Digitalisierung und KI zählen zu den IT-Innovationen, die die Phantasie von vielen Firmen anregen. Dagegen langweilt das Thema IT-Security viele und sie ignorieren die Risiken. Kompliziert, dröge, auch wenn ihnen die Angst vor einem Angriff immer im Nacken sitzt. Außerdem kostet ein gutes IT-Sicherheitskonzept Geld, das manche lieber einsparen möchten. Doch wenn Firmen oder Behörden digitaler werden und den Erfolg ihres Unternehmens nicht aufs Spiel setzen wollen, brauchen sie ein gutes Sicherheitskonzept, denn auch Cyberkriminelle sind innovativ.

Kann Security as a Service die IT-Sicherheit einfacher gestalten? Das fragte die COMPUTERWOCHE ausgewählte IT-Security-Unternehmen. In der virtuellen Diskussionsrunde kam alles auf den Tisch. Alle waren sich einig, dass viele Firmen immer noch zu wenig in ihre IT-Sicherheit investieren. Vor allem kleinere und mittelständische Unternehmen, die exzellente Produkte und Dienstleistungen verkaufen, vernachlässigten oft den Schutz. Indem sie zahlreiche Einfallstore ins Firmennetz ungeschützt lassen, erleichtern sie es Angreifern, ihnen großen Schaden zuzufügen. "Daten haben mit der Cloud fliegen gelernt, aber sie brauchen einen Schutzengel", erlärt Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint.

Konzerne und Großunternehmen hätten in den vergangenen Jahren verstanden, dass der eigene Erfolg von einem guten IT-Sicherheitskonzept abhängt, so die Experten. Dagegen tüftelten kleinere Firmen lieber selbst an Lösungen, um Geld zu sparen. "Sobald nur ein Rechner oder eine Maschine am Netz ist, muss sich ein Unternehmen um seine IT-Sicherheit kümmern", warnt Jesper Juhl Schulz von Cancom. Und Nicole Hofmann von Sentryc ergänzt: "Wenn man nichts macht, wird alles nur noch schlimmer."

Viele Mittelständler vernachlässigen ihre IT-Sicherheit

Fürchteten Firmen vor einigen Jahren noch Datenklau, verschlüsseln Cyberkriminelle mittlerweile meistens die Daten und erpressen Unternehmen damit. Selbst wenn die Produktion nur einen Tag stillsteht, koste das richtig viel Geld, so die Diskutanten. "Kleine Mittelständler, die am dringendsten gute IT-Sicherheitssysteme bräuchten, sind oft unterversorgt, da sie sich selbst nicht als Ziel betrachten", weiß Martin Arnold von Axians und Wolfgang Kurz, Geschäftsführer von indevis IT-Consulting and Solutions, ergänzt: "Richtig im Griff haben die wenigsten ihre IT-Sicherheit. Nur Banken verfügen über gute Systeme."

IT-Sicherheit bleibt ein Dauerthema, das die meisten unsexy finden und das ganz viele auch nicht wirklich verstehen. Die Expertenrunde diskutierte intensiv darüber, woran das liegen könnte. Einige kritisierten auch die eigene Branche. Viele IT-Security-Lösungen seien zu kompliziert und schreckten Kunden ab. "Wir werden oft noch als Verhinderer gesehen", so Jesper Juhl Schulz von Cancom, in Bezug auf die IT-Security-Branche. Deshalb sei es notwendig, den Kunden besser zu erklären, weshalb sie für ihre IT-Sicherheit Geld ausgeben sollen und was sie dafür bekommen.

Auch einfachere Lösungen helfen, skeptische Firmen zu überzeugen. "Wir reden mit Managern auf Kundenseite nicht über Technik, sondern erklären ihnen, wie unser Produkt ihnen hilft. Die Technik im Hintergrund ist Magic, Nutzer müssen nicht im Detail wissen, wie die KI funktioniert", sagt Nicole Hofmann, Geschäftsführerin von Sentryc.

Wegschauen hilft nicht

Doch oft argumentierten Anbieter von IT-Sicherheitskonzepten mit den Gefahren eines Angriffs, auch wenn alle einräumten, dass das Geschäft mit der Angst kein gutes Verkaufsargument sei. Stattdessen sollten Kunden wissen, welche Risiken sie eingehen, wenn sie die eigene Sicherheit vernachlässigen. Angst bleibt zwar ein schlechter Ratgeber, doch viele Firmen stecken in einem Dilemma: Sie fürchten sich vor Cyberangriffen, wollen aber ihre Expertise nicht aus der Hand geben. Gerade in mittelständischen Firmen sei das eigene IT-Team oft nicht in der Lage, neben allen anderen Aufgaben auch noch die IT-Sicherheit 24/7 im Blick zu behalten.

