Viele kleine Unternehmen entscheiden sich für handelsübliche IT-Sicherheitssoftware und lassen sie von einem Anbieter installieren, mit dem sie darüber hinaus keine Geschäftsbeziehung pflegen. Sie gehen davon aus, dass ihre Systeme nun sicher sein werden.
Dabei vergessen sie, dass sich die Bedrohungslandschaft ständig ändert, beispielsweise wenn Hacker sich künstliche Intelligenz zunutze machen. Um damit Schritt zu halten, müssen kleine Unternehmen ihre IT-Sicherheitssysteme kontinuierlich aktualisieren, verwalten und skalieren.
Wenn das sicherheitsbezogene Fachwissen, die Ressourcen und das Budget jedoch knapp bemessen sind, ist die Cybersicherheit oft nicht einfach zu bewerkstelligen
Es lohnt sich, einen Managed Service Provider für die Sicherheit (MSSP) zu beauftragen, um die IT-Netzwerke zu überwachen, Bedrohungen zu erkennen, Systeme zu verwalten und somit für eine immer aktuelle Sicherheitsinfrastruktur zu sorgen. So sind kleine Unternehmen besser vor Cyberrisiken geschützt als andere, die die Sicherheit intern, aber mit unzureichenden Ressourcen und Kenntnissen verwalten.
In diesem Artikel soll es darum gehen, was Managed Service Provider zur IT-Sicherheit kleiner Unternehmen beitragen können. Außerdem werden wir eine MSSP-Definition liefern und typische Fragen zu Managed Security Services beantworten.
Warum kann das Outsourcen der IT-Sicherheit für kleine Unternehmen funktionieren?
Kleine Unternehmen lagern häufig Bereiche aus, um ihre betriebliche Effizienz zu erhöhen, beispielsweise Gehaltmanagement, Recruiting und Steuer.
Doch wie sieht es mit der IT-Sicherheit aus? Dort ist es etwas komplizierter, denn schließlich kann das Outsourcing hier auch zahlreiche Sicherheitsrisiken mit sich bringen – und in Zeiten der DSGVO müssen dabei auch Datenschutzgesetze genau bedacht werden.
Nichtsdestrotrotz sind sich viele IT-Expert*innen einig, dass sich kleine Unternehmen durch das Auslagern der IT-Sicherheit besser auf ihre Kernkompetenzen konzentrieren, Sicherheitsvorfälle frühzeitig erkennen und Kosten einsparen können. Michael Sorokin, Security Solution Architect bei CDW, sagt dazu:
Für viele KMU lohnt es sich, die Cybersicherheit in die Hände eines Managed Service Provider zu legen. Wenige mittelgroße (und fast keine kleinen) Unternehmen verfügen über das nötige interne Sicherheitspersonal, um ein umfassendes Cybersicherheitsprogramm zu implementieren und zu managen.
Für viele Unternehmen ist das Risiko durch das Outsourcen von Sicherheitsdienstleistungen geringer als die Bedrohung durch Cyberangriffe. Die meisten kleinen und mittleren Unternehmen (KMU) wenden sich an Drittanbieter, weil sie nicht genügend entsprechend geschultes Personal oder finanzielle Mittel haben, um die Sicherheit selbst zu bewältigen.
Und es gibt eine ganze Reihe guter Gründe dafür, Managed Service Provider einzusetzen:
- Sicherheit ist nicht die Kernkompetenz.Dies gilt für die meisten KMU. Sicherheitsbezogene Aufgaben lenken oft vom Kerngeschäft ab. Da der Fokus des Unternehmens auf anderen Dingen liegt, fehlen oft schlicht auch die Ressourcen, um sämtliche IT-Sicherheitsanforderungen intern zu erfüllen.
- Das Budget ist nicht hoch genug.Sicherheitsrelevante Geräte und Hardware wie Netzwerksicherheits-Appliances, Firewalls der neuesten Generation und Intrusion Detection-Systeme erfordern häufig eine große Investition. Erweiterte Software zur Bedrohungserkennung kostet etwa 000 $ im Jahr. Kleine Unternehmen, denen das nötige Budget fehlt, ignorieren häufig, was eigentlich gebraucht wird, oder betrachten es als von niedriger Priorität.
- Es gibt zu wenig Fachkräfte:Weltweit fehlen fast 3 Millionen Fachkräfte im Bereich Cybersicherheit. Gleichzeitig befinden sich die Gehälter in diesem Bereich auf einem Rekordhoch. Angesichts des Fachkräftemangels und den oft hohen verlangten Gehältern ist es schwer, mit Großunternehmen um Sicherheitsexpert*innen zu konkurrieren.
