Vor ein paar Jahren wäre es völlig undenkbar gewesen, die Kontrolle über die wertvollsten Daten seines Unternehmens - beziehungsweise über deren Schutz - in fremde Hände zu legen. Das hat sich inzwischen geändert: Für viele Unternehmen erscheint es weniger risikoreich, die IT-Security in die Hände von Dritten zu legen, als sich selbst mit der täglich wachsenden Bedrohungslage befassen zu müssen.
MSSP: Goodbye, Security-Verantwortung?
Wenn man sich im Channel über die Gründe für die Kontrollabgabe erkundigt, heißt es, das hänge stark vom vorhandenen Know-How ab. Wieso ein Risiko eingehen, wenn es an Expertise mangelt? Kleine und mittlere Unternehmen haben unter Umständen auch gar nicht das Budget, um ein angemessenes IT-Sicherheitslevel gewährleisten zu können. Für Unternehmen, die Datendiebstahl fürchten und sich mit einer steigenden Zahl von mobilen Devices im Netzwerk konfrontiert sehen, wird eine Partnerschaft mit einem Managed Security Services Provider (MSSP) deshalb immer mehr zum Muss.
Ebba Blitz, CEO bei Alertsec, sieht darin nur Vorteile für die Unternehmen: "MSSPs sind IT-Security-Spezialisten, die mehrere Kunden bedienen und die Kapazitäten haben, um schnell auf größere Vorfälle reagieren zu können. Wenn ein Unternehmen groß genug ist, um seine eigene IT-Abteilung mit den gleichen Fähigkeiten aufzubauen, wird es das tun. Wenn Sie ein kleines oder mittleres Unternehmen haben, ist ein Managed Security Services Provider vielleicht die bessere Wahl."
Eine Partnerschaft mit einem MSSP sollten Unternehmen allerdings nicht mit dem Hintergedanken eingehen, sämtliche Verantwortung für die IT-Sicherheit über Bord zu werfen, wie Pat Patterson, Vice President bei Optiv, deutlich macht: "Die Tage, in denen Security-Entscheider geglaubt haben, sie könnten ihre Monitoring- und Incident-Response-Pflichten an Dritte abschieben und trotzdem erfolgreich sein, sind hoffentlich vorbei. Eine Partnerschaft mit einem Managed Security Services Provider ist kein Mittel gegen fehlerhafte Prozesse in der IT Sicherheit. Im Gegenteil: ein MSSP kann schlecht definierte Prozesse oder deren Nicht-Existenz erst ins Rampenlicht rücken."
Der Managed-Security-Services-Boom
Laut einer aktuellen Studie von Trustwave steigt die Akzeptanz der Managed Security Services Provider weiter. Das zweite Jahr in Folge sank die Zahl der Studienteilnehmer, deren IT-Sicherheit komplett Inhouse gemanagt wird (67 Prozent). Immerhin 26 Prozent der Befragten setzen auf einen Mix aus Inhouse-Teams und MSSP, während fünf Prozent der Teilnehmer ihre IT Security vollständig an einen Managed Security Services Provider ausgelagert hat. Auch die Zahl der Unternehmen, die eine MSSP-Partnerschaft plant, steigt. Gegenüber dem Vorjahr (39 Prozent) hegen nun 43 Prozent solche Pläne.
Natürlich stellen sich viele Entscheider die Frage, wie man überhaupt zwischen Inhouse-Security und Managed Security Services Providern abwägt. Laut Yitzhak Vager, Vice President bei Verint Systems, hat diese Entscheidung mehr mit Strategie als mit Taktik zu tun: "Das Management muss entscheiden, welcher Weg der Beste ist: In eigenes Personal und Tools investieren und die Kontrolle über die IT-Sicherheit in den eigenen Händen zu behalten oder ungefähr denselben Betrag in ein externes Unternehmen zu stecken, das sich ausschließlich auf die IT Security konzentriert, aber nicht denselben Business-Fokus aufweist. Wenn die Entscheidung zugunsten des MSSP ausfällt, ist es wichtig, dass der Provider die Business-Risiken, die mit bestimmten Gütern verbunden sind, versteht und entsprechende Prioritäten setzen kann."
