Entspannung an der IT-Sicherheitsfront ist auf absehbare Zeit nicht in Sicht. Darin waren sich alle IT-Sicherheitsexperten einig, die sich auf Einladung der COMPUTERWOCHE zu einer Diskussionsrunde zum Thema "Managed Security Services" trafen. Im Gegenteil: Die Angriffsfläche wird größer. Dazu tragen mehrere Faktoren bei, etwa die Digitalisierung von Geschäftsprozessen oder die Vernetzung von Systemen in Handel, Logistik und der Industrie.
"Unternehmen, aber auch öffentliche Einrichtungen, sehen sich mit einer stark veränderten Bedrohungslage konfrontiert", bestätigt Markus Draeger, Senior Consultant Security Strategy bei Fujitsu. So rücken nicht nur IT-Systeme, sondern auch OT-Komponenten (Operational Technology) in den Fokus. OT-Systeme kommen beispielsweise in Kraftwerken und Produktionsumgebungen zum Einsatz. "Zudem haben sich neue Angriffsformen entwickelt, beispielsweise mithilfe von Ransomware", sagt Draeger.
Informationen zu den Partnerpaketen für die Managed Security-Studie
Hinzu kommt ein weiterer Faktor: Sicherheitslecks und der Verlust geschäftskritischer Daten durch Hacker-Angriffe sind seit dem 25. Mai 2018 in besonderem Maße heikel. Denn ab diesem Tag greifen die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO). Diese sieht verschärfte Datenschutzvorgaben für Unternehmen vor, in Verbindung mit härteren Sanktionen bei Verstößen.
Beide Entwicklungen stellen Unternehmen vor etliche Herausforderungen, vor allem kleinere Firmen, die sich keine umfangreichen IT-Abteilungen leisten können: "Speziell für kleine und mittelständische Unternehmen ist es schwierig, die Sicherheit von immer komplexeren IT-Infrastrukturen zu gewährleisten", sagt Peter Neumeier, Head of Channel Sales Germany beim IT-Security-Spezialisten Kaspersky.
Experten führender Anbieter von gemanagten IT-Sicherheitsservices zeigten auf, welche Vorteile gemanagte IT-Sicherheitsdienste Unternehmen bieten können. Allerdings wiesen die Fachleute darauf hin, dass auch die Anwender ihre Hausaufgaben machen müssen. Dazu zählt, bei allen Mitarbeitern das Bewusstsein für Gefahren durch Hacker-Angriffe und den fahrlässigen Umgang mit Daten und IT-Systemen zu schärfen.- Reza Ghafouri, Vertriebsleiter Süd bei der AXIANS IT Security GmbH
"Nach den Erfahrungen von Axians besteht für Kunden eine der größten Herausforderungen darin, dass sie bei IT-Sicherheitsproblemen umgehend reagieren müssen. Doch das passiert leider nicht in jedem Fall. Oft fehlt die Zeit,um die Daten von SIEM-Systemen oder Monitoring-Lösungen auszuwerten. Teilweise sind Unternehmen nicht einmal in der Lage, solche Systeme zu installieren und zu betreiben. Der Kunde wird dadurch zum Flaschenhals. Abhilfe kann ein Managed Security Services Provider schaffen. Wichtig ist jedoch, dass ein Anbieter solcher Dienste über eine tief greifende Erfahrung mit entsprechenden Projekten verfügt." - Mark Hartmann, Product Manager Device & Application Control and AI bei Drivelock
"Unternehmen müssen nicht nur darauf bedacht sein, geschäftskritische Daten zu schützen. Auch Prozesse sollten unter dem Aspekt IT-Security analysiert und optimiert werden. Ein vollständig vom Hersteller gemanagter Security Service kann dazu beitragen, wichtige internen Ressourcen freizusetzen, die sich dann wieder auf ihre eigentliche Aufgabekümmern kann: die strategische Weiterentwicklung der IT im Unternehmen. Die Aufklärung über IT-Sicherheitsrisiken darf jedoch nicht allein IT-Sicherheitsunternehmen und Managed Security Services Providern überlassen bleiben. Auch staatliche Einrichtungen sowie Schulen und Universitäten sind in der Pflicht." - Peter Neumeier, Head of Channel Sales Germany bei Kaspersky (D-A-CH):