Kurz gesagt: Eigenes Sicherheitspersonal einzustellen ist nicht nur kostspielig, sondern auch gar nicht so einfach! An dieser Stelle kommen Managed Security Services ins Spiel.
Was sind MSSPs und Security-as-a-Service?
Managed Security Service Providers sind Drittanbieter, die bei der Remote-Überwachung von sicherheitsrelevanten Ereignissen und damit zusammenhängenden Daten helfen. Zu den von ihnen angebotenen Dienstleistungen zählen beispielsweise die Erkennung von Bedrohungen im Netzwerk, Sicherheitsanalysen und -berichte, Vorfallreaktion und Schwachstellenscans über ihr Remote-Security Operations Center (SOC).
Unterschiedliche Managed Service Provider bieten auch unterschiedliche Dienstleistungen an. Üblicherweise gehören dazu:
- Sicherheitsüberwachung, Berichterstellung und Warnungen:Protokolle und andere Daten aus den Unternehmensnetzwerken werden erfasst und für Sicherheitsprüfberichte analysiert. Warnmeldungen zu Bedrohungen aus unterschiedlichen Quellen werden ausgegeben und Empfehlungen zu Gegenmaßnahmen gegeben.
- Sicherheitsgerätemanagement:Sicherheitsgerätekonfigurationen und -regeln werden aktualisiert, Firewalls und Intrusion-Prevention-Systeme verwaltet und auf erkannte Vorfälle reagiert.
- Risikobewertung und -management:Potentielle Bedrohungen werden identifiziert und analysiert, Schwachstellen überprüft und Gegenmaßnahmen wie Patching ergriffen, um Sicherheitsrisiken zu minimieren. Außerdem werden IT- und Sicherheitssysteme jährlich oder halbjährlich überprüft, um den Schutz vor neuen Bedrohungen sicherzustellen.
- Sicherheitssoftwaremanagement:Übliche Sicherheitssoftware wie Schwachstellenscans, Anti-Malware, Patch-Management, Virtual Private Network (VPN) und Intrusion Detection wird bereitgestellt, konfiguriert und verwaltet. MSSPs stellen diese Funktionen entweder über eigene SOCs oder die von Drittanbietern zur Verfügung.
- Vorfallmanagement und -reaktion:Unterstützt beim Entwickeln systematischer Methoden zur Reaktion auf Sicherheitsvorfälle wie Datenschutzverletzungen oder Ausfallzeiten von Servern und Netzwerken. Außerdem wird es möglich, schneller auf Vorfälle zu reagieren, gegen ausgenutzte Schwachstellen vorzugehen, Dienste wiederherzustellen und finanzielle Verluste zu minimieren.
Einige MSSPs bieten – häufig gegen eine Zusatzgebühr – weitere Leistungen wie Sicherheitsanalysen, Sicherheits-Governance und die Gestaltung von Sicherheitsprogrammen.
Arten von MSSPs
Der MSSP-Markt ist ziemlich ausgereift und die Anbieter können in folgende Bereiche kategorisiert werden:
- Netzwerksicherheitsdienstleister:Verwalten Netzwerksicherheitsprodukte und bieten Leistungen wie die Remote-Überwachung.
- Reine Sicherheitsdienstleister:Konzentrieren sich auf End-to-End-Sicherheitsdienstleistungen und bieten beispielsweise Funktionen für Bedrohungserkennung, Sicherheitsüberwachung, Gerätemanagement und Vorfallreaktionsmanagement. Reine MSSPs konzentrieren sich häufig auf bestimmte Industriezweige, gesetzliche Anforderungen oder Analysedienstleistungen.
- IT-Outsourcer:Breit aufgestellte IT-Diensteanbieter, die Managed Security Services häufig im Rahmen von Outsourcing-Angeboten bieten. Außerdem bieten sie grundlegende Dienstleistungen rund um Sicherheitsüberwachung, Systemkonfiguration und Updates an.
- Sicherheitsberater*innen:Sie sind die aufstrebenden Neueinsteiger in diesem Markt und bieten ihren Kund*innen kontinuierliche Beratungen anstelle einmaliger Projekte. Sie führen Risikobewertungen durch und bieten Ratschläge zu Sicherheitslösungen.
