Rundum-Schutz

Nach Einschätzung von IBM setzen Unternehmen im Schnitt mehr als 80 unterschiedliche IT-Sicherheits-Tools von mehr als 40 Anbietern ein. „Solche ‚Point Solutions‘ kommen in speziellen Bereichen zum Einsatz, etwa dem Security Information and Event Management, kurz SIEM, oder dem Identity and Access Management“, erläutert Michael Cerny von IBM. Dadurch sei es schwer, mit akzeptablem finanziellem und personellem Aufwand eine ganzheitliche Sicht auf Cyberbedrohungen sicherzustellen und Angriffe abzuwehren.

Gerade diesen ganzheitlichen Ansatz lassen viele Firmen vermissen, so Holger Hartwig, Experte für Cyber-Security-Services bei der Unternehmensberatung Capgemini. Sie würden sich zu sehr auf Einzelmaßnahmen verlassen: „Das ist in etwa so, als würde man einen Türsteher damit beauftragen, die Eingangstür zu bewachen, während man nicht weiß, wie viele Fenster das Haus hat und ob diese geschlossen sind. Das ist Stückwerk.“ Sein Rat: „Mit Managed Services können Firmen mit ihrem Dienstleister den gewünschten Zielzustand definieren und die Qualität des Services über Service-Levels prüfen. Damit gibt man natürlich die Kontrolle über die operative Steuerung ab, erhält aber ein Ergebnis, das dem gewünschten Zielzustand entspricht: ein sicheres Unternehmen.“

Vor diesem Hintergrund ist es nachvollziehbar, dass laut einer Studie der IDG Research Services mittlerweile 54 Prozent der deutschen Unternehmen auf Managed Security Services zurückgreifen. An die 40 Prozent nutzen sogar zwei oder drei Dienste. In erster Linie wollen die Nutzer mit Hilfe von externen Security-Spezialisten das IT-Sicherheitsniveau verbessern (42 Prozent). Doch auch eine höhere Rechtssicherheit und ein geringerer Aufwand beim Schutz von Daten und IT-Systemen sind wichtige Faktoren. Interessanterweise spielen Kos­ten­einsparungen durch MSS nur für rund 29 Prozent der Unternehmen eine wichtige Rolle. Dies ist ein Indiz dafür, dass Firmen allmählich die strategische Bedeutung von IT-Sicherheit erkennen.

Im ersten Schritt müssen sich Interessenten allerdings darüber klar werden, welche Art von Dienstleistung sie überhaupt wollen beziehungsweise benötigen, so Kai Grunwitz: „Man muss zunächst zwischen Managed Services und Managed Security Services differenzieren.“ Oftmals werde der klassische Betrieb etwa von Infrastrukturen als Managed Security Service klassifiziert. „Dies ist meiner Ansicht nach falsch“, so Grunwitz. „Es handelt sich um das Auslagern einer Betriebsleistung, nicht um einen Ma­naged Security Service.“ Beispiele für Managed-Security-Dienste sind seiner Ansicht nach das frühzeitige Erkennen und Abwehren von Cyberbedrohungen und -angriffen. „Weiterhin können Managed Security Services auch beim Key-Management oder beim Vulnerability-Management sinnvoll eingesetzt werden.“

Einen zusätzlichen Aspekt bringt Philipp Röttgen ins Spiel, Partner und Channel Manager Cyber-Security bei Atos Deutschland: „Ein Security-Service-Provider greift nicht nur auf ein großes Lösungs-Portfolio zurück, er kann auch durch Consulting-Leistungen interne Abteilungen des Kundenunternehmens bei der Auswahl und beim Einsatz von Security-Leistungen beraten.“ Ein Unternehmen könne den Managed-Security-Services-Provider (MSSP) zudem mit dem Betrieb der IT-Sicherheitsinfrastruktur beauftragen. Solche Beratungsleistungen umfassen etwa die Analyse der IT-Umgebung, um Sicherheitsrisiken zu erkennen und Datenbestände zu identifizieren, die für Angreifer besonders interessant sind.