3-11-2016 Gedruckt am 28-02-2017 aus www.monitor.co.at/index.cfm/storyid/17014

Umfrage - Managed Security Services

IT-Sicherheit aus der Steckdose

Managed Security Services, Security-as-a-Service, Secure Service Providing – es gibt viele Begriffe, aber im Grunde meinen sie dasselbe: die Auslagerung von IT-Security-Aufgaben an einen spezialisierten Partner. Ein Konzept, das gerade für KMU durchaus Sinn macht.

Rudolf Felser

(c) CC0 Public Domain - pixabay.com

 Der Markt für IT-Security-Lösungen boomt. Laut den Analysten von IDC werden die weltweiten Umsätze in diesem Bereich 2016 auf knapp 74 Mrd. Dollar steigen, bis 2020 soll sogar die Schallmauer von 100 Mrd. Dollar durchbrochen werden. Auch in der Region Westeuropa werden die Ausgaben laut IDC deutlich steigen, von 19,5 Mrd. Dollar in diesem Jahr auf 26,4 Mrd. in 2020. Einen Löwenanteil davon machen auf globaler Ebene die Services aus: Fast 45 Prozent der Gesamtausgaben fließen in diesen Bereich, davon alleine 13 Mrd. Dollar in Managed Security Services. IDC prognostiziert in den nächsten Jahren weiterhin starkes Wachstum für die "IT-Sicherheit aus der Steckdose".
 
Wir haben bei verschiedenen Anbietern nachgefragt, welche Vorteile der Managed-Security-Ansatz gerade für KMU bringt, worauf man achten sollte und mit welchem Aufwand man rechnen muss, wenn man sich für die gemanagte Sicherheit entscheidet. 
 

Den Zimmermann ins Haus holen  

Die Axt im Haus erspart den Zimmermann. So lautet eine alte Volksweisheit, die wohl jeder schon einmal gehört hat. Aber mit Managed Security Services (MSS)  holt man sich bildlich gesprochen den Zimmermann mitsamt der Axt ins Haus. Im Bereich der IT-Sicherheit hat das viele Vorteile, die René Claus, Business Development Manager MSP DACH der ESET Deutschland GmbH, zusammenfasst: "Vor allem in kleineren und mittelständischen Unternehmen sind die Ressourcen einer IT-Abteilung, sofern es überhaupt eine gibt, recht überschaubar. In vielen Fällen hat der Administrator mit der Absicherung der Systeme bis hin zum reibungslosen IT-Betrieb alle Hände voll zu tun. Die Kosten zum Aufbau einer internen IT-Support-Abteilung sprengen bei KMU häufig den verfügbaren Budgetrahmen. Eine Alternative bietet das Outsourcen der Unternehmens-IT an Managed Service Provider, die sich ausschließlich um den Bereich IT-Security kümmern. Auf diese Weise können Verantwortliche ihrem Business zu hundert Prozent nachgehen. Darüber hinaus bleiben die Kosten durch tagesgenaue Abrechnungen weitaus transparenter und kalkulierbarer. Denn das Unternehmen bezahlt am Ende nur das, was es tatsächlich an Leistung in Anspruch nimmt. So bleiben mehr finanzielle Spielräume und weniger kommerzielle Risiken." 
 
Abgesehen von den Kosten ist es auch eine Frage der spezialisierten Mitarbeiter in den eigenen Reihen, die man nicht nur haben, sondern vorher erst einmal finden muss. Wieland Alge, General Manager EMEA bei Barracuda Networks, setzt einen scharfen Fokus auf diesen und einen weiteren Punkt: "KMUs sollten Managed Security vor allem aus zwei Gründen prüfen. Einerseits kann Kompetenz in Anspruch genommen werden, die in-house oft nur sehr schwer aufzubauen ist. Vor allem im IT-Security-Bereich ist es kaum möglich, sich mehr als einen Experten zu leisten. Damit ist ein hohes Risiko verbunden, wenn diese eine Person ausfällt, sei es nur vorübergehend, oder auch das Unternehmen verlässt. Was wir darüber hinaus beobachten ist, dass Managed-Security-Anbieter Vorgänge operationalisieren können, die in den einzelnen KMU jeweils nur selten vorkommen und deshalb kaum standardisiert sind. Ein jüngstes Beispiel war Locky. Gerade schnelles Restore von verlorenen oder manipulierten Daten gehört zur täglichen Aufgabe eines Managed Backup Providers. Für den einzelnen Betroffenen gottlob nicht. Aber deshalb ist die Reaktionszeit auch erheblich über der des Managed-Security-Anbieters." 
 
