Der Schutz von IT-Systemen, Daten, Applikationen und Benutzerkonten vor dem Missbrauch durch externe oder interne Angreifer zählt die den wichtigsten Aufgaben der IT-Abteilung, aber auch zu den schwierigsten. Daher greift eine wachsende Zahl von Unternehmen in Deutschland auf die Hilfe von Spezialisten zurück, die IT-Sicherheitsservices als Dienstleistung bereitstellen. Das ergab die Studie "Managed Security Services 2018"von IDG Research Services, von COMPUTERWOCHE, CIO und CHANNELPARTNER.
Laut der Untersuchung nutzt bereits mehr als die Hälfe der Unternehmen (54 Prozent) externe IT-Sicherheitsdienste. Fast 40 Prozent greifen sogar auf die Unterstützung von zwei bis drei Anbietern von Managed Security Services zurück. Der Trend in Richtung IT-Sicherheit als Dienstleistung ist auf mehrere Faktoren zurückzuführen.
Einer ist der hohe organisatorische Aufwand, der mit der Einführung von IT-Sicherheitsstandards und deren Umsetzung in der Praxis verbunden ist. Vor allem für CIOs, Chief Technology Officers (CTOs) und IT-Sicherheitsverantwortliche (46 Prozent) ist dies ein maßgeblicher Grund dafür, externe Dienstleister einzuschalten.
Die Studie Managed Security Services finden Sie hier in unserem Studienshop
Mehr Sicherheit - weniger Risiken
Der Studie zufolge haben vor allem verschärfte Datenschutzregelungen wie die EU-Datenschutzgrundverordnung (DSGVO) sowie das IT-Sicherheitsgesetz die Attraktivität von gemanagten IT-Security-Diensten erhöht. Ein zentrales Ziel, das die Nutzer solcher Services erreichen möchten, ist eine Minimierung der rechtlichen Risiken. Speziell kleinere Unternehmen wollen diese Aufgabe einem Dienstleister übergeben. Dieser verfügt sowohl über die Expertise als auch die personellen Ressourcen, um Firmen beispielsweise bei der Umsetzung der DSGVO zu unterstützen.
Hinzu kommen technische Aspekte. Denn die Hälfte der befragten Führungskräfte gab an, dass die wachsende Komplexität von Cyber-Attacken für die IT-Abteilungen ein immer größeres Problem darstellt. Ein aktuelles Beispiel, das in der IT-Sicherheitsbranche derzeit die Runde macht, ist das Credential Stuffing, also der Missbrauch von gestohlenen Zugangsdaten wie Benutzernamen und Passwörtern. Angreifer setzen dabei verstärkt auf automatisierte Verfahren mithilfe von Bots.
Diese starten mit den entwendeten Account-Daten in großem Maßstab Anfragen bei IT-Systemen und Web-Applikationen, die ein Unternehmen einsetzt. Solche Angriffe bauen darauf, dass Nutzer häufig dieselben Login-Informationen für die Anmeldung bei unterschiedlichen Anwendungen oder Systemen verwenden. Mithilfe von externen Spezialisten wollen Unternehmen diese Art Angriffe abwehren und das IT-Sicherheitsniveau erhöhen.
Gleichzeitig soll die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) die IT-Abteilung entlasten. Vor allem größere Unternehmen (38 Prozent) sehen in entsprechenden Services ein Mittel, den Mangel an IT-Sicherheitsspezialisten zu kompensieren. Für kleinere Unternehmen, die in der Regel über kleinere IT-Abteilungen verfügen, ist dieser Aspekt interessanter Weise weniger relevant (27 Prozent).
Gegenargument: Komplexität der IT-Infrastruktur
Nur ein Fünftel der befragten Firmen lehnt laut der Studie ein Outsourcing von Aufgaben im Bereich IT-Security ab. Ein Argument, das aus Sicht dieser Unternehmen gegen gemanagte Sicherheitsservices spricht, sind die Kosten. Speziell kleinere Unternehmen mit weniger als 500 Mitarbeitern (45 Prozent) führen hohe finanzielle Aufwendungen dafür an, dass sie bislang auf Managed-Security-Dienste verzichtet haben. Dagegen ist der Kostenfaktor nur für 27 Prozent der großen Firmen ein Hinderungsgrund.
Insbesondere Geschäftsführer (40 Prozent) haben wegen der Kosten Vorbehalte gegenüber solchen Services. Das sehen jedoch nur 25 Prozent der IT-Fachbereichsleiter so. Zwischen den Einschätzungen von Finanzverantwortlichen und IT-Spezialisten herrscht somit eine deutliche Diskrepanz. Unternehmen, die sich gegen gemanagte IT-Security-Services entschieden, führen zudem die hohe Komplexität ihrer IT-Umgebung als Argument an.
Rund 36 Prozent wiederum argumentieren, dass Sicherheitsanalysen ergeben hätten, dass solche Dienste nicht erforderlich seien. Allerdings vertreten vor allem IT-Führungskräfte wie IT-Leiter und Fachbereichsverantwortliche diese Meinung. Das deutet möglicherweise darauf hin, dass ein Teil der internen IT-Experten in Managed Security Services eine unerwünschte Konkurrenz sieht, die sie unter Umständen sogar ihren Job kosten könnte.
Viele Aufgaben lassen sich auslagern
Einig sind sich die Teilnehmer der Studie darin, dass ein beträchtlicher Teil der Aufgaben im Bereich IT-Sicherheit externen Dienstleistern übergeben werden kann. Das Spektrum umfasst nicht nur komplexe Maßnahmen wie das Erstellen und Überwachen von Security Policies und die Analyse von Angriffen. Unternehmen können sich zudem vorstellen, weniger komplizierte, dafür aber zeitaufwändige Aufgaben einem Dienstleister zu übertragen. Dazu zählen die Unterstützung bei der Auswahl und Implementierung von IT-Sicherheitslösungen (28 Prozent) sowie das Backup von Daten.
Dagegen würden nur 16 Prozent der CIOs vorbeugende Sicherheitsmaßnahmen wie eine IT-Bedrohungsanalyse einem Dienstleister übergeben. Dieselbe Auffassung vertreten Mitglieder der Geschäftsführung. Zu einer anderen Einschätzung kommen dagegen IT-Leiter (31 Prozent) und die Chefs von Fachbereichen (41 Prozent): Ein beträchtlicher Teil befürwortet eine Bedrohungs- und Risikoanalyse durch externe Spezialisten. Dies deutet auf einen unterschiedlichen Wissensstand bei den hauseigenen Fachleuten, die näher an der "IT-Praxis" angesiedelt sind, und den Mitarbeitern auf der Führungsebene hin. Um potenzielle IT-Sicherheitsrisiken auszuschalten, ist es offenkundig notwendig, den Informationsaustausch zwischen beiden Ebenen zu verbessern.