Managed Security Services (MSS)
Vielfältige Angebotspalette
von Bernd Reder - 14.03.2019
Führend bei MSS: Weltweit als „Leaders“ sieht Gartner Secureworks, IBM, Symantec, Verizon und Trustwave.
(Quelle: Gartner, Dez. 2017)
Die klassischen Aufgaben, die ein Managed-Security-Services-Provider übernehmen kann, sind jedoch andere: ein Security-Monitoring, Sicherheitsanalysen, das Aufspüren und Schließen von Schwachstellen sowie Threat-Intelligence-Dienste. Hinzu kommen Angebote wie SIEM sowie Incident-Response-Dienste. Solche Services werden meist über spezielle Rechenzentren bereitgestellt: Security Operations Center (SOCs). Unternehmen können zudem auf GRC-Services (Governance, Risk, Compliance) zurückgreifen. Sie prüfen, ob ein Unternehmen Compliance-Vorgaben einhält, und erstellen entsprechende Reports, die der Kunde dann bei den Aufsichtsgremien vorlegen kann.
Überzeugungsarbeit leisten
Trotz der Einsicht bei einer wachsenden Zahl von Unternehmen, dass IT-Security nach dem Do-it-yourself-Ansatz nicht mehr funktioniert, sind Managed Security Services kein Selbstläufer. Vielmehr müssen Dienstleister ihre Kunden immer noch vom Nutzen gemanagter Sicherheitsservices überzeugen. So gelte es Ängste zu überwinden, die internen IT-Fachleute verlören die Kontrolle über die IT-Umgebung, bestätigt Philipp Röttgen von Atos: „Managed-Security-Services-Provider müssen somit nicht nur in technischer Hinsicht auf dem neuesten Stand der Technologien und Entwicklungen sein. Sie müssen sich auch als zuverlässiger und vertrauenswürdiger Partner erweisen.“
Philipp Röttgen
Partner und Channel Manager Cybersecurity bei Atos Deutschland
Partner und Channel Manager Cybersecurity bei Atos Deutschland
https://atos.net/de/deutschland
Foto: Atos
„Ein Security-Service-Provider kann durch Consulting-Leistungen interne Abteilungen des Kundenunternehmens bei deren Auswahl und Strategie beim Einsatz von Security-Leistungen beraten.“
Befürchtungen, dass sich ein Unternehmen einem MSSP „ausliefert“, hält Holger Hartwig von Capgemini für überzogen. Natürlich binde sich ein Nutzer an einen Service-Provider. „Aber wenn der Service in Ordnung ist, stellt das kein Problem dar. Und wenn der Service nicht stimmt, stehen einem Kunden die vertraglich festgelegten Sanktionsmöglichkeiten zur Verfügung, bis hin zur Vertragsauflösung.“
Dienste für KMUs
Das derzeit vorhandene Angebot an Managed Security Services ist zu einem großen Teil auf die Anforderungen von Großunternehmen abgestimmt, die über mehrere 1.000 IT-Arbeitsplätze verfügen. Das spiegelt sich auch in den Marktanalysen von Beratungshäusern wider. „Auf dem Markt finden sich etliche interessante Managed Services“, so Jürgen Jakob, Geschäftsführer von Jakobsoftware, einem Value Added Reseller (VAD) mit Fokus auf IT-Security. „Diese Dienste sind allerdings oftmals komplex und auf die Anforderungen von Konzernen zugeschnitten. Daher sind für kleinere Unternehmen weder der damit verbundene Aufwand noch die Kosten zu schultern.“
Generell empfiehlt Jakob aber auch kleinen und mittelständischen Unternehmen, Aufgaben im Bereich IT-Sicherheit an Service-Anbieter auszulagern. „Selbst kleinere Projekte, etwa sichere E-Mail-Postfächer, würden sich schnell bezahlt machen: Der Nutzer spart Hard- und Software für den Mailserver, zudem die Kosten für Lizenzen und die Wartung.“
Jakob rät daher kleinen und mittelständischen Unternehmen, sich auf dem MSSP-Markt nach Anbietern umzusehen, die nicht nur die Großen im Blick haben. „Solche Anbieter haben häufig einen besseren Blick für kleinere Kunden und häufig eine einfachere Handhabung der Services.“
Ein Knackpunkt ist jedoch speziell bei KMUs die Ausarbeitung der Verträge für Managed-Security-Dienste. Sowohl Kunden wie Anbieter tun sich Jakob zufolge damit schwer. Ein kritischer Punkt sind die regelmäßig anfallenden Kosten für solche Services. Allerdings sollten Nutzer bedenken, dass der Aufbau und Unterhalt einer internen IT-Sicherheitsinfrastruktur einen höheren finanziellen Aufwand bedeuten können.