Security as a Service könnte die Lösung sein, die ihnen einen umfassenden Schutz bietet. "Viele Kunden wünschen sich ein Wohlfühlpaket für ihre IT-Sicherheit und sie sind offener für Cloud-Anwendungen", sagt André T. von Ameln. Von einem IT-Sicherheitskonzept überzeugen müssten Anbieter oft die Verantwortlichen im Management und Controlling. Auch viele IT-Teams wollen die Kontrolle nicht abgeben. "IT-Abteilungen sind sehr stolz auf ihre Arbeit und geben nur ungern etwas ab. Wir müssen sie davon überzeugen, dass sie dem Thema IT-Sicherheit nicht genügend Aufmerksamkeit widmen", sagt Wolfgang Kurz.

Einfache Lösungen und den Kunden das Gefühl vermitteln, die Dienstleister kümmerten sich um alles, sei ein guter Ansatz, so Frank Melber von Controlware. "Viele Kunden erwarten einfache Prozesse, das gilt auch für IT-Security." Entscheiden sich Kunden für Standard-IT-Sicherheitsprodukte, vereinfache das den Service und senke die Kosten. Mit den Kunden auf Augenhöhe sprechen, in Workshops die speziellen Anforderungen an IT-Sicherheit herausarbeiten, sind weitere Ideen, wie sich mehr Firmen für das Thema IT-Security gewinnen lassen.

Auch eine individuelle Risikobewertung helfe, die richtige IT-Sicherheitsstrategie zu entwickeln. "Die Akzeptanz für Angebote im Rahmen von Security in und aus der Cloud sowie Security as a Service muss weiter gefördert werden. Hierbei ist es sinnvoll, Unternehmen Schritt für Schritt an entsprechende Lösungen heranzuführen", sagt Michael Haas von Watchguard. Ähnlich argumentieren auch andere. In kleinen Schritten gelinge es, Skeptiker zu überzeugen und erst einmal einen Fuß in die Tür bekommen. Ebenso wichtig sei es, Firmen und ihre Sorgen hinsichtlich der IT-Sicherheit ernst zu nehmen.

Versicherungen gegen Cyberangriffe sind ein totes Pferd

Einig war sich die Expertenrunde, dass Cyber-Versicherungen viele Firmen in falscher Sicherheit wiegen. Wenn Unternehmen wirklich angegriffen werden und finanziell enorm darunter leiden, gehen sie trotz abgeschlossener Police oft leer aus, denn viele Versicherer hätten ihre Kriterien verschärft. Häufig lehnten sie es ab, Unternehmen überhaupt zu versichern. "Cyber-Versicherungen sind ein totes Geschäftsmodell, das Thema wird verschwinden, da diese immer restriktiver werden. Firmen sollten ihre Ressourcen bündeln und direkt in IT-Sicherheit investieren", empfiehlt Martin Arnold.

Von Security as a Service profitieren beide Seiten. Kunden erhalten ein umfassendes Sicherheitspaket und setzen auf die Expertise von Firmen, die sich intensiv mit IT-Sicherheit beschäftigen. "Ich hoffe, dass Security as a Service für Firmen bald genauso selbstverständlich ist wie Autoleasing", sagt Michael Haas von Watchguard. Gerade weil sich Cloud-Dienste in den vergangenen Jahren durchgesetzt haben, könnte das auch dem plattformbasierten Angebot Security as a Service helfen.

Rüdiger Trost von WithSecure ist zuversichtlich. "Wir bauen unsere IT-Sicherheitssysteme schon seit 15 Jahren als Security-as-a-Service-Angebote und bieten eine Plattform sowie Managed Services an. Für uns als finnisches Unternehmen ist das ganz selbstverständlich."

Gerade weil alle, vom kleinen Startup über Mittelständler bis zum Konzern, IT-Sicherheitssysteme brauchen, setzen sich die komfortablen, plattformzentrierten Angebote durch, da sind sich die Diskutanten einig. Wenn es der IT-Sicherheitsbranche dann noch gelingt, ihre Angebote und Services einfach zu erklären und ihre Kunden zu überzeugen, dürfte das Geschäftsmodell der Cyberkriminellen darunter leiden.

Informationen zu den Partner-Paketen der Studie 'Security as a Service 2023'