Kosten im Blick

Apropos Kosten von Managed Security Services: Naturgemäß sind die Anbieter solcher Dienste zurückhaltend, wenn es da­rum geht, Zahlen zu nennen: „Das hängt vom Einzelfall ab“, erklärt Holger Hartwig von Capgemini, also den individuellen Anforderungen des Nutzers, dessen Schutzbedarf und der im eigenen Haus vorhandenen Expertise im Bereich IT-Sicherheit. Hartwig führt folgendes Kostenbeispiel an: „Wenn wir über einen Monitoring- und Analytics-Service auf einem kundeneigenen SIEM-System sprechen, liegen wir bei einer Vertragslaufzeit von 36 Monaten bei etwa 500.000 Euro bis 800.000 Euro.“

Kosteneinsparungen von bis zu 50 Prozent sind nach Angaben von Marcus Schmid, Associate Partner IBM DACH Security Services, möglich: „Um punktuelle IT-Security-Lösungen inhouse zu betreiben, sind mindestens sieben bis acht Fachleute nötig. Diese lassen sich für andere, wichtigere Aufgaben einsetzen, wenn ein Managed Security Service zum Zuge kommt.“

Ein Punkt, der gemanagte Sicherheitsdienste künftig noch attraktiver machen könnte, ist die Einbindung von Technologien wie Künstliche Intelligenz und maschinelles Lernen (ML). „Diese Ansätze tragen bereits heute dazu bei, IT-Umgebungen sicherer zu machen“, konstatiert Michael Cerny von IBM. Allerdings ist es nicht das Ziel, mit Hilfe von KI und Machine Learning Security-Experten überflüssig zu machen. Vielmehr sollen diese Techniken Fachleuten dabei helfen, sogenannte Incidents zu erkennen und zu untersuchen.

Solche Angebote erfordern einen hohen technischen Aufwand. Daher bietet es sich für Unternehmen an, sie als Managed Service zu nutzen. Wer nicht riskieren möchte, dass seine Geschäftsdaten ungefragt in Fernost landen oder sein Unternehmensnetz infiltriert und lahmgelegt wird, sollte die Nutzung solcher Dienste durchaus ins Auge fassen.

Angesichts der großen Zahl von Anbietern ist es für Unternehmen schwierig, den passenden Managed-Security-Ser­vices-Provider zu finden. Dies gilt umso mehr, als auch jeder individuelle Anforderungen in Bezug auf IT-Sicherheitsmaßnahmen hat. Es gibt allerdings etliche Kriterien, die bei der Auswahl eines MSSP helfen.

Kosten: Hier sollten Firmen prüfen, ob mit der Nutzung des Managed Services Anschaffungen verbunden sind, etwa der Einsatz von speziellen IT-Security- oder Monitoring-Systemen. Dies kann die Kosten deutlich erhöhen.

Funktionen und eingesetzte Technologien: Ausgangspunkt ist eine Bestandsaufnahme nach dem Motto „Welche Security-Dienste brauchen wir?“. Dies gibt Aufschluss über die benötigten Dienste, von herkömmlichen Antivirus-Lösungen über das Scannen auf Sicherheitslücken (Vulnerability Scanning) bis hin zu einem SIEM (Security Information Event Management) und Incident-Response-Diensten.

Reports und Insights: Zu klären ist, wie oft der Anbieter Berichte und Analysen, sogenannte Insights, bereitstellt und welche Informationen diese enthalten. Denn die hauseigene IT-Abteilung sollte über alle
sicherheitsrelevanten Vorfälle Kenntnis haben. Zudem sind solche Berichte notwendig, um die Einhaltung von Compliance- und Datenschutzregelungen zu dokumentieren.

Lückenloses Monitoring: Ein Großteil der gemanagten Security Services steht rund um die Uhr zur Verfügung. Nutzer sollten allerdings nachfragen, ob das für alle gebuchten Services gilt. Es kann durchaus vorkommen, dass diese Verfügbarkeit nur für Premium-Dienste vorgesehen ist.

Kommunikations- und Eskala­tionsstrategie: Wenn es zu einem Incident kommt, sollte klar sein, wann, auf welchem Weg und an wen diese Informationen aufseiten des Kunden weitergegeben werden. Zudem muss trans­parent sein, wie ein MSSP auf Vorfälle reagiert und welche Gegenmaßnahmen er ergreifen kann.

Partnerschaften: Kein Managed-Security-Dienstleister verfügt über Hard- und Software, mit der sich alle Sicherheitsprobleme lösen lassen. Daher sollte man nachfragen, mit welchen Technologie- und strategischen Partnern der Anbieter zusammenarbeitet, etwa bei Firewall- oder SIEM-Systemen.

Einsatz von Technologien wie KI und ML: Eine schnelle und automatisierte Behebung von IT-Sicherheitsproblemen erfordert zunehmend den Einsatz von KI und maschinellem Lernen. Der Provider sollte daher darlegen, welche Technologien er nutzt und welche Services davon profitieren.

Unterstützung von hybriden Infrastrukturen: Auch deutsche Unternehmen nutzen verstärkt Hybrid Clouds. Sie brauchen daher IT-Sicherheitsdienste, die auch solche Umgebungen schützen.

Präsenz in allen relevanten Regionen: Unternehmen, die in mehreren Ländern aktiv sind, sollten überall die Managed Security Services ihres Providers nutzen können. Wichtig ist zudem ein lokaler Support in der Landessprache.

Zertifizierungen: Über welche Zertifikate verfügen der MSSP und dessen Rechenzentren sowie Security Operations Center (SOCs)? Wichtig für deutsche Nutzer sind Zertifikate, die in der EU und Deutschland relevant sind, etwa ISO 27001.

Optionales Device-Management: Die Verwaltung von IT-Sicherheitslösungen des Kunden ist zwar keine klassische Aufgabe eines MSSP. Doch für manche Unternehmen ist es hilfreich, wenn sie auch solche Funktionen auslagern können.