Was soll ein MSSP leisten können?

Bevor ein Unternehmen einen Vertrag mit einem Service-Provider abschließt, sollte der IT-Verantwortliche zunächst klären, welche Bereiche und Aufgaben dem Dienstleister überantwortet werden sollen – falls ihm nicht die Komplettverantwortung für die Sicherheit des Unternehmens übertragen werden soll. Geht es beispielsweise nur darum, Firewalls und deren Logs aus der Ferne zu überwachen, eine Aufgabe, die besonders kleinere Unternehmen häufig vor große Schwierigkeiten stellt, oder soll der Service auch Dinge wie E-Mail-Archivierung oder Schutz vor Spam und Malware umfassen?

Matthias Röhr, Lead Consultant für IT-Security bei der iT-CUBE Systems AG, rät: „Gerade kleine und mittlere Unternehmen dürfen vor der Auswahl eines Service-Providers und eines entsprechenden Leistungspakets die Anforderungsanalyse nicht außer Acht lassen. Üblicherweise sind die Budgets bei KMUs sehr begrenzt, deshalb muss klar sein, welches Sicherheitsrisiko mit welcher Security-Lösung adressiert werden soll und was diese leistet.“

Röhr gibt zu bedenken, dass in den Fällen, in denen hoch spezifische Anforderungen zu erfüllen sind, die nicht mit den regulären Angeboten der Service-Provider in Einklang zu bringen sind, Sonderlösungen maßgeschneidert werden müssen: „Hier sinkt dann die Kosteneffizienz der Dienstleister und es kann unter Umständen sinnvoll sein, die notwendigen Ressourcen zur Leistungserbringung im eigenen Unternehmen zu schaffen. Oft relativieren sich solche hoch spezifischen Anforderungen aber auch, sodass ein tragfähiger Kompromiss gefunden werden kann.“

Ortwin Wohlrab, CEO und Vorstandsvorsitzender der Netfox AG, schildert eine Erfahrung aus seiner Praxis: „Dienstleistungen eines MSS-Providers können zum Schützen von heiklen Daten dienen, aber nicht nur. Sie können auch Grundlage sein für den Ausbau des eigenen Geschäfts, wie das Beispiel eines Ingenieurbüros mit rund 30 Mitarbeitern zeigt. Um an Aufträge der öffentlichen Hand zu kommen, musste die IT- und Rechenzentrumsinfrastruktur des Büros bestimmten Auflagen genügen. Diese aus eigener Kraft zu erfüllen und die jährlich neu anstehende Zertifizierung zu überstehen, wäre ein finanzieller Kraftakt gewesen – der durch die Wahl eines MSS-Anbieters vermieden wurde.“

Vergessen und viel zu stiefmütterlich behandelt werden in diesem Zusammenhang häufig die Backups – auch sie sind ein entscheidender Teil des Sicherheitskonzepts und vielfach sogar gesetzlich vorgeschrieben. Das gilt etwa dann, wenn es sich um personenbezogene Daten handelt, zum Beispiel um Informationen über Kunden und Mitarbeiter.

Firmen, die hier auf externe Sicherheitsdienstleister setzen, können sich damit die schnell teuer werdenden Erweiterungen der Storage-Hardware sparen und – das ist besonders für kleinere Unternehmen wichtig – die Daten werden sicher ausgelagert, ohne dass der Chef die Bänder mit nach Hause nehmen muss.