"Speziell für kleine und mittelständische Unternehmen ist es schwierig, die Sicherheit von immer komplexeren IT-Infrastrukturen zu gewährleisten. Dennoch mangelt es solchen Unternehmen an Wissen und dem Bewusstsein, Aufgaben im Bereich IT-Sicherheit an Experten auszulagern, etwa an einen Anbieter von Managed Security Services. Daher ist es eine der Aufgaben eines MSSPs, in die Unternehmen hineinzugehen und die Führungskräfte für das Thema IT-Security zu sensibilisieren. Das giltfür Systemhäuser und Service-Provider: Auch sie müssen die Tragweite dieses Themas erkennen." - Christian Hofstadt, Business Strategy Manager bei PlusServer
"Häufig greifen Unternehmen erst dann auf die Hilfe externer IT-Sicherheitsspezialisten zurück, wenn sie Opfer von Cyber-Angriffen wurden. Besser ist eine proaktive Strategie, die Schäden durch solche Attacken bereits im Voraus verhindert. Zudem sollten Unternehmen vor allen Dingen die notwendigen Kommunikationskanäle einrichten, über die sicherheitsrelevante Vorkommnisse unkompliziert und ohne Bedenken oder Hemmung des Einzelnen gemeldet werden können. Zu den wichtigen Aufgaben eines MSSP zählt wiederum, dass er seine Kunden über Sicherheitsrisiken und Schutzmaßnahmen aufklärt. Mithilfe einer Business-Impact-Analyse lässt sich beispielsweise ermitteln, welchen Schaden bestimmte Sicherheitslecks und unzureichende Schutzmaßnahmen verursachen können." - Sven Schaefer, Business Development Consultant bei Rackspace
"Aus Sicht von Kunden ist wichtig, dass ein Managed Security Services Provider schnell Angriffe auf deren IT-Infrastruktur und Daten stoppt und sie dabei unterstützt, solche Attacken in Zukunft zu verhindern. Die Zusammenarbeit zwischen einem Unternehmen und einem Anbieter von gemanagten IT-Sicherheitsservices funktioniert jedoch nur dann, wenn der Kunde Daten über den Ausbau seiner IT-Infrastruktur und Applikationslandschaft liefert. Das schließt beispielsweis Informationen über die Cloud-Strategie mit ein. Auch Notfallpläne sind im Bereich IT-Security unverzichtbar. " - Lars Kroll, Cyber Security Strategist bei Symantec
"IT-Sicherheit ist ein Prozess. Das bedeutet, das ein Anbieter von Managed Security Services bei Kunden regelmäßig Analysen durchführt und Vorschläge erarbeitet, wie sich die IT-Sicherheitslage optimieren lässt. Hilfreich ist, wenn Unternehmen beim Provider einen festen Ansprechpartner haben. Das schafft Vertrauen und vereinfacht Abstimmungsprozesse. Wichtig ist zudem, dass sich Managed Security Services Provider nicht nur auf Großunternehmen konzentrieren. Sie sollten auch preisgünstige Angebote für kleine und mittelständische Unternehmen bereithalten." - Dr. Markus Draeger, Senior Consultant Security Strategy bei Fujitsu
"Durch Ansätze wie Industrie 4.0 entstehen neue potenzielle Ziele für Cyber-Angriffe. So rücken nicht nur IT-Systeme, sondern auch OT-Komponenten in den Fokus, etwa in Kraftwerken und Industrie-4.0-Umgebungen. Vernetzte Produktionsumgebungen sollten daher ebenso wie herkömmliche IT-Infrastrukturen in ein Security-Konzept eingebunden werden. Anbieter von Managed Security Services können Unternehmen maßgeblich dabei unterstützen, Industrie-4.0-Umgebungen vor Hacker-Attacken zu schützen. Doch um IT-Sicherheitsrisiken zu minimieren, müssen Unternehmen auch die Mitarbeiter einbeziehen. Wichtig ist, dass alle Beschäftigten den verantwortungsvollen Umgang mit IT-Systemen und Applikationen lernen." - Mike Hart, Vice President Central Europe bei FireEye
"Wir verzeichnen ein stark wachsendes Interesse an Managed IT-Security Services in Deutschland. Ein Grund dafür ist, dass die Komplexität der IT- Infrastrukturen und Applikationslandschaften in Unternehmen zunimmt. Eine der Aufgaben, die ein Managed Services Provider übernehmen kann, ist eine Analyse der IT-Infrastruktur und der Datenbestände. Denn viele Unternehmen wissen nicht, über welche und wie viele kritischen Daten sie verfügen und wo diese gespeichert sind. Manche Unternehmen nutzen einen Managed IT Security Service zudem, um ihre Verantwortung für IT-Sicherheit weg zu delegieren. Das ist jedoch nicht möglich. Vielmehr gilt es, die Verantwortungsbereiche des MSSP und des Kunden klar zu definieren."
