Experten diskutieren "Security as a Service"

Technik allein reicht nicht mehr

04.04.2023
Von 
Richard Ruf ist Autor und Texter in München. Im Fokus seiner Arbeit bei der Agentur "Medienstürmer" liegen vor allem die Themen Modern Work, Projektmanagement, Office-Kollaboration und Open Source.
Cybersecurity-Lösungen sind gefragt wie nie. Doch Fachkräfte- und Know-how-Mangel machen den Betrieb für viele Unternehmen ohne externe Hilfe zur unlösbaren Aufgabe.
Nur mit Technik allein lässt sich eine wirksame IT-Sicherheitsstrategie nicht (mehr) aufbauen.
Nur mit Technik allein lässt sich eine wirksame IT-Sicherheitsstrategie nicht (mehr) aufbauen.
Foto: issaro prakalung - shutterstock.com

Schon seit langem ist klar: Cyberkriminalität hat die Welt der Science-Fiction hinter sich gelassen. Privatpersonen, Unternehmen, sogar staatliche Einrichtungen werden mehr und mehr zur Zielscheibe für Angriffe über das Internet. "IT-Sicherheitslage spitzt sich zu", titelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2022. Die wachsende Bedrohung durch Internetkriminelle spüren auch deutsche Unternehmen: Fast 77 Prozent berichten von einer steigenden Zahl der Cybervorfälle in 2022 gegenüber dem Vorjahr, wie die "Cybersecurity 2022"-Studie von CIO, CSO und COMPUTERWOCHE in Zusammenarbeit mit Arctic Wolf, Damovo und AWS zeigt. Allein im Jahr 2022 werden die Schäden durch Cyberkriminalität einer anderen Studie zufolge auf über 200 Milliarden Euro geschätzt.

Wie können Unternehmen angesichts des stetig wachsenden Risikos mit dieser rasanten Entwicklung Schritt halten? Wie verändert sich die Rolle von Security-Dienstleistern, wenn durch den Fachkräftemangel in den IT-Abteilungen der Firmen das Personal und das technische Know-how fehlt? Dazu diskutierte die COMPUTERWOCHE-Expertenrunde zum Thema Security as a Service (SECaaS).

Größere Akzeptanz und Achtsamkeit im Management

Die gute Nachricht: Die Debatte ist längst mitten in den Unternehmen angekommen, darüber herrscht Konsens. Das liegt nicht zuletzt daran, dass die Sichtbarkeit des Themas stark zugenommen hat. In den vergangenen Jahren gab es immer wieder Berichte auch über namhafte Unternehmen, welche Opfer von Cyberkriminellen geworden waren - darunter Adobe, Sony oder eBay. Doch auch der Dialog der Firmen untereinander schafft ein größeres Bewusstsein für die IT-Sicherheit und sorgt für eine bessere Wahrnehmung, was das eigene Setup angeht.

Wo also vor Jahren noch fehlende Awareness die Diskussionen um notwendige Cybersecurity-Maßnahmen erschwerte, zeigen viele Entscheider mittlerweile oft einen ganzheitlichen Blick auf das Thema. "Im Management stellen wir vermehrt Akzeptanz und Achtsamkeit für das Thema Security fest", erklärt Florian Macher, Teamlead Infrastruktur & Workplace Security von Bechtle. Die Nachfrage nach Security-Services sei in den letzten Jahren massiv gestiegen.

Privatwirtschaft weiter als öffentliche Unternehmen

Große Unterschiede dahingehend sehen die Experten jedoch zwischen der Privatwirtschaft und dem öffentlichen Sektor. Während private Unternehmen weitestgehend die Notwendigkeit von Cybersecurity verstanden haben, scheint sich dieses Bewusstsein in staatlichen Einrichtungen noch nicht immer durchgesetzt zu haben. Das stimmt Consulting4IT-Geschäftsführer Mirko Oesterhaus besorgt, schließlich seien besonders angesichts der weltpolitischen Lage öffentliche Unternehmen eine besonders beliebte Zielscheibe. "Dort greifen ja nicht einzelne Personen oder Firmen an, sondern Staaten mit quasi unerschöpflichen Ressourcen", schildert Oesterhaus. Wenn staatliche Attacken die Regel würden, stelle das die ganze IT-Security auf den Kopf.

Neben fehlenden Verantwortlichkeiten und geringerer wirtschaftlicher Dringlichkeiten im öffentlichen Sektor führt die Expertenrunde vor allem die fehlende Flexibilität als Gründe an. Während der Handlungswille in den IT-Abteilungen der Einrichtung teilweise durchaus vorhanden ist, sorgen lange Entscheidungswege und schleppend laufende Ausschreibungen häufig dafür, dass öffentliche Unternehmen sich im Bereich Cybersecurity zu langsam bewegen.

Studie "Security as a Service 2023": Sie können sich noch beteiligen!

Zum Thema Security as a Service führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idg.de, Telefon: 089 36086 161) und Manuela Rädler (mraedler@idg.de, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF).

Fachkräftemangel erhöht Beratungs- und Managementbedarf

Ein anderes Problem trifft private und öffentliche Unternehmen jedoch gleichermaßen: der Fachkräftemangel. Denn um das zunehmend komplexe Toolset beherrschbar zu machen, benötigen Unternehmen neben zuverlässigen Technologien vor allem ausreichend Personalressourcen in den IT-Abteilungen. Und genau an dem fehlt es häufig.

