computerwoche.de

CISO

IDG-Studie zu Managed Security Services

Deutsche Unternehmen offen für externe IT-Sicherheitsservices

13.11.2018
Von 
Bernd Reder ist freier Journalist und Autor mit den Schwerpunkten Technologien, Netzwerke und IT in München.
Alle Posts des Autors Email:

Der IT-Leiter trifft die Entscheidung

Ob ein Managed Security Service zum Zuge kommt und welche IT-Sicherheitslösungen eingesetzt werden, entscheidet in rund 46 Prozent der Unternehmen der IT-Leiter. Damit spielt er eine wichtigere Rolle als der CIO (36 Prozent) und der Geschäftsführer. Bemerkenswert ist zudem, dass nur in 20 Prozent der Firmen der CISO (Chief Information Security Officer) oder Information Security Officer das entscheidende Wort haben, wenn das Outsourcing von Aufgaben an einen IT-Sicherheitsdienstleister zur Diskussion steht. Außen vor sind außerdem die Leiter von Rechenzentren.

Anders stellt sich Situation in kleineren Unternehmen dar. Dort behalten sich Finanzvorstände und Geschäftsführer in stärkerem Maße ein Mitspracherecht vor, wenn es um Managed Security geht.

Gefordert: Gutes Know-how und faire Preise

Bei der Auswahl eines MSSP achten Unternehmen vor allem auf drei Faktoren:

  • eine hohe technische Kompetenz (36 Prozent),

  • ein gutes Preis-Leistungsverhältnis (31 Prozent) sowie

  • einen technischen Support in Deutsch (31 Prozent).

Bei Unternehmen mit weniger als 500 Mitarbeitern kommt ein weiterer Punkt hinzu: Mehr als ein Drittel von ihnen wünscht sich einen IT-Sicherheitsdienstleister, dessen Firmensitz in Deutschland liegt. Das kommt deutschen Systemhäusern und IT-Dienstleistern zugute, die ihr Geschäft um Services im Bereich Managed Security erweitern möchten. Dies gilt umso mehr, als ein Viertel der Befragten im Bereich IT-Sicherheitsservices am liebsten mit einem IT-Unternehmen zusammenarbeiten möchten, mit denen sie bereits in anderen Bereichen gute Erfahrungen gemacht haben.

Das Know-how, der Preis und ein deutschsprachiger Support sind die wichtigsten Kriterien bei der Auswahl eines Anbieters von gemanagten IT-Sicherheitsdiensten.
Das Know-how, der Preis und ein deutschsprachiger Support sind die wichtigsten Kriterien bei der Auswahl eines Anbieters von gemanagten IT-Sicherheitsdiensten.
Foto: IDG Research Services / Patrick Birnbreier Grafikdesign

Diese Einschätzung stößt bei IT-Dienstleistern naturgemäß auf offene Ohren. Denn sie sehen in Managed Security Services ein Geschäftsfeld mit großem Potenzial. So will mehr als ein Fünftel der Anbieter den Umsatz mit gemanagten IT-Security-Diensten im laufenden Jahr um mindestens zehn Prozent steigern. Das gilt vor allem für Dienstleister, die kleine Unternehmen zu ihren Kunden zählen. Diese Anbieter haben allerdings einen hohen Nachholbedarf. Denn bei der Hälfte der größeren Systemhäuser und Service-Provider entfallen bereits heute bis zu 25 Prozent des Umsatzes auf den Bereich Managed Security. Auf vergleichbare Werte kommt nur ein Drittel der kleineren IT-Dienstleister.

Fazit: Noch etliche "Baustellen"

Unternehmen in Deutschland haben offenkundig erkannt, dass sie die komplexen Herausforderungen im Bereich IT-Security nicht um jeden Preis im Alleingang bewältigen müssen. Das belegt der hohe Anteil von Firmen, die bereits Managed Security Services nutzen. Neben der wachsenden Bedrohung durch Cyber-Angriffe spielt dabei auch der Mangel an IT-Sicherheitsfachkräften eine Rolle.

Es gibt jedoch noch etliche "Baustellen". Dazu zählen die teilweise erheblichen Unterschiede bei der Einschätzung des Nutzens und der Notwendigkeit von Managed-Security-Diensten. Das gilt beispielsweise für wichtige Bereiche wie die Schwachstellen- und Risikoanalyse. CIOs und Geschäftsführer tendieren zu einem "Nein", während IT-Leiter und Fachbereiche den Einsatz externer Experten forcieren. In solchen zentralen Fragen sollten alle Beteiligten einen gemeinsamen Nenner finden.

Zu hinterfragen ist zudem die Einschätzung eines beträchtlichen Teils der Unternehmen, dass externe IT-Sicherheitsdienste generell nicht erforderlich sind. Denn in der Praxis zeigt sich immer wieder eine gewisse "Betriebsblindheit" bei IT-Verantwortlichen, CIOs und Geschäftsführern. Die Folgen: Das IT-Sicherheitsniveau im eigenen Haus wird überschätzt; Defizite bleiben unerkannt. Besser ist, wenn eine neutrale Instanz regelmäßig die eingesetzten IT-Security-Maßnahmen überprüft und dadurch Hacker-Angriffen und dem Verlust von Geschäftsdaten vorbeugt.

Die Studie Managed Security Services finden Sie hier in unserem Studienshop

Vorstellung der Studienergebnisse auf der it-sa

Auf der IT-Sicherheitsmesse it-sa stellte die COMPUTERWOCHE zusammen mit drei Studienpartnern ausgewählte Studienergebnisse vor. Den Videomitschnitt dieser Präsentation können Sie hier sehen:

Studiensteckbrief

Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner

Studienpartner:

Gold-Partner: Rackspace Germany GmbH, SECUINFRA GmbH, TREND MICRO Deutschland GmbH

Silber-Partner: FireEye GmbH, NTT Security Germany GmbH

Bronze-Partner: Capgemini Outsourcing Services GmbH, HP Deutschland GmbH, SHE Informationstechnologie AG

Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich

Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.

Gesamtstichprobe: 357 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 20. Juni bis 31. Juni 2018

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern

Durchführung: IDG Research Services