Das gilt es bei Managed Security Services zu beachten
Mit immer neuer Schadsoftware und ausgefeilteren Angriffen attackieren Cyberkriminelle Unternehmen über das Internet. Einer Studie zufolge verzeichnete im vergangenen Jahr ein Fünftel aller Unternehmen in Deutschland mindestens einen gravierenden Sicherheitsvorfall. Managed Security Services können die IT-Infrastrukturen vor solchen Bedrohungen schützen. Wir geben einen Überblick, welche Vorteile die Dienste bieten, welche Modelle möglich sind und wie IT-Verantwortliche den richtigen Anbieter finden.
Fast 60 Prozent der befragten IT-Experten fürchten, dass die Wirtschaft unzureichend vor Cyberattacken geschützt ist. Trotzdem glauben nur 13 Prozent der Verantwortlichen, dass das eigene Unternehmen dazu gehört. Sie unterschätzen damit die Gefahr: Die Lage der IT-Sicherheit bezeichnet das BSI als "angespannt". Denn die Täter nutzen jede Schwachstelle aus – so wie jüngst bei Microsofts Exchange Server. Anfang März hatte das Unternehmen Security Patches für das E-Mail-System bereitgestellt. Da hatten Angreifer die Sicherheitslücke bereits ausgenutzt und Ransomware eingeschleust.
Aber das Problem ist noch viel größer: Drei Wochen später war erst die Hälfte aller Exchange-Server weltweit gepatcht, so eine Analyse der Sicherheitsexperten von F-Secure. Die anderen boten Kriminellen weiterhin ein Einfallstor. Bei der Intensität der Angriffe lag Deutschland auf Platz 2 hinter Italien.
Vorteile von Managed Security
Das Beispiel zeigt, dass Unternehmen kontinuierlich unter Beschuss stehen – und deshalb ebenso kontinuierlich ihre IT-Infrastruktur absichern und auf Schwachstellen überprüfen müssen. Es reicht nicht, Software und Systeme alle paar Monate zu patchen oder auf Lücken zu überprüfen. Ein permanentes und automatisches Vulnerability Scanning ist unumgänglich.
Aber viele Firmen haben nicht die Ressourcen, die Erfahrung und die Zeit, sich umfassend um ihre Cybersecurity zu kümmern – vor allem, weil Bedrohungen immer komplexer werden und ständig Attacken dazukommen. Ein möglicher Ausweg: Security-Aufgaben auslagern. Externe Spezialisten betreiben dann Managed Security Services und sorgen für die Sicherheit von Cloud, Daten, Inhalten, Infrastruktur, Applikationen oder Operational Technology (OT).
Das hat mehrere Vorteile: Die Managed Security Service Provider (MSSP) kümmern sich ausschließlich um Sicherheitsthemen. Es lohnt sich vor allem, komplexe und zeitintensive Security-Aufgaben auszulagern, so wie Firewallmanagement oder Cloudsicherheit. Managed Services rund um Security-Aufgaben entlasten außerdem Mitarbeiter aus der IT-Abteilung und verhelfen ihnen zu mehr Freiraum für andere Themen.
Modelle für Managed Security
Es sind verschiedene Modelle für Managed Security Services möglich, je nachdem, wie viel Unterstützung Unternehmen benötigen und wie viel Verantwortung sie abgeben wollen:
In der Variante "Support und Betriebsunterstützung" liefert ein MSSP Security-Komponenten und installiert sie. Er kann außerdem dabei helfen, sie in Betrieb zu nehmen sowie Service und Support bieten. Die Betriebsverantwortung bleibt komplett im eigenen Unternehmen, über den MSSP erfolgt lediglich Unterstützung.
Ein Managed Service ist umfassender: Der MSSP übernimmt den Betrieb der Security-Systeme mit Remote-Tools, auf Wunsch ganz oder nur teilweise. Unternehmen behalten die Kontrolle, weil die Infrastruktur im eigenen Haus bleibt. Sie geben aber die Betriebsverantwortung teilweise ab.
Security-as-a-Service: Das Unternehmen braucht sich nicht selbst um Sicherheit zu kümmern, die Betriebsverantwortung für die Infrastruktur liegt beim MSSP. Dieser stellt alle erforderlichen Security-Services über die Cloud bereit und managt sie. Zu den SaaS-Diensten gehören etwa E-Mail-as-a-Service, SIEM-as-a-Service, Scan-as-a-Service oder SOC-as-a-Service.
Das sollten Unternehmen bei der Auswahl des Service-Providers beachten
Die Auswahl eines Security-Service-Modells ist eine Sache – die des passenden Providers eine andere. Es gibt unzählige Anbieter für Managed Services rund um die Sicherheit. Die Auslagerung dieser Prozesse erfordert aber viel Vertrauen, schließlich legt das Unternehmen hochsensible Bereiche in fremde Hände. Organisationen sollten deshalb einen MSSP genau unter die Lupe nehmen. Folgende Kriterien spielen eine entscheidende Rolle:
1. Nachweisbares Expertenwissen des MSSP
Ein Provider führt seine Aufgaben idealerweise in besserer Qualität und mit mehr Know-how aus, als das im eigenen Haus gewährleistet werden kann. Die umfassende Expertise sollte er nachweisen können. Hat er Partnerschaften mit Herstellern abgeschlossen? Kann er Kundenreferenzen für seine Security-Leistungen vorlegen? Hilfreich ist auch ein Blick in Benchmarks für Managed Services, etwa bei Marktforschungsunternehmen wie Gartner oder Experton. Der MSSP sollte im relevanten Bereich eine gute Platzierung erreichen. Außerdem braucht der Dienstleister genügend qualifizierte Mitarbeiter, die Expertenwissen mitbringen.