Spezialisierung, sowohl bei den Mitarbeitern als auch bei den Vorgängen, lautet also das Zauberwort. Mit dieser Meinung ist der Barracuda-Manager nicht alleine. "Die sich ständig und immer rascher ändernden Bedrohungslagen erfordern ein hohes Maß an tagesaktueller Wissensbasis und unmittelbarer Reaktionsfähigkeit. Für Unternehmen, deren Fokus nicht im Bereich der Informationssicherheit liegt, wird es daher immer aufwändiger, permanent entsprechende Personalressourcen bereit zu stellen. Insbesondere auch dann, wenn schnell auf besondere Bedrohungen reagiert muss. Ein auf Managed Security Services spezialisierter Partner hat einen starken Fokus auf dieses Thema und damit ungleich bessere Möglichkeiten, sowohl im personellen als auch im technischen Bereich", geht auch Manfred Kirisits, Geschäftsführer der CoreTEC IT Security Solutions GmbH, auf die Personalfrage ein.  
 
RadarServices ist ein österreichischer Anbieter, der auf kontinuierliches und vorausschauendes IT Security Monitoring und IT Risk Detection fokussiert. Gerade in diesem hochkomplexen Bereich macht die Zusammenarbeit mit einem spezialisierten Partner Sinn. "Unternehmen können mit Managed Security Services die kontinuierliche Sicherheitsüberprüfung für ihre gesamte IT-Landschaft auslagern. Sie werden dabei mit dem Handling komplexer Technologie nicht alleine gelassen, sondern haben Zugriff auf die nötigen und immer bestens weitergebildeten Experten, auf praxiserprobte Notfallprozesse und sämtliche Updates und Weiterentwicklungen. Nur dieses Gesamtpaket erlaubt die Erkennung und die richtigen Reaktionen auf das gesamte Spektrum an gezielten Attacken und Massenangriffen sowie auf hochkomplexe, neue Angriffsarten. Durch die Auslagerung werden Investitionen, die zum Beispiel bei der Anschaffung der benötigten Hard- und Software und auch des Vorhaltens des hochspezialisierten Personals entstehen, stark reduziert", wie Geschäftsführer Harald Reisinger erklärt.
 
NTT Security stellt laut Kai Grunwitz, Senior Vice President Central Europe des Unternehmens, gerade im Mittelstand eine wachsende Nachfrage von Managed Security Services und Lösungen zur Früherkennung von Bedrohungen fest. Dennoch spiele die Unternehmensgröße eine eher untergeordnete Rolle: "Viel wichtiger ist zunächst die Frage, welche Art von Security Services ein Unternehmen wirklich benötigt. Deswegen sollte zuerst eine Standortbestimmung vorgenommen werden, um etwaige Schwachstellen zu ermitteln. NTT Security bietet hier beispielsweise Beratungsleistungen an, um für Unternehmen ein individuelles Risikoprofil zu erstellen. Daraus können dann die jeweiligen Projektleistungen abgeleitet werden: zum Beispiel die Optimierung des Sicherheitsniveaus durch Sicherheitslösungen, die Übernahme von prozessualen Verbesserungen oder eben auch die Einführung von Managed Security Services." 
 

Besser klein anfangen? 

