Sicherheit gehört seit jeher zu den wichtigsten Themen innerhalb der IT. In den letzten Jahren ist allerdings deutlich geworden, dass die Zahl und die Art der Bedrohungen von außen immer umfangreicher und komplexer wird. Dementsprechend müssen die IT-Verantwortlichen in den Unternehmen über neue Entwicklungen in diesem Bereich permanent auf dem aktuellsten Stand sein, um das Funktionieren der IT-Infrastruktur und die Datensicherheit zu gewährleisten.
KMUs sind häufig überfordert
Es hat sich gezeigt, dass gerade kleine und mittelständische Unternehmen (KMU) oft nicht über die personellen und finanziellen Ressourcen verfügen, um die Vielzahl der Aufgaben in puncto IT-Sicherheit zu erfüllen. Oder umgekehrt: Der personelle und finanzielle Aufwand wird zu hoch, um vom Budget gedeckt werden zu können. In diesen Fällen ist eine Auslagerung der Sicherheitsdienste die wirtschaftlich günstigere Möglichkeit – womit wir bei unserem Thema Managed Security Services (MSS) sind.
Was sagt die Statistik zum MSS-Marktbedarf?
Hintergrund: Mittelständische deutsche Unternehmen sind in ihren Geschäftsbereichen häufig so genannte Hidden Champions. Das sind Firmen, die der breiten Masse unbekannt sind, aber trotzdem zu internationalen Marktführern gehören. Deshalb stellen sie ein attraktives Ziel für Cyberattacken dar. Eine Studie von Hiscox, einem international tätigen Spezialversicherer, kommt zu dem Ergebnis, dass im Jahr 2019 47 % aller kleinen und 63 % aller mittleren Unternehmen in Deutschland mindestens einmal von einem Angriff betroffen waren. Im Jahr 2018 waren es noch 33 % und 36 %. Verbunden ist das Ganze mit wirtschaftlichen Schäden, die schnell mal fünf- bis sechsstellige Summen ergeben. Das sind alarmierende Zahlen – vor allem auch die Zuwächse – die deutlich zeigen, wie wichtig das Thema IT-Sicherheit ist.
Wie können Managed Security Services helfen?
Der Begriff Managed Security Services – manchmal auch als Security as a Service bezeichnet – umschreibt sämtliche Dienstleistungen im Bereich der IT-Sicherheit, die von professionellen Anbietern übernommen werden, um die Mitarbeiter des eigenen Unternehmens zu entlasten und gleichzeitig die Kosten für diesen Sektor in fest umrissenen Grenzen zu halten. Bei der Recherche nach Vor- und Nachteile sind wir u.a. auf diese Gegenüberstellung „Inhouse-Betrieb“ vs. „Managed Security Services“ aufmerksam geworden und fassen die wesentlichen Punkte wie folgt zusammen:
- Einen wichtigen Punkt haben wir bereits angesprochen, nämlich die häufig mangelhafte Ausstattung bei Personal und finanziellen Mitteln in kleinen und mittelständischen Unternehmen. Im Gegensatz zu MSS-Providern können sie sich nicht kontinuierlich und konsequent mit neu aufkommenden Bedrohungen auseinandersetzen und entsprechende Schulungsmaßnahmen zeitlich als auch finanziell leisten.
- Bei professionellen Dienstleistern arbeiten ausschließlich IT-Security-Experten, die sich tagtäglich auf die IT-Sicherheit, aktuelle Bedrohungen, Entwicklungen in der Cyber-Kriminalität mit den damit notwendigen Abwehrstrategien konzentrieren.
- Renommierte Provider bieten eine Überwachung von Netzwerken rund um die Uhr an sieben Tagen die Woche an. Das kann das verantwortliche Personal von KMUs in aller Regel nicht bewerkstelligen.
- Die Leistungen für Managed Security Services lassen sich bei seriösen Anbietern vertraglich ganz individuell vereinbaren und auf die Bedürfnisse des eigenen Unternehmens zuschneiden. Das betrifft die Installation von Updates und Sicherheits-Patches, die Protokollierung und Dokumentation oder die Art von Benachrichtigungen im Ernstfall. Heutzutage ist es können Gegenmaßnahmen auch aus der Ferne von externen IT-Sicherheitsexperten ergriffen werden, wodurch beispielsweise die Kosten für Anfahrt wegfallen.
Die Entscheidung für Managed Security Services will gut überlegt sein
Wo Licht ist, ist bekanntlich auch Schatten. Die Entscheidung, ob Managed Security Services in Anspruch genommen werden sollen oder nicht, will gut überlegt sein. Dafür müssen zunächst Vereinbarungen mit dem MSS-Provider getroffen werden, auf welchem Qualitätslevel die Überwachung und Kontrolle der IT-Infrastruktur stattfinden soll und auf welche Daten der Dienstleister zugreifen darf. Denn schließlich kann auch der Anbieter Ziel einer Cyberattacke werden, so dass die Daten seiner Kunden in falsche Hände geraten.
In einem zweiten Schritt ist zu klären, wie weit eine technische Kompatibilität zwischen beiden Vertragsparteien besteht, damit es nicht zu Problemen von Hard- und Software-Standards zwischen Provider und Kunde kommt. Drittens sollten die Bedingungen bei einem möglichen Provider-Wechsel oder bei der Rückführung in die eigene Verantwortung festgehalten werden. Deshalb ist eine klare vertragliche Vereinbarung über sämtliche Leistungen – Monitoring, Dokumentationsmethode, Reaktionszeiten usw. – des MSS-Providers zu empfehlen.