Wie können MSSPs kleinen Unternehmen helfen? Vorteile und Herausforderungen
Die Zusammenarbeit mit MSSPs bietet kleinen Unternehmen verschiedene Vorteile, aber stellt sie auch vor Herausforderungen.
Kostengünstige Sicherung von Systemen und Verbesserung der Compliance
Zu den großen Vorteilen gehören die folgenden Punkte:
- Verbesserter Schutz:MSSPs verfügen über hervorragende Sicherheitsexpert*innen und -systeme, von denen kleine Unternehmen profitieren können, um Datenschutz und Sicherheit zu verbessern. So erhalten sie die neuesten Updates und Informationen zu aktuellen Cybersicherheitsbedrohungen, Möglichkeiten zur Risikominderung sowie Sicherheitssoftware.
- Verbessertes Risiko- und Compliance-Management:Es ist nicht einfach, gleichzeitig ein kleines Unternehmen zu führen und bei all den neuen Branchenstandards, Gesetzen und Regelungen auf dem Laufenden zu bleiben. Diese Aufgaben kann ein Managed Service Provider übernehmen, der außerdem mehr Routine im Implementieren von Sicherheits- und Compliance-Kontrollen hat.
- Kosteneinsparungen:Für die meisten kleinen Unternehmen haben Einsparungen höchste Priorität. Durch Managed Service Provider lassen sich die Kosten für die Einstellung von internem Sicherheitspersonal, High-End- Netzwerküberwachungslösungen und Tools zur Bedrohungserkennung reduzieren. Unseren Untersuchungen zufolge können kleine Unternehmen ihre Sicherheitskosten durch die Zusammenarbeit mit MSSPs um 20 bis 30 Prozent senken.
- Verfügbarkeit:MSSPs stellen sicher, dass ihre SOCs rund um die Uhr verfügbar sind, um deine Netzwerke, Anwendungen und Geräte auf Schwachstellen und potentielle Cyberangriffe zu überwachen.
Herausforderungen durch standardisierte Lösungen und unklare SLAs
Mit MSSPs lassen sich Zeit und Kosten sparen, doch sie bringen unter Umständen auch einige Schwierigkeiten mit sich. Vor allem die folgenden beiden Probleme können auftreten:
- Eingeschränktes Verständnis vom bzw. Wissen über das Geschäft des Kunden:Trotz ihres Know-hows im Sicherheitsbereich gelingt es nicht immer allen MSSPs, die Geschäftsanforderungen ihrer Kunden zu verstehen. Einige versuchen, eine Universalmethode einzusetzen, was dazu führen kann, dass sich manche ihrer Sicherheitstools nicht gut in unternehmenseigene Backend-Systeme integrieren lassen.
- Unklare Verteilung der Verantwortlichkeiten:Ein fest umrissenes Service Level Agreement (SLA) mit klaren Rollen und Aufgabenverteilungen für beide Seiten sorgt dafür, dass Schuldzuweisungen vermieden werden. Unklare oder mehrdeutige Regeln können die Behebung von Risiken verzögern und den Ruf von Unternehmen schädigen. Nicht selten scheitert die Zusammenarbeit mit einem Managed Security Provider an schlecht kommunizierten Anforderungen.
Expertentipp
Unternehmensinhaber*innen haben die Hauptverantwortung für die Sicherheit ihres Unternehmens. Daher dürfen sie grundlegende Sicherheitsmaßnahmen auch dann nicht außer Acht lassen, wenn ein MSSP beauftragt wurde. Es ist wichtig, die Angestellten weiterhin in ihrem Sicherheitsbewusstsein zu schulen und Best Practices zur Datensicherheit umzusetzen.
Wann ist der richtige Zeitpunkt für die Zusammenarbeit mit MSSPs?
Braucht ein kleines Start-up mit zwei Angestellten und ohne eigenes Büro schon einen MSSP?
Ja! Selbst die kleinsten Unternehmen müssen sich voll und ganz auf die Sicherheit konzentrieren. Ein großer Teil der Unternehmen sieht in MSSPs mittlerweile einen großen Vorteil (Quelle):
Unternehmen mit weniger als fünf Geräten können handelsübliche IT-Sicherheitssoftware nutzen. Doch sobald mehr Mitarbeiter*innen eingestellt werden und das Unternehmen wächst, steigt auch die Zahl der Endpunkte im IT-Netzwerk. Damit haben auch Hacker mehr mögliche Angriffspunkte und potentiell ausnutzbare Schwachstellen.
