Managed Security Services (MSS)
Rundum-Schutz
von Bernd Reder - 14.03.2019
Top-10-Kriterien für MSS-Provider: Know-how und Kosten sind für deutsche Unternehmen am wichtigsten.
(Quelle: IDC Research Service, n = 194 )
Gerade diesen ganzheitlichen Ansatz lassen viele Firmen vermissen, so Holger Hartwig, Experte für Cyber-Security-Services bei der Unternehmensberatung Capgemini. Sie würden sich zu sehr auf Einzelmaßnahmen verlassen: „Das ist in etwa so, als würde man einen Türsteher damit beauftragen, die Eingangstür zu bewachen, während man nicht weiß, wie viele Fenster das Haus hat und ob diese geschlossen sind. Das ist Stückwerk.“ Sein Rat: „Mit Managed Services können Firmen mit ihrem Dienstleister den gewünschten Zielzustand definieren und die Qualität des Services über Service-Levels prüfen. Damit gibt man natürlich die Kontrolle über die operative Steuerung ab, erhält aber ein Ergebnis, das dem gewünschten Zielzustand entspricht: ein sicheres Unternehmen.“
Dienstleister - übernehmen Sie!
Vor diesem Hintergrund ist es nachvollziehbar, dass laut einer Studie der IDG Research Services mittlerweile 54 Prozent der deutschen Unternehmen auf Managed Security Services zurückgreifen. An die 40 Prozent nutzen sogar zwei oder drei Dienste. In erster Linie wollen die Nutzer mit Hilfe von externen Security-Spezialisten das IT-Sicherheitsniveau verbessern (42 Prozent). Doch auch eine höhere Rechtssicherheit und ein geringerer Aufwand beim Schutz von Daten und IT-Systemen sind wichtige Faktoren. Interessanterweise spielen Kosteneinsparungen durch MSS nur für rund 29 Prozent der Unternehmen eine wichtige Rolle. Dies ist ein Indiz dafür, dass Firmen allmählich die strategische Bedeutung von IT-Sicherheit erkennen.
Im ersten Schritt müssen sich Interessenten allerdings darüber klar werden, welche Art von Dienstleistung sie überhaupt wollen beziehungsweise benötigen, so Kai Grunwitz: „Man muss zunächst zwischen Managed Services und Managed Security Services differenzieren.“ Oftmals werde der klassische Betrieb etwa von Infrastrukturen als Managed Security Service klassifiziert. „Dies ist meiner Ansicht nach falsch“, so Grunwitz. „Es handelt sich um das Auslagern einer Betriebsleistung, nicht um einen Managed Security Service.“ Beispiele für Managed-Security-Dienste sind seiner Ansicht nach das frühzeitige Erkennen und Abwehren von Cyberbedrohungen und -angriffen. „Weiterhin können Managed Security Services auch beim Key-Management oder beim Vulnerability-Management sinnvoll eingesetzt werden.“
Einen zusätzlichen Aspekt bringt Philipp Röttgen ins Spiel, Partner und Channel Manager Cyber-Security bei Atos Deutschland: „Ein Security-Service-Provider greift nicht nur auf ein großes Lösungs-Portfolio zurück, er kann auch durch Consulting-Leistungen interne Abteilungen des Kundenunternehmens bei der Auswahl und beim Einsatz von Security-Leistungen beraten.“ Ein Unternehmen könne den Managed-Security-Services-Provider (MSSP) zudem mit dem Betrieb der IT-Sicherheitsinfrastruktur beauftragen. Solche Beratungsleistungen umfassen etwa die Analyse der IT-Umgebung, um Sicherheitsrisiken zu erkennen und Datenbestände zu identifizieren, die für Angreifer besonders interessant sind.