Sicherheit in die Hände von Spezialisten legen
Eine Möglichkeit, aus diesem Dilemma herauszukommen, besteht darin, einen gemanagten IT-Sicherheitsdienst zu buchen. "Es gibt mehrere Optionen, um einen gemanagten IT-Security-Service zu implementieren", erläutert Reza Ghafouri, Vertriebsleiter Süd bei der Axians IT Security GmbH. "Eine besteht darin, die Sicherheitssysteme im Data Center des Kunden zu implementieren und deren Betrieb einem Managed Security Services Provider (MSSP) zu übergeben." Diese Variante kommt für Nutzer in Betracht, die weiterhin die Kontrolle über IT-Sicherheitslösungen behalten möchten.
Alternativ dazu können Unternehmen ihre Sicherheitsinfrastruktur in ein Data Center des MSSP verlagern oder Systeme nutzen, die der MSSP selbst bereitstellt. In diesen Fällen ist der Service-Provider dafür verantwortlich, dass die Infrastruktur "funktioniert". Das heißt, er ist auch für Disaster-Recovery-Maßnahmen und die Ausfallsicherheit der Sicherheitssysteme zuständig. Speziell Großunternehmen greifen zudem auf gemanagte Security Services aus der Cloud zurück. Diese stehen auf Cloud-Plattformen wie Amazon Web Services, Microsoft Azure oder die Google Cloud Platform zur Verfügung. Auch die Betreuung solcher Security-Lösungen kann einem Service-Provider übertragen werden.
Hilfestellung für die eigene IT-Abteilung
Es ist nicht verwunderlich, dass Anbieter von Managed Security Services die positiven Seiten solcher Dienste in den Vordergrund stellen. "Ein Vorteil eines gemanagten IT-Sicherheitsdienstes ist, dass sich dessen Erfolg messen lässt", betont beispielsweise Christian Hofstadt, Business Strategy Manager bei PlusServer. Die Basis für diese Leistungsmessung bilden Service Level Agreements, die der Anbieter mit dem Nutzer schließt. Ein weiterer Pluspunkt eines Managed Services Providers sei das spezielle Know-how, so Sven Schaefer, Business Development Consultant beim Hosting-Unternehmen Rackspace. Ein MSSP könne daher die Bedeutung sicherheitsrelevanter Vorkommnisse ("Events") besser einschätzen als die IT-Abteilung eines Unternehmens.
Zum Thema Managed Security Services führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, wie deutsche Manager das Thema Managed Security Services in ihren Unternehmen angehen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Regina Herrmann (jschmitz-nellen@idg.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Arbeitsplatz-der-Zukunft-Studie finden Sie auch hier zum Download. |
Vor allem dann, wenn Hacker komplexe Angriffe auf ein Unternehmensnetz starten, ist die Expertise von externen Sicherheitsfachleuten gefragt, so die Teilnehmer der Expertenrunde. Zu den Kernaufgaben eines Anbieters von Managed Security Services zählt es denn auch, solche Angriffe frühzeitig zu identifizieren und zu stoppen. Doch nicht allein dieser reaktive Ansatz ist gefragt. Vielmehr gelte es, proaktiv zu handeln und künftige Angriffe zu unterbinden, so Schaefer.
Damit das klappt, kann ein MSSP Arbeiten übernehmen, für die IT-Abteilungen von Unternehmen oft zu wenig Zeit haben. Dazu zählt die Analyse der IT-Infrastruktur und der Datenbestände. Denn in der Praxis kommt es immer wieder vor, dass ein Unternehmen nicht weiß, welche geschäftskritischen Daten überhaupt vorhanden sind und auf welchen Systemen diese gespeichert wurden. Das erleichtert Hackern die Arbeit und stellt zudem vor dem Hintergrund der DSGVO ein Risiko dar.
SIEM ja - aber richtig!
Auch beim Einsatz von Techniken wie SIEM (Security Information and Event Management) können externe Fachleute Hilfestellung geben. "Wir stellen häufig fest, dass der Einsatz von SIEM-Lösungen in vielen Unternehmen nicht den erhofften Nutzen bringt", sagt Lars Kroll, Cyber Security Strategist bei Symantec. Ein Grund dafür sei der zu geringe Reifegrad solcher Ansätze und der nötigen Prozesse.
Hinzu kommt, dass SIEM nur dann funktioniert, wenn Unternehmen das entsprechende Fachpersonal für das Monitoring bereitstellen. Und solche IT-Experten sind in Zeiten des Fachkräftemangels schwer zu finden. "Teilweise sind Unternehmen nicht einmal in der Lage, SIEM-Systeme und Monitoring-Lösungen zu installieren und zu betreiben", ergänzt Reza Ghafouri von Axians.