Wenn man sich als Unternehmen nun angesichts der Vorteile entschlossen hat, in Security-Fragen mit einem spezialisierten Partnern zusammenzuarbeiten, stellt sich eine weitere Frage: Sollte man klein anfangen, oder ist es besser sich gleich mit dem Wunsch nach einem umfassenden Schutz an die Profis zu wenden? "Natürlich ist es möglich klein zu beginnen und zum Beispiel nur die Perimeter-Absicherung auszulagern. Der MSS-Partner verwaltet dann nur diesen Abschnitt. Dies ist aber nur sinnvoll, wenn die Meldungen des Partners dann vom IT Team korriliert werden können, ansonsten ist es besser die Absicherung ganz auszulagern. Wichtig ist dabei jedenfalls die jeweiligen Prozesse – zum Beispiel im Falle eines Security Incidents – implementiert und mit dem Partner abgestimmt zu haben", beantwortet diese Frage Mathias Resatz, Director Solutions von Dimension Data Austria
 
Manfred Kirisits kann beiden Wegen etwas abgewinnen: "Beide Ansätze bieten Vorteile: Die selektive Implementierung von Managed Security Services ist mit geringerem Aufwand zu realisieren. Der Kunde bestimmt die Geschwindigkeit und Integrationsdichte mit dem Partner und kann nach seinen Vorgaben auch bestimmen, wie stark der Managed-Security-Partner eingebunden wird. Ein variabler, vom Kunden bestimmter Teil der Sicherheitskompetenz verbleibt so in den Händen des Kunden. Der Kunde kann hier außerdem von Lerneffekten profitieren, da durch die permanente Zusammenarbeit auch immer ein Wissenstransfer stattfindet. Auch ist eine phasenweise Implementierung in den Betrieb des Kunden einfacher zu einzubinden und für diesen besser zu planen. Sie ist in aller Regel auch schneller und einfacher zu erreichen. Natürlich ist aber die selektive Implementierung im täglichen Betrieb auch aufwändiger, vor allem im Hinblick auf die Kommunikation, sowohl für den Partner, als auch für den Kunden. Eine umfassende Lösung bietet daher den Vorteil, dass sich dem Partner die sicherheitsrelevanten Informationen des Kunden ohne Einschränkung darstellen. So kann dieser besser und rascher auf akute Bedrohungssituationen reagieren, da sich zum Beispiel alle Aspekte eines möglichen Angriffes darstellen – Verkehrsanalyse am Perimeter, Verkehr im LAN, clientseitige Signaturen, usw. Allerdings muss der Kunde dann einen sehr großen Teil seiner Sicherheitsinfrastruktur in einem einzigen Projekt an den Security Provider übergeben, was in Planung und Realisierung ungleich aufwändiger ist – ein großer Schritt eben."  
 
Auch für Kai Grunwitz ist eine Umsetzung in kleinen Schritten denkbar: "Managed Security Services bieten den Vorteil, dass sie sehr flexibel und skalierbar sind. Zunächst muss geklärt werden, welche Integrationstiefe vom Kunden gewünscht und sinnvoll ist. Es ist denkbar, dass über Managed Security Services lediglich bestimmte Leistungen abgedeckt werden, wie beispielsweise die Identifizierung von Angriffen. Dies kann dann Stück für Stück auf den gesamten End-to-End-Prozess ausgeweitet werden; inklusive Erkennung, Abwehr, Forensik und auditierbarer Dokumentation." Wieland Alge hat noch einen Tipp parat: " Gerade mittelgroße Anbieter haben die Möglichkeit, sehr flexible Konzepte anzubieten, wo man als Kunde ausprobieren kann, wie gut die Zusammenarbeit funktioniert. Die meisten erfolgreichen Konzepte sind hybridartig, das heißt anstatt die IT-Security als ganzes auszulagern ist der Managed-Security-Anbieter eine Vergrößerung und Verstärkung der lokalen Kompetenz." 
 
