Vorteile von Managed Security

Da MSSPs im Regelfall viel Fachwissen und Erfahrung beim Umgang mit Sicherheitsvorfällen haben, können sie sehr schnell auf solche Vorfälle reagieren – viel schneller als eine ohnehin schon überlastete, dünn besetzte interne IT-Abteilung. „Weil MSSPs mit einer breiten Palette von Technologien und Kunden arbeiten, ist es viel wahrscheinlicher, dass sie das Problem, das ein Unternehmen hat, schon einmal erlebt haben“, erklärt Torsten George, Vice President Product Marketing bei Absolute Software. Mit diesem Erfahrungsschatz können sie auch die jeweils besten Tools und Services für den individuellen Fall eines Unternehmens zusammenstellen.

Torsten George sieht zudem viele Kostenvorteile für Unternehmen, die ihre IT-Sicherheit teilweise oder komplett nach außen verlagern: „Über einen MSSP können Unternehmen die Informationssicherheit personell ohne die intensive Suche nach Fachkräften verstärken. Darüber hinaus können MSSPs wesentlich günstigere Angebote von Herstellern einholen, als es vielen Unternehmen auf eigene Faust möglich ist. Hardware und Software stehen damit kostengünstiger zur Verfügung.“ Auch die sonst anfallenden Kosten für Hardware- und Software-Upgrades lassen sich reduzieren, indem Firmen diese über SLAs an die MSSPs übertragen, so George. Teure Schulungen der internen IT-Mitarbeiter fallen ebenfalls weg. „Die meisten MSSPs verlangen, dass ihre Techniker für die von ihnen unterstützten Geräte geschult werden, und sie sind bereit, das Geld für ihre Zertifizierung auszugeben“, berichtet Torsten George.

Da MSSPs sehr viele Geräte und Software von Anbietern kaufen, erhalten sie in der Regel einen besseren Hersteller-Support, etwa einen speziellen 24/7-Service. Dazu Torsten George: „Jedes Problem, das auftritt, wird sofort an die richtigen Leute weitergeleitet, anstatt den normalen Weg zu gehen. MSSPs erhalten meist auch Patches, Korrekturen und Updates viel schneller. Bei Bedarf sind die Anbieter manchmal bereit, ein Engineering-Release anzupassen, um ein aktuelles Problem zu beheben.“ Allerdings haben nicht alle MSSPs dieselben Support-Verträge mit den Anbietern.

Doch MSSPs sind nicht immer die ideale Investition. Zwar erhöht sich mit dem Know-how des MSSPs die Informationssicherheit, aber der Zugriff eines externen Partners auf die eigene IT-Infrastruktur sowie die Verlagerung wichtiger Speicherorte können das Gesamtrisiko eines Unternehmens erhöhen. „Im schlimmsten Fall werden MSSPs zur einzigen Anlaufstelle für einen Ausfall oder Angriff. Darüber hinaus sind sehr komplexe Umgebungen mit vielen Legacy-Anwendungen möglicherweise nicht das beste Szenario für den Bezug von Managed Security“, gibt Torsten George zu bedenken.

Andreas Riepen, Regional Sales Director für die Region Central Europe bei Vectra AI, sieht beim Verhältnis zwischen MSSPs und Kunden die Gefahr, dass die Erwartungen nicht richtig aufeinander abgestimmt sind. „Entweder ist sich das Unternehmen, das Managed Services in Anspruch nehmen möchte, nicht im Klaren darüber, welche Anforderungen es an den Anbieter stellt, oder der Anbieter hält die vereinbarten SLAs nicht regelmäßig ein. Viele Firmen sind mit ihrem MSSP unzufrieden, weil er nicht genug leistet, um sich in die internen Prozesse des Unternehmens zu integrieren, sondern nur das absolute Minimum, das im Vertrag festgelegt ist.“

Ein gewisses Risiko besteht immer, wenn Firmen ein wichtiges Thema wie IT-Sicherheit teilweise oder ganz nach außen verlagern. Das Unternehmen muss daher zunächst definieren, was es von einem MSSP erwartet und welche Erfolgskriterien es gibt. „Dazu gehören Gespräche mit einer Reihe interner Interessengruppen, um sicherzustellen, dass alle von ihnen die Entscheidung für ein Outsourcing unterstützen und dass sie sich für den Erfolg des gewählten MSSPs einsetzen werden“, so Andreas Riepen.