Aus diesem Grund verändert sich zunehmend die Rolle der Security-as-a-Service-Provider. Kunden fragen längst nicht nur Lösungen an, sondern greifen immer mehr auf das Know-how der Dienstleister zurück, wirft Peter Lehmann, Inside Sales Specialist for Endpoint Security von Dell Technologies, in die Runde: "Kunden stehen vor einem gewaltigen Komplexitätsgrad und merken, dass sie diesen personell gar nicht mehr stemmen können."

Vielen Unternehmen werde bewusst, dass Technologie allein nicht zum gewünschten Ergebnis führt, konstatieren die Experten. Auch die Schulung und Sensibilisierung von Mitarbeitern sowie geeignetes Onboarding neuer Kollegen gehören fest zu einer funktionierenden IT-Security. "Insbesondere, wenn Kunden in die Cloud migrieren, sind sie häufig damit beschäftigt, dass das System überhaupt funktioniert. Die Folge: Die Sicherheit steht hinten an, weil die benötigten Mitarbeiter mit entsprechender Expertise zu stark eingebunden sind oder fehlen", erklärt Ibrahim Koese, Associate Partner von Spike Reply. Daher seien Dienstleister gefordert, diese Aufgaben zu übernehmen und Unterstützung zu leisten.

Auch Hannes Hahn, Consulter & Auditor von Rödl & Partner, sieht wachsenden Beratungs- und Managementbedarf bei den Kunden. Die Budgets für technische Instrumente seien zwar oft vorhanden, für Neueinstellungen jedoch eher nicht. "Wir Dienstleister können nicht länger nur die Technik anbieten, sondern müssen auch die erforderlichen Managementkapazitäten zur Verfügung stellen", erklärt Hahn.

Internes Know-how extern erweitern

Ersetzen SECaaS-Provider also langfristig die Security-Experten in den IT-Abteilungen? Für Cornelius Kölbel, Geschäftsführender Gesellschafter, CEO und Owner von NetKnights stellt sich eine solche Entweder-oder-Frage überhaupt nicht. Vielmehr geht es um das Schaffen von Redundanzen. "Es ist für Unternehmen sehr schwer vorauszusehen, wie lange sie internes Know-how halten können. Externe Dienstleister hingegen sind eine dauerhaft planbare Wissensressource", ergänzt Kölbel. Das Ziel müsse sein, Know-how extern zu erweitern, statt das interne abzuschaffen.

Zustimmung erhält er von Michael Herfordt, Projekt Manager / Senior Consultant von DATAGROUP Business Solutions, der ebenfalls die Vorteile von partiellem Outsourcing sieht. "Unternehmen ziehen externe Steuerberater zu Rate, auch wenn das nötige Wissen in der Buchhaltung vorhanden ist. So schaut es auch in der IT-Security aus", sagt Herfordt. Natürlich gebe es auch Kunden, welche den Betrieb ihrer Security vollständig auslagern würden. SaaS-Anbieter müssten heute mehr denn je flexibel auf unterschiedlichste Anforderungen reagieren können und Kunden dort abholen, wo sie stehen.

Ohne externe Hilfe kaum noch stemmbar

Es genügt also längst nicht mehr, wenn Security-Dienstleister einfach nur gute Technologien zur Verfügung stellen. Beratung, Betrieb und Support sind wesentliche Anforderungen, die sie erfüllen müssen, da Kunden diese häufig nicht mehr selbst vollständig abbilden können. Da drängt sich unweigerlich die Frage auf, ob sich Digitalisierung überhaupt noch ohne Security-Dienstleister bewältigen lässt. Diese Frage beantworten die Experten mit einem klaren Nein.

Ramon Weil, Founder und CEO von SECUINFRA, sieht die Notwendigkeit von Security-Providern schon allein dadurch, dass Behörden im Falle von Cyberkriminalität oft machtlos sind. Wenn Kriminelle mit einem Lastwagen in ein Kaufhaus einbrechen und den Laden ausräumen, wäre sofort die Polizei vor Ort. "Im Internet passiert so etwas jeden Tag und die Polizei ist gar nicht in der Lage, zu helfen", erklärt Weil. Deshalb müssten Unternehmen eine funktionierende Security aufbauen, was angesichts der technologischen und personellen Anforderungen jedoch oft nicht stemmbar wäre. Moderne Security-Dienstleister agieren in diesen Fällen als privater Sicherheitsdienst im Netz.

Bechtle-Experte Florian Macher wirft ein, dass die digitale Transformation die gesamte Substanz des Geschäfts berühre und dadurch bereits viele Ressourcen bündele. Zusätzlich noch eine State-of-the-Art-Sicherheitslandschaft aufzubauen, sei für viele Unternehmen schlicht nicht machbar. Macher ist sich sicher, dass SaaS-Provider auch in Zukunft eine enorm wichtige Rolle für Unternehmen spielen werden: "Security-Dienstleister bündeln Wissen und Erfahrung. Dies versetzt sie in die Lage, ihren Kunden relevante Mehrwerte zu liefern."

Die Notwendigkeit einer leistungsfähigen IT-Sicherheit wird also auch zukünftig dringlicher, die Rolle der Dienstleister umso komplexer. Unternehmen und SaaS-Provider müssen enger zusammenwachsen, um die Herausforderungen im Bereich der Cybersecurity zu meistern.

Informationen zu den Partner-Paketen der Studie 'Security as a Service 2023'