 

Den richtigen Partner finden 

Ist die Entscheidung zu Gunsten von Managed Security Services gefallen, hat man die Qual der Wahl. Gerade wenn es um ein so sensibles, kritisches Thema wie IT-Sicherheit geht, fällt das nicht leicht. Neben den reinen technischen Aspekten wollen auch andere Facetten bedacht werden. "Wichtig bei der Wahl des Partners ist eine Vertrauensbasis zu haben und die eigenen Anforderungen zu kennen. Nur dann kann besprochen werden ob der Partner diese abdecken kann. Dies kann auch mit einer Homogenisierung der Infrastruktur einhergehen, da MSS-Partner in der Regel nicht jeden Hersteller unterstützen und all diese Aspekte in einer Auswahl berücksichtigt werden müssen. Sofern im Unternehmen noch keine Security Anforderungen analysiert und festgelegt worden sind, kann dies auch als Consultingleistung zugekauft werden. Dimension Data bietet beispielsweise ein Security Architecture Assessement an", gibt Mathias Resatz zu bedenken. 
 
"Zu allererst ist es notwendig, die Anforderungen des Kundenunternehmens genau abzustecken. So wird anfangs der IST-Zustand des bereits vorhandenen IT-Sicherheitsschutzes ermittelt und in der Folge werden die individuellen Bedürfnisse gemeinsam mit dem Kundenunternehmen abgestimmt. Im Managed-Security-Services-Bereich spielt in diesem Auswahlprozess speziell das Vertrauen eine große Rolle. Auch Kundenreferenzen stellen oft ein entscheidendes Kriterium bei der Auswahl des Service Providers dar. Zusätzlich ist der persönliche Kontakt sehr wichtig. Denn wenn es um IT-Sicherheit geht, will man seine Partner kennen und ihnen vertrauen", kommt auch Harald Reisinger auf den Vertrauens-Aspekt zu sprechen. 
 
Dieser Punkt ist auch für  Manfred Kirisits in diesem Zusammenhang essenziell: "Managed Security basiert nicht nur auf der Lösungskompetenz des Partners, sondern vor allem auch auf dem gegenseitigen Vertrauen. In der Regel sind Managed-Security-Service-Partner auch als Security-Berater und Solution Provider in Bereichen wie zum Beispiel der Implementierung von Sicherheitsinfrastruktur oder Auditierung tätig – idealerweise in möglichst vielen Bereichen der IT-Sicherheit. Alle unsere zufriedenen Managed-Service-Kunden haben uns zunächst in einem oder mehreren Projekten kennen- und schätzen gelernt. Auswahl von Lösung und Angebot hängen auch stark vom Kundenwunsch ab, ob nur ein oder zwei Teilbereiche abgedeckt werden sollen, oder ob ein umfassendes Managed-Security-Konzept realisiert werden soll. Wie in vielen Bereichen der IT-Sicherheit ist die Abschätzung anhand einer Teststellung möglich, aber auch schwierig, da sich Effizienz und Nutzen einer Managed-Security-Partnerschaft oft erst nach mehreren Monaten klar darstellt." 
 
Wieland Alge bringt noch ein weiteres wesentliches Element ein: "Wie so oft, ist es auch hier ein 'Versuch und Irrtum'-Spiel. Das Wichtigste ist zunächst, die eigene Strategie zu kennen und klar formulieren zu können. Auch das Bewusstsein, dass sich diese rasch wieder ändern kann, ist wichtig. Mit dem Drang zu mehr Agilität in den Geschäftsmodellen und der Intensivierung der IT-Methoden kommt auch für die Security eine stärkere Verflechtung mit dem eigenen Geschäft. Als Faustregel mag dienen, dass der Anbieter mit dem besten Verständnis für das Geschäft des Kunden der Wertvollste ist. Wer mit dem Slogan wirbt 'Kümmern Sie sich um ihr Kerngeschäft, wir kümmern uns um ihre Security', sollte außen vor gelassen werden. Das Kerngeschäft und Security werden und sind schon miteinander verflochten und wer das nicht realisiert, wird schneller zum Problem als einem lieb ist." 
 

Worauf muss man sich einstellen? 

