"Ideal wäre ein preislich attraktives Standardprodukt, das dem Kunden trotzdem genug Raum für eigene Bedürfnisse bietet." Diese hohe Ziel setzt Markus Müssig von Microfocus sich und der Branche. Mitte April diskutierte er in den Räumen der COMPUTERWOCHE mit Lutz Feldgen von Computacenter, Holger Hartwig von Capgemini, Alexander Haugk von baramundi software, Thomas Kirsten von RadarServices, Martin Mangold von Drivelock sowie Patrick Schraut von NTT Security und Rüdiger Trost von F-Secure über Managed Security.
Die Fragen beginnen schon mit den Definitionen: Was umfasst IT-Sicherheit? Was sind Managed Security Services und wie lassen sich die Bedürfnisse der Kunden klären? Konsens herrschte in der Einschätzung, dass Anwender schon bei der Ausschreibung Unterstützung brauchen.
Die Lage ist kompliziert, zwei Herausforderungen machen sie nicht übersichtlicher: die seit dem 25. Mai ultimativ wirksame EU-Datenschutzgrundverordnung (DSGVO) und das Internet of Things (IoT). Letzteres führt zu bislang unbekannten Risikoszenarien und die Tatsache, dass hier der Produktionsleiter mitspricht, macht die Ausgangssituation nicht einfacher. Die Punkte im Einzelnen:
Was man nicht kennt, kann man schwer managen
Zu den definitorischen Schwierigkeiten: "Ich habe noch nie Managed Security gesehen, der Begriff ist falsch", sagte NTT-Security-Manager Schraut. Man könne Devices managen, nicht aber Sicherheit. Capgemini-Mann Hartwig stimmte zu. Bei Anbietern wie bei Kunden gebe es vermutlich zehn verschiedene Definitionen.
Informationen zu den Partnerpaketen für die Managed Security-Studie
Wer also Managed Security Services verkaufen will, der muss detailliert mit dem Anwender abklären, was das Unternehmen exakt benötigt. Beratung im Vorfeld und Unterstützung in der Ausschreibung sind immer stärker gefragt - und gestalten sich schwierig: "Auch große Unternehmen wissen oft gar nicht, welche Applikationen sie haben und wie ihre Umgebungen aussehen", beobachtet Haugk (baramundi). Mangold (Drivelock) ergänzt: "Deswegen können so viele Firmen auch nicht beschreiben, was sie brauchen!"
In der Praxis hören die Anbieter dann Fragen wie: "Was kostet es, mich gegen ATP (Advanced Threat Protection) zu schützen?" oder "Wie sind Ihre Stundensätze für First, Second und Third Level Support?" Dem setzt F-Secure-Manager die harte Realität entgegen. Er will von den Anwendern wissen: 'Wie lang brauchen Sie, um festzustellen, dass sie gehackt wurden?' Im Schnitt liege die Frist bei hundert Tagen. "Das muss man reduzieren", sagt Trost.
- Lutz Feldgen, Lead Consultant bei Computacenter
„IT-Security überfordert viele Unternehmen, während die Angriffe gleichzeitig immer ausgefeilter werden und einen höheren Impact haben. Und der Fachkräftemangel kommt noch dazu. Den Firmen fehlt das Know-how. Jedes Unternehmen steht woanders, die vorhandenen Managed-Security-Services-Angebote passen oft nicht hundertprozentig zum Bedarf. Daher ergänzt Computacenter solche Services mit eigenen Leistungen zu einem passenden Gesamtpaket, wenn sie nicht vollständig selbst erbracht werden.“ - Holger Hartwig, Sales Manager Cloud Infrastructure Services bei Capgemini
„Mancher IT-Leiter ist richtig begeistert, wenn wir mit einer Phishing-Kampagne aufzeigen, was in dem Unternehmen zu holen ist!“ - Alexander Haugk, Product Manager bei der baramundi software
„Die Beratung im Vorfeld und die Unterstützung bei der Ausschreibung werden immer wichtiger. Allerdings: Auch große Unternehmen wissen oft nicht, welche Applikationen sie haben und wie ihre Umgebungen aussehen.“ - Thomas Kirsten, Head of Sales Germany bei RadarServices