Nicht wenige Experten sind davon überzeugt, dass Managed Security Services Provider inzwischen einen Reifegrad erreicht haben, der sie auf demselben Skill-Level wie ein Inhouse-Security-Team agieren lässt. Oder gar auf einem höheren.
Eine Sache, die man dabei laut Amir Jerbi, CTO bei Aqua Security, im Hinterkopf behalten sollte: Die Expertise von Managed Security Services Providern fokussiert sich in den meisten Fällen auf gängige, etablierte Technologien. So bleiben beispielsweise Container in der Regel in den Händen der Nutzer-Organisation."
Derek Brost, Entwicklungschef bei Bluelock sieht in der Partnerschaft mit MSSPs Vor- und Nachteile. Für viele Unternehmen sei die Nutzung von Managed Security Services zwar wesentlich kosteneffizienter, darüber hinaus sollte man aber nicht vergessen, dass weiterhin Investments im Bereich des Risikomanagements notwendig sind, so der Experte.
IT-Security-Outsourcing: Ja oder Nein?
Wirft man einen Blick in den jährlichen Security-Report von Cisco, fällt auf, dass der Anteil derjenigen Unternehmen, die keinen Aspekt ihrer IT Sicherheit ausgelagert haben, innerhalb eines Jahres von 21 Prozent (2014) auf 12 Prozent (2015) gesunken ist. 53 Prozent der Unternehmen, die Security outsourcen, geben eine gesteigerte Kosteneffizienz als Grund dafür an. 49 Prozent setzen auf ausgelagerte Security Services, um eine unparteiische Sicht auf die Dinge zu gewinnen.
Natürlich hätte jedes Unternehmen gerne die Kontrolle über sein eigenes Security-Programm in den Händen. Aber die meisten Firmen können es sich schlicht nicht leisten, alle Elemente, die beispielsweise ein Security Operations Center (SOC) bietet, selbst zu betreiben, wie Asher DeMetz, Sicherheitsberater bei Sungard Availability Services, weiß: "Für Unternehmen, deren Größe und Risikolevel diese Services erforderlich machen ist es unerlässlich rund um die Uhr Monitoring zu betreiben. Wird eine Attacke nicht rechtzeitig erkannt, können die Folgen verheerend sein."
Carl Herberger, Vice President bei Radware, sieht die sich im Wandel befindliche Bedrohungslage und den Fakt, dass KMUs immer stärker in den Fokus von Cyberkriminellen rücken, als wesentliche Herausforderung für die IT-Sicherheit an: "Ein Ecommerce-Unternehmen hat vielleicht nicht die Möglichkeit, in entsprechend fähige Fachkräfte zu investieren, um Angreifer abzuhalten. Hier helfen Managed Security Services - und das Unternehmen kann sich auf sein Kerngeschäft konzentrieren."
Kennet Westby, President und Mitbegründer von Coalfire rät Unternehmen, bei der Entscheidung über das Outsourcing der IT-Sicherheit insbesondere drei Kriterien zu beachten:
Kompetenz / Kosten: Sie sollten herausfinden, ob Security Services von extern möglicherweise mit höherer Kompetenz und unter geringerem Kostenaufwand realisiert werden können, als es intern der Fall ist.
Kompatibilität: Achten Sie darauf, dass der Managed Security Services Provider Ihrer Wahl mit Ihrer IT sowie Ihren Management- und Security-Teams zusammenarbeitet - und nicht bloß unsichtbarer Zulieferer von IT-Sicherheits-Services ist.
Vertrauen: Dieses Element ist für MSSPs ganz besonders wichtig. Sie sollten sicherstellen, dass Ihr Anbieter in Sachen Security Controls einen Standard an den Tag legt, der das Nötige übersteigt. Schließlich müssen Sie den Mitarbeitern des Managed Security Services Providers im Zweifel sogar mehr vertrauen als Ihren eigenen Leuten.
