Worauf Unternehmen beim Outsourcing ihrer Cybersicherheit achten müssen
Immer mehr Unternehmen setzen bei der Suche nach wirksamen Cybersecurity-Lösungen auf Managed Services. Doch wer seine IT-Sicherheit auslagern möchte, steht vor einer kaum überschaubaren Vielfalt an Anbietern und Tools – und verliert leicht den Überblick. Umso wichtiger ist es zu wissen, welche fachlichen, organisatorischen und technischen Voraussetzungen ein Managed-Services-Anbieter erfüllen sollte.
An Arbeit mangelt es in den IT-Abteilungen sicher nicht. Die allseits bekannte Zunahme der Bedrohungen im Cyberraum stellt dabei eher ein Hintergrundrauschen dar – fehlende Fachkräfte, Expertise und Tools verhindern allerdings in den meisten Fällen den Aufbau eines adäquaten digitalen Schutzschildes. Kein Wunder also, dass das Interesse an der Auslagerung der Cybersecurity und entsprechenden Managed Services in den letzten Jahren drastisch angestiegen ist. Weil mit der Nachfrage auch das Angebot auf dem Markt steigt, stehen Unternehmen heute vor einer riesigen Auswahl an Dienstleistern und Lösungen.
Besonders in den Bereichen Security Information and Event Management (SIEM) und Security Operations Center (SOC) gibt es zahlreiche Anbieter, deren Portfolios und Services sich allerdings stark unterscheiden. Nicht nur mit Blick auf die steigenden gesetzlichen Vorgaben an die Cybersecurity und Compliance-Richtlinien ist bei der Wahl der Lösung allerdings Vorsicht angesagt. Zum einen ist Service nicht gleich Service, zum anderen erfordert der Schutz der eigenen IT‑Systeme sorgsame Entscheidungen und sollte sich nicht allein am günstigsten Preis orientieren. Worauf kommt es also an?
Individuelle Beratung statt Standardlösung
Unternehmen, die Managed Services für SOC und SIEM suchen, lassen sich grob in drei Kategorien einteilen. Zum einen gibt es Firmen, die bisher noch keine Lösungen in diesem Bereich implementiert haben und sich auf Basics wie Firewalls und Virenschutz beschränken. Die zweite Kategorie umfasst Unternehmen, die zwar ein komplexes Security-Tool einsetzen, den damit verbundenen Aufwand und das erforderliche Know-how allerdings stark unterschätzt haben. Als dritte Kategorie sind Unternehmen zu nennen, die sich für Managed Services entschieden haben, aber mit deren Leistung unzufrieden sind.
Um diese Szenarien zu vermeiden, sollten Unternehmen Managed-Services-Angebote im Hinblick auf einen ganzheitlichen Ansatz prüfen: Gibt es eine initiale, individuelle Beratung, die mit einer Analyse der vorhandenen Infrastruktur beginnt? Oder liefern Anbieter stattdessen eine Standardlösung, die entweder überdimensioniert oder nicht ausreichend für die Anforderungen des Unternehmens ist? Seriöse Dienstleister passen das Service-Level zu Beginn der Implementierung maßgeschneidert an – und orientieren sich dabei zum Beispiel am Log-Volumen ihrer Kunden, auf dessen Grundlage sie die infrage kommenden Tools erst lizenzieren.
Die Beratung spielt gerade hier eine wichtige Rolle, denn am Log-Volumen können Experten etwa erkennen, ob tiefergehende Probleme in der Infrastruktur vorliegen. Steht das Volumen in keinem Verhältnis, können beispielsweise Server falsch konfiguriert sein. Falsche Log-Vorgänge wären hier eine mögliche Konsequenz. Um spätere Ineffizienzen und Enttäuschungen zu vermeiden sowie einen schnellen ROI sicherzustellen, muss ein Managed Services daher auf einem soliden technologischen Fundament aufgebaut sein. Hier trennt sich auf Anbieterseite schnell die Spreu vom Weizen – nur eine angepasste, optimierte und gemeinsam geschaffene Infrastruktur ist die richtige Ausgangslage. Dazu gehört auch die Beantwortung zentraler organisatorischer Fragen – etwa, wer bei einem 24/7-Services auf Kundenseite auch nachts oder an Feiertagen erreichbar ist, schließlich gibt es in der Welt der Cyberangriffe keine Pausen.
Neben einer engen Zusammenarbeit und individuell anpassbaren Lösungen sollten Unternehmen daher unbedingt großen Wert auf eine eingehende Beratung und Analyse legen.
Schnelle Reaktion im Ernstfall entscheidend
Ein weiterer Gradmesser für Cybersecurity-Anbieter und ihre Services ist das konkrete Verhalten bei sicherheitsrelevanten Vorfällen und Angriffen. Weil es auch in der IT keine einhundertprozentige Sicherheit geben kann, sind Unternehmen sowohl auf das schnelle Registrieren von Angriffen als auch auf das Einleiten von Gegenmaßnahmen angewiesen. Nimmt ein SOC-Anbieter zwar ungewollte Eingriffe in die Systeme seiner Kunden wahr, belässt es aber bei der bloßen Alarmierung, stehen die meisten Unternehmen den Angriffen dennoch hilflos gegenüber und wertvolle Zeit verstreicht. Statt sich auf das Reporting zu beschränken, ist es daher von allergrößter Bedeutung, dass Anbieter auch die notwendige Expertise und die Ressourcen bereitstellen, um schnell zu reagieren und den Schaden so gering wie möglich zu halten.