“Die real existierende Praxis ist oft frustrierend. Manche Firmen haben zwar einen IT-Sicherheits-Chef, aber der ist unter dem IT-Leiter angesiedelt. Er hat keine Stimme.“ - Martin Mangold, Head of Cloud Operations bei Drivelock
“Wer Managed Security Services verkaufen will, der muss detailliert mit dem Anwender abklären, was das Unternehmen braucht. Das ist schwierig, wenn die Entscheider ihre IT-Landschaft nicht kennen. Deswegen können so viele Firmen auch nicht beschreiben, was sie brauchen!“ - Markus Müssig, Senior Security Architect bei Microfocus
„Die Qualität mehrwertiger IT Security Services wie beispielsweise Security Incident Monitoring hängt zwingend von der Verfügbarkeit der Business Informationen für den Analysten ab. Diese können den IT-Security Dienstleistern nur selten in digital abrufbarer Form – ob manuell oder automatisiert – bereitgestellt werden, weil sie nicht verfügbar sind oder Sicherheitsrichtlinien im Wege stehen.“ - Patrick Schraut, VP Consulting Europe bei NTT Security (Germany)
„Ich habe noch nie Managed Security gesehen, der Begriff ist falsch. Man kann Devices managen, nicht aber Sicherheit.“ - Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure DACH
„Ich frage die Anwender: Wie lang brauchen Sie, um festzustellen, dass sie gehackt wurden? Im Schnitt liege die Frist bei hundert Tagen. Das muss man reduzieren!“
Die Frage der Organisation
Das Zwischenfazit bringt Feldgen von Computacenter so auf den Punkt: "IT-Security überfordert viele Unternehmen, während die Angriffe gleichzeitig immer ausgefeilter werden und einen höheren Impact haben. Und der Fachkräftemangel kommt noch dazu. Den Firmen fehlt das Know-how." Jedes Unternehmen stehe woanders, die vorhandenen Managed-Security-Services-Angebote passten oft nicht hundertprozentig zum Bedarf. Daher konfiguriere Computacenter Standardservices mit individuellen Leistungen zu einem passenden Gesamtpaket.
Manche Branchen verlassen sich in Sachen Sicherheit allerdings lieber auf sich selbst. Nach Erfahrung der Diskussionsteilnehmer sind es vor allem Banken und große Industriekonzerne, die ein eigenes Security Operation Center (SOC) unterhalten. Die Motive sind vielfältig: Manche betrachten Sicherheit generell als eigene Aufgabe, wie den eigenen Werksschutz nehmen sie auch IT-Security in die Hand. Andere fürchten auch, Vorfälle könnten eher publik werden, wenn die Sicherheit outgesourct ist.
Ein Irrglaube, meint Trost: "Diese Gefahr besteht intern auch!" Müssig (Microfocus) beobachtet: "Je weniger das Business-Wissen digital vorliegt - also im Outsourcing durch Dritte über technische Systeme abgefragt werden kann - umso ineffizienter würden Prioritäts-Analysen im Outsourcing ablaufen." Das spreche dafür, diese Aufgaben intern zu halten.
Die erlebte Praxis sei oft frustrierend, stellt RadarServices-Manager Kirsten fest. Er skizziert zwei typische Kundenunternehmen: Das eine verfügt zwar über einen IT-Sicherheits-Chef, der aber ist hierarchisch unter dem IT-Leiter angesiedelt. Er darf nichts entscheiden und hat "keine Stimme".
Das andere sieht sich als "familiengeführtes Traditionsunternehmen" mit dem Grundsatz, mit Virenscanner und Firewall habe man genug für die IT-Sicherheit getan. In den vergangenen zwei Jahren sei das Sicherheitsbewusstsein aber gestiegen, meint Kirsten. Capgemini-Manager Hartwig ergänzt: "Mancher IT-Leiter ist richtig begeistert, wenn wir mit einer Phishing-Kampagne zeigen, was in dem Unternehmen zu holen ist!"