2. Verschiedene Bausteine für Security-Aufgaben
Welche Leistungen MSSP im Einzelnen übernehmen, lässt sich in allen Managed-Security-Service-Modellen individuell festlegen. Folgende Bausteine sollten zur Auswahl stehen: Automatische Scans der Systeme, Wartung der Sicherheitsinfrastruktur, Einspielen von Updates und Patches, Backup der Konfiguration, Überprüfung von Zertifikaten und Laufzeiten von Lizenzen, Dokumentation aller Veränderungen in der Security-Infrastruktur, um Compliance zu gewährleisten, Vulnerability Management, Alarme bei Schwachstellen, Erstellen von Monitoringreporten und Support bei Problemen.
3. Individuelle Service Level Agreements und schneller Support
Ein guter MSSP bietet flexible Service Level Agreements (SLA). Standardisierte Vereinbarungen sparen Kosten und sind weniger komplex. Es sollte trotzdem immer möglich sein, sie bei Bedarf individuell anzupassen. Dienstleister und Kunde definieren im SLA, welche Leistungen erbracht werden und wer wofür verantwortlich ist. Es geht dabei auch um die Zeit, in der Reaktionen erfolgen oder Probleme gelöst werden müssen.
Verschiedene Servicestufen sind möglich, von 9x5xNBD (Neun Stunden am Tag, fünf Tage die Woche, Reaktion erst am nächsten Werktag) bis 24x7x1/2 (24 Stunden am Tag, sieben Tage die Woche, Reaktion innerhalb von ein bis zwei Stunden). Ein guter Managed-Services-Anbieter ist rund um die Uhr erreichbar und bietet IT-Support in Deutschland. Wichtig ist auch, ob an der Hotline kompetente Experten sitzen. Idealerweise steht dem Unternehmen ein direkter Ansprechpartner zur Verfügung, der umgehend das benötigte Wissen bereitstellt und Fragen beantworten kann.
4. Transparente Leistungen
Der MSSP sollte die vorher festgelegten Leistungen dokumentieren und damit transparent machen. Das kann beispielsweise mit regelmäßigen Reports oder bei Status-Meetings erfolgen. Hilfreich sind webbasierte Managementkonsolen für den Service. Dort können Unternehmen den aktuellen Status jederzeit einsehen.
5. Zertifizierung und sicheres Hochleistungsrechenzentrum
Entscheidend für die Qualität von Sicherheits-Services ist auch die Infrastruktur im Hintergrund. Der Provider sollte ein Rechenzentrum in Deutschland betreiben und garantieren, dass die Anforderungen der EU-DSGVO umgesetzt und deutsches Recht angewendet werden. Ein wichtiger Anhaltspunkt ist zudem eine Zertifizierung nach ISO 27001. Damit weist der MSSP nach, dass er international geltende Security-Standards erfüllt und gemäß der EU-DSGVO mit Kundendaten umgeht. Er zeigt damit, dass er alle Maßnahmen ergriffen hat, um Verfügbarkeit, Vertraulichkeit und Integrität von Daten sicherzustellen. Es geht dabei nicht nur um Technik, sondern auch um interne Prozesse oder Gebäude-Zugangsregelungen.
6. Breites Portfolio
Der MSSP sollte unterschiedliche Managed Services anbieten, sodass Kunden auf Wunsch alles aus einer Hand bekommen können. Hilfreich ist ein breites Portfolio, falls später noch weitere Services hinzukommen. Produzierende Unternehmen suchen sich am besten einen Provider, der sowohl IT- als auch OT-Security abdeckt. Außerdem sollte der Provider herstellerunabhängig arbeiten und die Bedürfnisse der Kunden ins Zentrum stellen.
7. Beratung und Onboarding-Prozess
Ein MSSP unterstützt Kunden am besten schon in der Planungs- und Entscheidungsphase sowie später beim Onboarding. In einem Kick-off-Meeting analysieren Dienstleister und Unternehmen die aktuelle Situation und definieren gemeinsam Ziele. Es gilt, Schnittstellen und Kommunikationswege zu definiert. Die Experten des Dienstleisters müssen wissen, welche Systeme beim Kunden eingesetzt werden und über welche IP-Adressen sie erreicht werden. Der MSSP sollte zudem die Systeme des Kunden analysieren, Updates einspielen, die Konfiguration bei Bedarf anpassen und die Remote-Zugänge über ein sicheres Site2Site-VPN einrichten.
Fazit
Managed Security Services unterstützen Unternehmen bei allen Aufgaben rund um Cybersecurity. Der Provider überwacht Systeme, wehrt Bedrohungen ab und schließt Sicherheitslücken. Damit erhöhen Betriebe ihr Schutzniveau deutlich, ohne dass sie kontinuierlich selbst auf dem aktuellen Stand sein müssen. Bei der Wahl eines MSSP sollten die Verantwortlichen genau hinsehen – und darauf achten, dass der Anbieter Expertise mitbringt, verschiedene Bausteine und SLA sowie ein breites Portfolio, anbietet, seine Leistungen transparent macht, zertifiziert ist und nicht zuletzt beim Onboarding-Prozess unterstützt.
Autor: Ben Kröger, Technische Leitung Cyber Security bei Axians IT Security