Wenn vorinstallierte Antivirensoftware und Firewalls nicht mehr ausreichen, braucht es einen MSSP. Jedes Unternehmen benötigt Passwortmanager, Netzwerküberwachungssoftware, Tools zur Bedrohungserkennung und mehr, doch oft fehlt die Zeit und das Fachwissen, um all dies zu konfigurieren und zu managen. Auch für interne Vollzeit-Sicherheitsexpert*innen sind in kleinen Unternehmen meist nicht die Ressourcen vorhanden.
Genau das sind Hinweise darauf, das MSSPs der richtige Weg sind. Weitere Zeichen sind:
Es sind veraltete, inkompatible Cybersicherheitslösungen im Einsatz: 69 % der IT-Sicherheitsexperten glauben, dass die bestehenden Sicherheitstools ihrer Unternehmen unzureichend und veraltet sind. Veraltete Software kann bei der Integration in andere Systeme Kompatibilitätsprobleme verursachen und ein Sicherheitsrisiko darstellen, schlimmstenfalls kann sie zum Verlust wichtiger Dateien führen. Managed Service Provider integrieren alle wichtigen Sicherheitslösungen, verzichten auf überflüssige Tools und schaffen eine organisierte Struktur für die effektive Bedrohungserkennung und -bekämpfung.
Es wurde noch nie in Sicherheitslösungen investiert: Vielen kleinen Unternehmen fehlt schlicht das nötige Wissen über Cybersicherheit. Angesichts der Tatsache, dass 43 Prozent aller Cyberangriffe auf kleine Unternehmen abzielen und 60 Prozent davon infolgedessen den Betrieb aufgeben müssen, ist dies ein Nichtwissen, das KMU sich schlicht nicht leisten können. Deshalb ist es so wichtig, mit Sicherheitsexpert*innen zusammenzuarbeiten, um die eigene Sicherheitslage zu verbessern.
Sicherheitssysteme geben Warnmeldungen aus, doch niemand weiß, was zu tun ist: 72 Prozent der IT-Sicherheitsfachkräfte geben zu, dass ihre Teams unter einer Art Warnungsmüdigkeit leiden: Sie erhalten zahllose Warnmeldungen, unter denen viele Fehlalarme sind. Daher neigen kleinere IT-Teams mit ohnehin schon geringen Ressourcen dazu, Warnmeldungen zu ignorieren. Die Zusammenarbeit mit einem MSSP macht es möglich, genau auf diese Hinweise einzugehen und sicherzustellen, dass keine wirklich kritischen Warnungen unabsichtlich ignoriert werden.
Andere kleine Unternehmen wurden Opfer von Cyberangriffen: Wenn verwandte Unternehmen und Wettbewerber bereits DDoS-Angriffen oder anderen Cyberangriffen zum Opfer gefallen sind, sollte man dies als Warnzeichen betrachten und nicht tatenlos abwarten, bis auch im eigenen Unternehmen etwas passiert. Die Zusammenarbeit mit einem MSSP muss in Angriff genommen werden, bevor es zu spät ist, sich zu schützen.
Die eigenen Investoren und Geschäftspartner priorisieren die IT-Sicherheit: Manchmal drängen Investoren und Geschäftspartner auf die Einführung strengerer IT-Sicherheitsmaßnahmen. Es lohnt sich, dies ernst zu nehmen und die Dienste eines Managed Service Provider in Anspruch zu nehmen, wenn das eigene Team nicht über umfassende Erfahrung im Bereich Cybersicherheit verfügt.
Wie findet man MSSPs für kleine Unternehmen?
Bei der Wahl eines Managed Service Provider gibt es einiges zu beachten. Folgende Punkte sind besonders wichtig:
Qualifikation und Fachwissen von MSSPs überprüfen: Unterschiedliche MSSPs bieten unterschiedliche Leistungen an. Manche bieten nur die Sicherheitsüberwachung, andere auch Sicherheitsgerätemanagement, Schwachstellenmanagement oder Bedrohungserkennung – oder alles zusammen. Vor der Beauftragung eines Managed Service Providers sollte man genau wissen, worin man von ihm Unterstützung benötigt.
Bei kleinen Unternehmen geht es meist um Sicherheitsüberwachung, Konfiguration und Verwaltung von Sicherheitssystemen, Warnmeldungen, Berichterstellung/Dashboards und Risikobewertungen. Außerdem gilt es sicherzustellen, dass der MSSP Erfahrung im Betrieb von Remote-SOCs und im Umgang mit Cloud-Technologien hat.