Zum Thema Managed Security Services führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, wie deutsche Manager das Thema Managed Security Services in ihren Unternehmen angehen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Regina Herrmann (jschmitz-nellen@idg.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Arbeitsplatz-der-Zukunft-Studie finden Sie auch hier zum Download. |
60 Prozent Preis und weitere Kriterien
Müssig appelliert an Unternehmen, die Verantwortung für ein internes SOC beim CIO oder dem CISO (Chief Information Security Officer) aufzuhängen. Dort sollte auch die Steuerung für einen SOC-Dienstleister liegen.
Für die Provider-Auswahl gibt es den Diskutanten zufolge viele Kriterien. Konzerne informieren sich demnach über das Angebot an Managed Security Services und über Möglichkeiten, diese Lösungen in ihre IT-Landschaft zu integrieren. Der Fachkräftemangel ist zu einem zentralen Hindernis geworden. So mancher Kunde will heute wissen, ob der Dienstleister über genug Mitarbeiter verfügt, wie er Personal findet und hält und wo er in fünf Jahren stehen wird. Natürlich spielen die Service Level Agreements (SLAs) bei der Provider-Wahl immer eine Rolle. Und es gibt stets auch diejenigen, die sich stets an ihren Haus- und Hoflieferanten halten, weil sie ihn kennen.
Doch eines ist jedem in der Runde klar: Letztlich entscheidet nicht der CIO oder CISO, sondern der Einkäufer. Und damit stellt sich die Preisfrage. Rund 60 Prozent, so die Einschätzung der Diskussionsteilnehmer, geht dann eben doch über den Preis.
Neue Impulse durch DSGVO und IoT
Wer über Security redet, spricht auch über Datenschutz, Governance und Compliance. Themen, die die EU mit ihrer Datenschutznovelle (Datenschutzgrundverordnung = DSGVO) spätestens ab dem 25. Mai in neuer Weise umgesetzt sehen will. Verstöße sollen dann deutlich härter bestraft werden als heute.
Nicht alle Anwender bereiten sich ausreichend darauf vor, so die Erfahrung der Diskussionsrunde. Während die einen abwarten, welche Folgen die neue Rechtsprechung in der Praxis haben wird, zeigen sich andere angesichts der Höhe der angedrohten Bußgelder besorgt. Wahrscheinlich werde es ab Ende Mai eine Abmahnwelle geben, so die einhellige Meinung der Diskutanten.
Mit diesem Datum steht auch die Frage im Raum, wie Anbieter von Managed Security Services die Entscheider in Sachen DSGVO unterstützen können. Viele Unternehmenslenker verfolgen dabei einen pragmatischen Ansatz: Sie wollen nur nachweisen können, dass sie alles getan haben, um in Sachen Governance, Risk und Compliance "State of the Art" zu sein. Was aber ist State oft he Art und wann liegen Verstöße vor? Nach Ansicht der Diskussionsteilnehmer hat es die EU versäumt, klare Definitionen vorzugeben.
Eine Herausforderung für die Anwender bringt auch der Megatrend mit sich, Maschinen, Anlagen und generell Dinge zu vernetzen. Im Zusammenhang mit dem Industrial Internet of Things (IIoT) differenzierten die Teilnehmer zwischen der klassischen "Office IT" und der "Produktions-IT". Über die Produktion wache der Produktionsleiter - auch wenn jede Menge Sensoren und Connectivity-Produkte im Spiel sind.
Der habe aber traditionell nicht mit IT zu schaffen. "Diese Leute sind graue Eminenzen", so Microfocus-Manager Müssig. "Wenn auch nur das geringste Risiko für ihre Produktionsfähigkeit besteht, kann man sie nur schwer davon überzeugen, im globalen IT-Sicherheitszirkus des Unternehmens mitzuspielen!" Aus der Runde zustimmendes Nicken. Es wird eine Herausforderung sein, diese verschiedenen Welten zusammenzubringen.
Informationen zu den Partnerpaketen für die Managed Security-Studie
Lösung seit 20 Jahren da
Egal, ob Make or Buy - am Ende wird es laut NTT-Security-Manager Schraut in der IT-Sicherheit immer auf drei Punkte ankommen: "Segmentierung, Identity Management, Patch-Management - das predigen wir seit 20 Jahren. 99 Prozent der Angriffe würden scheitern, wenn die Unternehmen das umsetzten!" Klare Worte zum Abschluss, denen die Kollegen nur zustimmen konnten.