Dafür ist eine Reihe von Kriterien notwendig, an denen sich Unternehmen bei der Suche nach einem passenden Dienstleister orientieren können: Sind spezialisierte Incident-Response-Teams vorhanden? Können Cybersecurity-Spezialisten im Ernstfall vor Ort oder remote eine digitale Erste Hilfe leisten und den Schaden begrenzen? Gibt es mehrere, über Zeitzonen verteilte SOCs, die eine Rund-um-die-Uhr-Überwachung abdecken? Wie wichtig das schnelle und entscheidende Eingreifen bei Cyberattacken ist, zeigt sich auch daran, dass führende Anbieter sogar mobile Einsatzteams und speziell ausgerüstete Fahrzeuge mit neuer Hardware in ihr Portfolio aufgenommen haben. So können in kürzester Zeit neue Server in Betrieb genommen oder durch Ransomware verschlüsselte Geräte gegen neue ausgetauscht werden. In Zeiten, in denen ein erfolgreicher Angriff auf die eigenen Systeme eher eine Frage der Zeit als eine Frage des Ob ist, sind spezialisierte Partner gefragt, deren Managed Services über die reine Forensik hinausgehen.
Aktiver Wissenstransfer als Qualitätsmerkmal
Risiken im digitalen Raum sind kein kurzfristiges Phänomen, sondern längst ein fester Bestandteil im Alltag von IT-Abteilungen und Unternehmen. Umso wichtiger ist es, einen Managed-Services-Anbieter zu wählen, der nicht nur eine Lösung zur Verfügung stellt und Logs überprüft, sondern auch einen aktiven Wissenstransfer vorantreibt – beginnend mit der Implementierung in der Transitionsphase: Als Qualitätsmerkmal gilt hier die Unterstützung durch Experten, die beispielsweise Log-Quellen korrekt anbinden, sie konfigurieren und Playbooks erstellen, also Praxisanleitungen mit vorgegebenen Maßnahmen für den Ernstfall. Im Fokus sollte dabei auch immer das Enablement der Mitarbeitenden stehen, die auf diese Weise ihr eigenes System und die Security-Operations-Center-(SOC)-, beziehungsweise Security-Information-and-Event-Management-(SIEM)-Lösung besser kennenlernen.
Wichtige Unterscheidungen sind auch bei der weiteren Zusammenarbeit im laufenden Betrieb zu beobachten. Während einige Managed Services sich darauf beschränken, schriftliche Reportings zu versenden, sollten Unternehmen bei ihrer Anbietersuche auf einen dedizierten Ansprechpartner und persönliche Recap-Meetings innerhalb eines sinnvollen Zeitraums achten. Auf diese Weise können auch Themen wie Änderungen innerhalb der Infrastruktur oder das Anbinden neuer Log-Quellen sehr viel effizienter und direkter angesprochen und umgesetzt werden.
Branchenspezifisches Wissen unverzichtbar
Unternehmen aus unterschiedlichen Branchen haben naturgemäß verschiedene Anforderungen an die eigene IT-Landschaft und damit auch an die Cybersecurity. Hinzu kommen unterschiedliche Compliance-Anforderungen – etwa im Finanz- oder Gesundheitswesen. Schon aufgrund dieser speziellen gesetzlichen Rahmenbedingungen greifen standardisierte Security-Lösungen in den meisten Bereichen zu kurz und erfüllen nicht die Vorgaben.
Managed-Services-Anbieter sollten daher immer über branchenspezifisches Wissen verfügen und entsprechende Lösungen in ihrem Portfolio aufführen. Deutlich wird dies besonders am Beispiel der Fertigungsindustrie: Auch wenn viele Anbieter die IT von produzierenden Unternehmen ausreichend abdecken und schützen, ist die Sicherheit der OT oftmals eine große Lücke im vermeintlich sicheren Schutzschirm – und das, obwohl gerade hier die Angriffe auf Maschinen und vernetzte Komponenten drastisch zunehmen. Dafür sind allerdings spezielles Know-how und entsprechende Tools notwendig, deren Verfügbarkeit Fertiger eingangs unbedingt hinterfragen müssen.
Das Outsourcing der Cybersecurity gewinnt branchenübergreifend an Bedeutung und kann bei richtiger Umsetzung sowohl zu einem höheren Schutzniveau als auch zu einer Entlastung der eigenen Mitarbeitenden führen. Bei der Auswahl der Dienstleistungen und Anbieter sind jedoch hohe Anforderungen zu stellen – schließlich ist ein sicherer Schutzschild für die eigenen IT-Systeme auch ein Garant für die nachhaltige Wettbewerbsfähigkeit und Reputation der Unternehmen.
Autor
Christian Koch ist Senior Vice President Cybersecurity IoT/OT, Innovations und Business Development bei NTT DATA DACH.