Security-Analyst Richard Henderson beschreibt das größte Hindernis auf dem Weg zur Auslagerung der IT Security: "Es braucht schon eine Menge Vertrauen und Überzeugungsarbeit, um auf das MSSP-Modell zu wechseln. Aber wie der Boom in diesem Bereich zeigt: Diejenigen Unternehmen, die eine Partnerschaft mit Managed Security Services Providern eingehen, sind begeistert. Jede IT-Sicherheitsabteilung innerhalb eines kleinen oder mittleren Unternehmens sollte sich zumindest über die Möglichkeiten informieren, die ihr mit der Integration von MSSP-Angeboten offenstehen."
Darüber hinaus, so Henderson, sei inzwischen sehr deutlich geworden, dass Fachkräfte im Bereich IT-Sicherheit oft schwer zu finden, schwer zu halten und schwer zufrieden zu stellen sind: "Viele Jobs im Security-Umfeld sind äußerst undankbar. Wenn einmal etwas schiefgeht, kann der Druck, der auf einzelnen Mitarbeitern lastet, immens werden. Wenn das Unternehmen dann noch in einer ‚uncoolen‘ Stadt zuhause ist, kann es wirklich schwer werden, geeignetes IT-Security-Personal zu finden."
IT-Sicherheit komplett oder in Teilen auslagern?
Stellt sich die Frage: In welchem Umfang sollte man seine IT-Sicherheit outsourcen? Der aktuelle Security Report von Cisco will herausgefunden haben, dass die meisten Unternehmen, die auf eine Partnerschaft mit einem MSSP setzen, mindestens 20 Prozent ihrer sicherheitsrelevanten Aufgaben an Dritte ausgelagert haben. Und: Diese Unternehmen planen für die Zukunft die Nutzung von Managed Security Services zu intensivieren.
Rod Murchison, Vice President Product Management bei Crowdstrike weiß warum: "Einige MSSPs können mit den Lösungen anderer Anbieter per API kommunizieren und machen so maßgeschneiderte Lösungen möglich, die echten Mehrwert bei sinkender Komplexität für die User verwirklichen. Ein solches Level an Integration kann die Kunden von Managed Security Service Providern mit einer perfekt auf ihr Netzwerk zugeschnittenen Kombination aus Schutzmaßnahmen ausstatten."
Doch Managed Security Services Provider können Unternehmen auch dabei unterstützen, eigene Ressourcen aufzubauen - vorausgesetzt, die finanziellen Ressourcen sind vorhanden. Wenn nicht, können MSSPs auch punktuellen Support leisten, wie Scottie Cole von AppRiver weiß: "Ein MSSP verfügt in der Regel über einen größeren Pool von IT-Sicherheitsexperten, die er - je nach den Bedürfnissen und Notwendigkeiten der Kunden und Branchen - zur Problemlösung entsenden kann."
Boaz Shunami, CEO bei Komodo Security Consulting sieht MSSPs vor allem in den Bereichen Penetration Testing, Threat Intelligence, Incident Response und Forensik im Vorteil. Der Einsatz interner Mitarbeiter sei weit weniger effektiv, weise steilere Lernkurven auf und würde generell mehr Zeit in Anspruch nehmen.
Bei der Entscheidung darüber, ob Sie ihre IT-Sicherheit outsourcen sollen oder nicht, sollten Sie laut Javvad Malik, Security-Berater bei AlienVault nicht nur auf technische Expertise Wert legen: "Bei der Suche nach dem richtigen MSSP spielt auch dessen Unternehmenskultur - beziehungsweise deren Kompatibilität zum eigenen Leitbild - eine große Rolle. In jedem Fall sollten Sie jedoch eine gut informierte Entscheidung treffen - auf Basis Ihres Budgets, der eigenen Expertise und den gewünschten Ergebnissen." (fm)
Dieser Artikel basiert in Teilen auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.