„Von einem hybriden Modell rate ich ab“

com! professional: Welche Managed Security Services (MSS) können Unternehmen nutzen, um sich besser abzusichern?

Matthias Zacher: Die Basic-Managed-Security-Services umfassen das 24/7-Monitoring und -Management der Systeme, Fire­walls, Patch-Management und Upgrades. Dazu kommen Ad­vanced Services wie Identity and Access Management, Threat Intelligence, Incident Response, aber auch Forensik und Mobility. Neben den klassischen Managed Security Services gibt es immer mehr Angebote aus der Cloud, die Cloud-hosted Enterprise Security Services (CHESS).

com! professional: Was unterscheidet Managed Security Services von Cloud-Services?

Zacher: Security as a Service wird oft von einzelnen Herstellern angeboten. Ein klassischer Managed-Security-Dienstleister dagegen baut meist eine Plattform aus vielen verschiedenen Lösungen.

com! professional: Ist es sinnvoll, in Eigenregie verschiedene Security Services aus der Cloud zu kombinieren?

Zacher: Das kann man tun, es stellt sich dann aber die Frage, was für eine Architektur darunterliegt. Wenn man ein größeres Unternehmen ist und ein eigenes Security Operation Center (SOC) betreibt, kann man die Services in dieser Plattform zusammenführen. Ob man das weitgehend automatisiert macht oder stärker manuell eingreift ist Ansichtssache. Wichtig ist nur, dass am Ende alle Informationen in einer Oberfläche zusammenlaufen, um im Angriffsfall schnell reagieren zu können.

com! professional: Als kleineres Unternehmen werde ich mir aber kein eigenes SOC leisten können.

Zacher: In solchen Fällen ist eine automatisierte Lösung sicher eine gute Sache. Die Spezialisten bieten dank analytischer Systeme Erkennungsraten und Reaktionszeiten, die ein kleines Unternehmen aus eigener Kraft gar nicht erreichen könnte.

com! professional: Sind Managed Security Services also hauptsächlich etwas für kleinere Unternehmen?

Zacher: Das hängt vom Einzelfall ab. Immer wenn man wenig Aufwand betreiben möchte, ist ein gemanagter Dienst sinnvoll. Wenn man bereits eine ausgefeilte Security-Infrastruktur hat, ist es vielleicht besser, diese weiterzuentwickeln. Nur von einem hy­briden Modell, also der Kombination eigener Ressourcen mit externen Services, rate ich ab. Das kann relativ teuer werden. Wenn man schon Dienste an einen MSSP auslagert, dann sollte man das relativ komplett machen.

com! professional: Nach welchen Kriterien sollte ich einen MSS-Dienstleister auswählen?

Zacher: Es gibt Empfehlungslisten, die aber nur für eine erste Einteilung geeignet sind. Bei der endgültigen Auswahl sollte man sich unbedingt beraten lassen. Die Gefahrenlage ist so komplex und verschärft sich ständig, da muss ein Fachmann ran.

com! professional: Hat es auch Nachteile, wenn ich meine IT-Sicherheit outsource?

Zacher: Sie verlieren ein Stück weit die Kontrolle über Ihre Systeme. Man weiß gar nicht: Was macht der Dienstleister da eigentlich? Welche Daten schaut er sich an, womit beschäftigt er sich? Und Sie haben natürlich kein eigenes Know-how mehr. Wenn etwas passiert, sind Sie komplett auf die externen Ressourcen angewiesen. Deshalb muss man sich sehr gut informieren, um zu verstehen, was die andere Seite eigentlich macht. Das gilt umso mehr, wenn ich mich in einer Branche bewege, die starken Reglementierungen unterliegt. Dann muss ich hundertprozentig sicher sein können, dass der Service-Anbieter alle Compliance-Anforderungen kennt und abdeckt.

com! professional: Auf welche Kriterien sollte man achten?

Zacher: Natürlich sollte der Dienstleister die notwendigen Zertifizierungen vorweisen, dann aber auch sehr transparent darlegen können, wie er vorgeht, auf welche Systeme er zugreift, wie seine Organisationsstruktur aussieht und wie die Prozesse im Detail definiert und gestaltet sind. Die IT-Verantwortlichen sollten sich auch direkt mit den Personen beim Dienstleister unterhalten, mit denen sie zusammenarbeiten werden. Schließlich kann sich ein Unternehmen auch noch bei Dritten informieren. Auch Fragen der Vertragsgestaltung gehören dazu – Vertraulichkeitserklärung, Geheimhaltung, Datenschutzvereinbarung. Die Service Level Agreements müssen konkret und verständlich sein, sodass man sie auch hinterfragen kann. Vor allem aber muss man ein gutes Gefühl haben, wenn die ganzen formalen Dinge abgearbeitet sind.