Wir haben auch nachgefragt, worauf sich die Unternehmen einstellen müssen, wenn sie ein solches Projekt angehen. Als Beispiel haben wir einen Mittelständler mit 20 bis 50 Mitarbeitern genommen. In den meisten Fällen sind sich die Anbieter einig und sprechen von einer Umsetzung der grundlegenden Funktionen in wenigen Tagen und mit überschaubaren Kosten. Es kommt natürlich auf den Umfang des Projektes an, wie beispielsweise René Claus betont: "Das hängt ganz davon ab, ob ein kompletter Umstieg auf einen anderen Security-Anbieter geplant ist oder ein Service-Angebot des aktuellen Anbieters genutzt werden soll. Bei ESET besteht die Möglichkeit, ohne viel Aufwand von der Standardlizenzierung auf MSP reibungslos umzusatteln. Auch bei einem Wechsel auf ESET verfügen wir über die richtigen Tools, die Projektzeit so minimal wie möglich zu halten. Die Projektdauer richtet sich nach der jeweiligen Infrastruktur eines Unternehmens und lässt sich im Vorfeld nur schwer bestimmen. Erfahrungsgemäß ist so ein Projekt allerdings innerhalb weniger Tage durch Teilautomatismen wie Deinstallation und Roll-Out-Policies abgeschlossen. Wie viele Kosten für den Kunden eines Managed Service Providers entstehen, hängt vom Service-Angebot ab. Mit dem Ziel einer langjährigen, guten Kundenbindung und Verdienstmöglichkeit kommen in der Regel nur geringe Gebühren auf." 
 
Manfred Kirisits sieht das ähnlich: "Der Aufwand hängt stark vom gewählten Dienstleistungsumfang ab. Einbindung und Überwachung nur eines – bereits bestehenden – Teils der Sicherheitsinfrastruktur sind in der Regel in sehr wenigen Personentagen zu erreichen. Im Trivialfall einer überwachten und verwalteten Firewall sprechen wir für Analyse, Integration und Einrichtung von Nebendiensten, wie Berichten, Abstimmung von Jour Fixes, etc., von maximal einem bis zwei Tagen. Einer komplexeren und umfassenderen Integration muss unbedingt eine Bedarfs- und Sicherheitsanalyse vorangehen, da der Managed Security Provider mit der weitreichenden Betreuung auch eine große Verantwortung übernimmt." 
 
In Grundzügen stimmt auch Wieland Alge zu, ruft aber auch zu einem gesunden Maß an Skepsis auf: "Das wäre angenehm, aber langweilig, wenn sich das am Reißbrett kalkulieren ließe. Das noch am besten vergleichbare Rückgrat, das heißt die Firewall, das Backup und die E-Mail-Security, sind oft erstaunlich günstig und innerhalb weniger Tage erledigt. Die Kosten steigen, je mehr der Managed-Security-Anbieter mit den Kundenmitarbeitern interagiert, weil zum Beispiel Mobilität sehr wichtig wird. Gehobener Standard in der Managed Security umfasst natürlich auch regelmäßige Angriffs- und Schadenssimulationen. Deshalb geht die Spanne von ein paar hundert Euro im Monat bis zum zehnfachen. Auch hier gibt es wieder Faustregeln. Hände weg von 299-Euro-pro-Monat-Angeboten, da wird nichts gemanagt. Aber auch Skepsis gegenüber Luxuspaketen, diese sind nur dann sinnvoll, wenn sie sich konkret mit dem Geschäftsmodell des Endkunden beschäftigen und nicht nur mit Security als Selbstzweck." 
 
Ganz so einfach, wie der Wechsel des Stromanbieters oder gar das schnelle Einstöpseln eines Steckers ist der Wechsel zur IT-Sicherheit aus der Steckdose also nicht. Der Schritt will wohlüberlegt sein. Aber gerade angesichts der stetig wachsenden Herausforderungen in der IT-Security, denen sich jedes Unternehmen stellen muss, macht die Zusammenarbeit mit einem professionellen und spezialisierten Partnern Sinn.