Damit der Managed Security Provider für umfassenden Schutz sorgen kann, benötigt er Klarheit über die Prozesse und Zuständigkeiten im Unternehmen: Wer ist für Netzwerkzugänge, Anwenderschulung, Server-Administration und weitere Bereiche verantwortlich? Wenn etwa eine Firewall-Konfiguration oder eine Gruppenrichtlinie geändert werden muss: Wer ist dafür zuständig? „Der Anbieter benötigt volle Transparenz über alle Prozesse, Verantwortlichkeiten, Applikationen und bisherige Security-Maßnahmen im Unternehmen. Zudem müssen Firmen sich Gedanken zu den SLAs und Reaktionszeiten machen, die sie von einem MSSP erwarten“, betont Matthias Zacher von IDC.

Ein Service Level Agreement (SLA) enthält verbindliche Normen für die Reaktionszeiten und Garantien bei Sicherheitsvorfällen. Wichtig sind hier aussagekräftige, messbare Kennzahlen. „Firmen sollten zudem ihre Hardware-Infrastruktur prüfen und mit dem Angebot des MSSPs vergleichen sowie potenzielle künftige Änderungen in betrieblichen Abläufen in ihre Überlegungen einbeziehen, damit die Ausgaben nicht zu hoch werden“, so Zacher weiter.

Für die Prüfung und Auswahl des richtigen Dienstleisters sollten sich Unternehmen viel Zeit nehmen. Er muss die richtigen Tools und Services für die Aufgabe bereitstellen. Am besten ist es, die Dienste vorher auszuprobieren. „Wie bei allen IT-Themen sollte der Anbieter entsprechende Erfahrung vorweisen, auf mich als Kunden individuell und flexibel eingehen, transparent agieren und ein Portfolio und Kostenspektrum vorweisen können, das zu mir als Kunden passt. Zudem sollte der MSSP den Kunden nicht mit technischen Fachbegriffen überfordern und Anwendungen mit Mehrwert bieten“, erklärt Olaf Windhäuser, CTO und Mitglied der Geschäftsleitung beim MSSP Optm, bis vor Kurzem unter dem Namen Sysback bekannt.

Hierbei ist es seiner Meinung nach wichtig für Kunden, integrative Lösungen zu finden, damit der „Tool-Zoo“ nicht beständig größer und sukzessive unbeherrschbar wird. Alle Hersteller vergrößern laut Olaf Windhäuser die Funktionsvielfalt ihrer Tools ständig in alle Richtungen. Es ergebe für Kunden aber keinen Sinn, Agent für Agent auf den Servern oder Endgeräten zu installieren und viele Funktionalitäten dann doppelt oder dreifach zu haben. Daher sei die richtige Integration in die Gesamtarchitektur ein wichtiges und zu berücksichtigendes Thema.

Aus Sicht von Optm spielt Cloud-Security die zentrale Rolle für kleine und mittlere Unternehmen, da die dort vorhandenen Standards und Möglichkeiten vom Komplexitätsgrad her niemals in kleinen und mittleren Firmen On-Premises erbracht werden könnten. Kleine und mittelständische Betriebe erhalten durch standardisierte Cloud-Lösungen gute Schutzfunktionen, die ihrem Budget entsprechen. Selbst große Firmen oder Konzerne benötigen laut Olaf Windhäuser sehr viele Funktionen aus der Cloud, da die Korrelation von Angriffen, Daten und Schutzmechanismen nur mit großen Datenmengen und Künstlicher Intelligenz im Hintergrund sauber funktioniere.

Der Anbieter darf seiner Meinung nach den Kunden nicht überfordern, er sollte aber auch nicht als Blackbox agieren. „Wie immer ist es wichtig, das richtige Maß an Information mit dem Kunden auszutauschen, sodass der Kunde sich gut abgeholt und geschützt fühlt. Er sollte verstehen, dass der Schutz aus der Cloud kommt. Viele Unternehmen fürchten sich immer noch vor der Cloud, statt deren Vorteile zu nutzen“, betont Windhäuser.

Auch Volker Bentz, Geschäftsführer beim pfälzischen Systemhaus und MSSP Brandmauer IT, setzt bei den MSSP-Diensten für seine mittelständischen Kunden auf die Cloud. Dafür arbeitet Brandmauer IT mit dem Security-Anbieter Sophos zusammen. Das Angebot reicht hier von Virenschutz as a Service bis hin zu Managed Threat Response und SOC as a Service. „Seit der Corona-Pandemie sind unsere Kunden viel offener für die Cloud, die meisten Bedenken sind ausgeräumt. Viele unserer mittelständischen Kunden setzen zum Beispiel auf Managed Threat Response, weil sie so sichergehen, dass jemand auf sie aufpasst und im Hintergrund ihre Systeme überwacht“, sagt Volker Bentz.