Anbieter wählen, die sich durch schriftlich festgelegte SLAs verpflichten: Durch das Unterzeichnen formaler SLAs mit dem MSSP wird sichergestellt, dass man sich auf Servicestandards für Berichterstellung, Warnmeldungen und das Management von Sicherheitsvorfällen einigt. Außerdem helfen die SLAs beim Festlegen von Verfügbarkeitszeiten, Richtlinien für die Datenspeicherung und Bedingungen für die Kündigung des Vertrags.
Nach benutzerdefinierten Services und relevanter Branchenerfahrung fragen: Es empfiehlt sich, nach MSSPs zu suchen, die bereits mit Kunden in derselben Branche zusammengearbeitet haben und sich somit mit branchenspezifischen Vorschriften und Compliance-Anforderungen auskennen.
Außerdem sollten sie ihre Angebote auf die spezifischen Anforderungen des jeweiligen Unternehmens anpassen. So vermeidet man es, für Dienstleistungen zu zahlen, die man gar nicht benötigt. Sinnvoll sind angepasste Pakete, die genau das bieten, was für Berichterstellung, Warnungen, Protokollmanagement oder Risikobewertung benötigt wird.
Beispiele von MSSPs für kleine Unternehmen
An dieser Stelle möchten wir einen Blick auf ein paar der führenden MSSPs aus Gartners Magic Quadrant werfen, die Security-as-a-Service anbieten. Diese Liste ist nicht vollständig und wir empfehlen, vor der Entscheidung für einen MSSP nach weiteren Optionen zu suchen.
- IBM:Die Managed Security Services von IBM bieten Software und Fachwissen, damit Kund*innen ihre Informationsbestände besser sichern können. Zu den angebotenen Dienstleistungen gehören Firewall-Management, Protokollmanagement, Intrusion Detection, einheitliches Bedrohungsmanagement, Endpunkt-Sicherheitsdienste und dedizierte Security Intelligence-Analysen.
- Secureworks:Secureworks bietet Firewall-Management, Intrusion Detection and Prevention, Malware-Schutz, Endpunkt-Schutz, Schwachstellenverwaltung sowie Überwachungs- und Berichterstellungsservices.
- Symantec:Die Managed Security Services von Symantec bieten eine kontinuierliche Sicherheitsüberwachung und Sicherheitsanalyseoptionen in Echtzeit, außerdem Protokollverwaltung, Berichterstellung und benutzerdefinierte Anpassungen.
- Trustwave:Trustwave bietet Services für Managed Threat Detection, Technologiemanagement und Bedrohungsverfolgung. Das Tool unterstützt KMU beim Einhalten der PCI-DSS-Richtlinien.
- Verizon:Die Managed Security Services von Verizon sind anpassbar und unterstützen eine kontinuierliche Sicherheitsüberwachung, Vorfallmanagement, Protokollverwaltung, Sicherheitsgerätemanagement und Analysen.
MSP versus MSSP: Die Hauptunterschiede
Managed Service Provider (MSP) sind Drittanbieter, die IT-Infrastruktur und -Betrieb von anderen Unternehmen verwalten. Sie bieten Netzwerk-, Anwendungs- und E-Management-Services. Einige MSPs bieten außerdem Leistungen zu Sicherheitsüberwachung und -management, allerdings nur als zusätzliches Feature – im Gegensatz zu MSSPs, die sich ausschließlich auf Sicherheitsdienstleistungen konzentrieren. Die Wahl eines MSP für die Verwaltung des Sicherheitsbetriebs ist sinnvoll, wenn er über das nötige Know-how verfügt, die Sicherheitsanforderungen weniger komplex sind und die Zusammenarbeit mit einem einzigen MSP für IT- und Sicherheitsanforderungen unkomplizierter und kostengünstiger erscheint.
Bei der Suche nach einem MSP für IT-Verwaltung und Sicherheitsdienstleistungen kann unsere Liste von Managed Service Providers und entsprechender Software hilfreich sein.
Nächste Schritte
Vor der Beauftragung eines MSSPs sollte eine Sicherheitsbewertung für das Unternehmen durchgeführt werden, um Schwachstellen und mögliche Bedrohungen zu identifizieren. Diese Prüfung des Sicherheitsstatus kann durch interne Angestellte oder Drittanbieter erfolgen. Eine solche Sicherheitsprüfung hilft auch, klar festzulegen, welche Dienstleistungen genau von einem Managed Service Provider benötigt werden.
Unser Softwareverzeichnis bietet einen Überblick über Lösungen für die unterschiedlichsten Anforderungen.