Einen Ausweg bietet das Outsourcing von SIEM und der Analyse von Log-Files an einen Service-Provider. Er übernimmt die Auswertung dieser Daten und prüft, welche Auswirkungen Sicherheitslücken auf den Geschäftsbetrieb haben können. Wichtig ist, dass ein MSSP die IT-Security-Lösungen aller relevanten Anbieter kennt und deren Informationen auswerten kann. Denn nach den Erfahrungen von Symantec werden zwei Drittel aller kritischen Vorkommnisse erst durch die Korrelation der Daten mehrerer solcher Lösungen transparent, sagt Symantec-Manager Kroll.
IT-Sicherheit als Prozess betrachten
Eine Fehleinschätzung, auf die Mitarbeiter von MSSPs häufig treffen: Anwender reduzieren IT-Sicherheit auf den Einsatz von Firewalls, Antivirensoftware und Intrusion-Prevention-Systemen. Das ist zu kurz gedacht, so Mark Hartmann, Product Manager Device & Application Control and AI bei Drivelock: "Auch Prozesse sollten unter dem Aspekt IT-Security analysiert und optimiert werden. Bei diesen Aufgaben können Anbieter von Managed IT-Security Services Hilfestellung geben und die IT-Abteilung eines Unternehmens entlasten."
Das bedeutet nach Einschätzung der Teilnehmer des Round Table, dass ein Service-Provider die IT-Systeme, Applikationen und Abläufe von Nutzern regelmäßig analysiert und optimiert. Idealerweise stehen den IT-Abteilungen eines Unternehmens dabei stets die gleichen Ansprechpartner des Providers zur Verfügung. Das schafft Vertrauen und vereinfacht Abstimmungsprozesse. Ein solches Vertrauensverhältnis ist auch deshalb wichtig, weil der Kunde dem MSSP sensible Informationen zur Verfügung stellt, etwa über die Cloud-Strategie des Unternehmens und Details zur IT-Umgebung und zu Digitalisierungsvorhaben.
Nicht nur der Service-Provider hat den Hut auf
Einig waren sich die IT-Sicherheitsexperten in einem weiteren Punkt: Die Verantwortung für die Risiken, die mit der Nutzung von IT-Systemen verbunden sind, darf nicht allein Security-Unternehmen und MSSPs zugeschoben werden. Auch die IT-Abteilung, die Geschäftsführung und nicht zuletzt die Mitarbeiter, also die User, müssen ihre Hausaufgaben machen. "IT-Sicherheit steht und fällt mit den Mitarbeitern", betont Peter Neumeier von Kaspersky. Wichtig sei, dass ein Bewusstsein für IT-Sicherheitsrisiken geschaffen wird.
Generell treffe man bei vielen Unternehmen die Haltung an, man sei für Hacker uninteressant und werde daher kein Opfer von Cyber-Attacken - ein Trugschluss, wie die Experten unisono feststellten. "Bislang ist es leider so, dass viele Anwender erst dann ein Bewusstsein für IT-Sicherheitsfragen entwickeln, wenn bereits Schäden durch Angriffe von Hackern oder Insidern entstanden sind", stellt Hartmann von Drivelock fest. Solche Attacken müssten "richtig wehtun", damit Unternehmen ihre passive Haltung aufgäben.
Den Mitarbeitern müsse ein verantwortungsvoller Umgang mit IT-Systemen und Applikationen nahegebracht werden, fordert auch Fujitsu-Manager Draeger. "Dabei kann ein Anbieter von Managed Security Services Hilfestellung geben, etwa in Form von Beratung und Schulungen."
Informationen zu den Partnerpaketen für die Managed Security-Studie
Services für Mittelständler entwickeln
Insgesamt, so die Expertenrunde, steigt bei deutschen Unternehmen das Interesse an Managed Security Services. Damit sich solche Dienste zu einem Erfolgsmodell entwickeln, müssen jedoch die Anbieter ihre Produkte noch besser auf potenzielle Kunden abstimmen. Und dies sind in Deutschland zu einem großen Teil mittelständische Firmen. Managed Security Services Provider sollten sich daher nicht zu stark auf Großunternehmen konzentrieren, sondern auch preisgünstige Angebote für kleinere Firmen entwickeln.
Ein weiterer Knackpunkt ist das Misstrauen gegenüber dem Auslagern von IT-Sicherheitsaufgaben an einen Provider. Ein Grund dafür ist die Furcht, die Kontrolle über die eigene IT-Umgebung zu verlieren, so die Experten. Hinzu kommt, dass etliche Unternehmen bereits negative Erfahrungen mit dem Outsourcing von anderen IT-Diensten gemacht haben.
Managed Security Services Provider müssen somit nicht nur in technischer Hinsicht fit sein. Eine weitere wichtige Aufgabe besteht darin, sich gegenüber Unternehmen als zuverlässige und vertrauenswürdige Partner zu erweisen - nicht als Outsourcing-Spezialisten, die einen schnellen Euro machen wollen.