Sophos nutzt bei Managed Threat Response die fortschrittliche XDR-Technologie (Extended Detection and Res­ponse). Sie sammelt und analysiert Logdaten von sämt­lichen IT-Systemen, Netzwerken, Clouds, Endpunkten und Anwendungen, sucht mithilfe von KI nach Anomalien und entdeckt auf diese Weise Bedrohungen und Angriffe. Anschließend leitet das rund um die Uhr verfügbare Managed-Threat-Team von Sophos Maßnahmen ein, um den Angriff einzudämmen und die Bedrohung zu beseitigen. Je nach gewähltem Tarifmodell übernimmt Sophos direkt und autonom, oder es erfolgt eine Rücksprache mit dem Partner-Systemhaus beziehungsweise der Firma selbst.

Nach der Unterzeichnung eines MSSP-Vertrags folgt in der Regel ein Übergangsprozess, um Mitarbeiter, Prozesse und Technologie des Unternehmens auf den Einsatz der Managed Security Services vorzubereiten. Dieser Zeitraum ist den von uns befragten Experten zufolge entscheidend für den letztendlichen Erfolg des Dienstes und wird in der Angebots- und Auswahlphase oft übersehen oder zu wenig berücksichtigt. Der MSSP sollte hier gemeinsam mit dem Kunden die Ziele und Lösungen definieren: Welche Kerngeschäftsprozesse müssen besonders gut geschützt werden? Wo muss die IT-Infrastruktur verbessert werden? Wie viel Schulung benötigt das Personal?

Brandmauer IT startet hier etwa im Rahmen seines „myBIT IT Security Assistance“-Programms (MISA) mit einem 130 Punkte umfassenden Security-Check. Laut Volker Bentz liegt der Erfüllungsgrad bei den meisten Unternehmen nur zwischen 30 und 50 Prozent. „Das Ergebnis ist oft der Türöffner, um die Geschäftsführer der kleinen und mittleren Unternehmen davon zu überzeugen, dass sie mehr Geld für IT-Sicherheit ausgeben und sich besser vor Cyberangriffen schützen müssen. Ich sage immer: Den Return on Investment von IT-Sicherheit kann man auch heute noch nicht berechnen. Im besten Fall vermeiden Ihre IT-Sicherheits-Investitionen aber einen Schaden, von dem Sie nie etwas bemerken“, erklärt Bentz.

Bei den meisten Anbietern melden sich Managed-Security-Kunden über ein sicheres Portal an, um Anfragen zu stellen. Der Sicherheitsanbieter kann dann Sicherheitsereignisse einstufen, Richtlinien ändern, Warnungen senden oder eine Reaktion auf einen Vorfall automatisieren. Der Kunde selbst nutzt in der Regel die Dashboards seines MSSPs, um Berichte über den aktuellen Sicherheits-Status, die Anzahl der Sicherheitsereignisse und Schwachstellen, SLA-Aktivitäten und so weiter zu erstellen.

Häufigere und komplexere Angriffe, der Mangel an qualifizierten internen Experten und unzureichendes IT-Budget führen dazu, dass Firmen immer öfter auf Managed Security Services zurückgreifen.

Im Prinzip eignet sich Managed Security für Unternehmen jeder Größe. Das beginnt bei kleinen Firmen, die sich über die Cloud eine Lösung für Patchmanagement, Antivirus und Anti-Ransomware mit zentralem Backup für ihre gesamten Geräte mieten, über Mittelständler, die mehrere der im Kasten auf Seite 56 genannten Services nutzen möchten, bis hin zu großen Unternehmen, die das gesamte Programm benötigen.

Um die Partnerschaft mit MSSPs erfolgreich zu gestalten, braucht der Anbieter volle Transparenz über alle Prozesse, Verantwortlichkeiten, Applikationen und Security-Maßnahmen im Unternehmen. Zudem müssen Firmen sich Gedanken zu den SLAs und Reaktionszeiten machen, die sie von einem MSSP erwarten, bevor sie den Ausschreibungsprozess starten. Bei der Entscheidung ist von der schlichten Wahl des günstigsten Anbieters abzuraten.