieten. Und sie konzentrieren sich immer mehr auf den Technologie-Stack von großen Anbietern wie Cisco oder Microsoft, die im Backend viel Arbeit wegnehmen. Dadurch werden die Dienste künftig immer einfacher zu bedienen und auch stärker automatisiert sein. Ziel ist „Run everything as Code“. Das heißt, die standardisierten Services lassen sich über APIs einbinden und automatisiert steuern, die Workflows laufen automatisiert ab: Wenn das passiert, erfolgt dieser Schritt. Dadurch können die Managed Security Provider schneller reagieren, da man im Notfall weniger auf Menschen zugreifen muss. Denn diese sind nicht immer erreichbar.