IT-Security Risk Management war lange Zeit mit erheblichem personellem und zeitlichem Aufwand verbunden. Daher fand es vor allem in Großunternehmen statt. Außerdem war es in der Regel eine Momentaufnahme: Zur Analyse der Risiken wurden oft Penetrationstests oder die Prüfung durch Experten herangezogen. Inzwischen stehen jedoch zahlreiche Dienste und Programme zur Verfügung, die einen Großteil der Aufgaben automatisieren und vor allem eine kontinuierliche Bewertung der Security-Infrastruktur erlauben.
Sie werden unter den Begriffen "Security Posture Management", "Cloud Security Posture Management" oder auch "Cyber Risk Management" angeboten. Einige der Anbieter setzen ganz auf den Direktvertrieb. Andere haben auch einen indirekten Vertrieb und versprechen dem Channel, dass sich auf Grundlage ihrer Angebote zusätzliche Beratungsleistungen erbringen und die Kundenbindung erhöhen lässt. Außerdem sei der Einsatz ein wichtiger Schritt auf dem Weg, sich zum "Trusted Advisor" zu entwickeln, der die Security-Strategie seiner Kunden langfristig mitgestaltet. Auch dabei, ausgewählte Security-Lösungen bei Kunden intern zu verargumentieren, sollen die Tools helfen: Schließlich zeigen sie detailliert auf, welche Risiken bestehen und wie groß diese sind, und sie geben teilweise auch Empfehlungen, was sich unternehmen lässt.
Im Idealfall können Unternehmen so endlich einmal nachweisen, was Investitionen in IT-Security gebracht haben. Hilfreich ist das besonders beim derzeit hochgehandelten Security-Konzept SASE (Security Access Service Edge). Denn schließlich geht es da nicht konkret um einzelne Produkte, nach deren Kauf dann "alles gut" wird, sondern um eine neue, flexiblere, aber auch komplexere IT-Security-Architektur, die den Veränderungen der Pandemiezeit in den Unternehmen gerecht wird und die zusätzlichen Gefahren durch Home-Office und umfangreichere Cloud-Nutzung berücksichtigt. Soweit die Theorie und die Marketing-Präsentationen der Anbieter. Der Frage, wie es in der Praxis aussieht, ging ChannelPartner bei einem digitalen Channel-Workshop Ende 2021 zusammen mit Anbietern und Vertretern von Systemhäusern und IT-Dienstleistern nach.
Laut der im Oktober 2021 von IDC vorgestellten Studie "Cybersecurity in Deutschland 2021" wiegen sich viele Kunden in trügerischer Sicherheit: Zwei Drittel der Befragten sind sich sicher, dass sie in Zukunft aus eigener Kraft und ohne Dienstleister oder Experten sämtliche Bedrohungen für ihre IT-Sicherheitadressieren können. Dass dies eine mutige Aussage ist, zeigt schon ein Blick auf die gleichzeitig in Unternehmen eingesetzten Security-Lösungen: 59 Prozent der Befragten setzen elf oder mehr Lösungen gleichzeitig ein. In großen Konzernen sind sogar mehr als 20 Lösungen an der Tagesordnung. Die Zahl der Anbieter von Cybersecurity weltweit wird auf mehr als 3.500 geschätzt. Komplexität ist vorprogrammiert.
Als Folge dieser Komplexität weichen laut IDC Best-of-Breed-Lösungen zunehmend Plattformen, Ökosystemen und Managed Security Services (MSS). Andere Marktbeobachter untermauern diese Sichtweise. In der Studie "Digital Trust Insights 2022" von PwC heißt es etwa: "Cyberrisiken sind auch Unternehmensrisiken. Idealerweise sollten Unternehmen die Sicherheitslage immer ganzheitlich betrachten. Die reine Risikobewertung als Momentaufnahme hat bei der heutigen Bedrohungslage ausgedient. An ihre Stelle tritt ein Risiko-Reporting in Echtzeit."
Ratloser Mittelstand
"Wir stellen auch fest, dass viele Mittelständler etwas ratlos sind. Die haben zwar eine Firewall und Anti-Virus, sehen aber jetzt, dass sich die Bedrohungslage verschärft hat, und fühlen sich etwas allein gelassen", fasst Markus Stinner, Geschäftsführer von Microcat, seine Erfahrungen zusammen. "Es gibt durchaus sehr gute Lösungen, die für kleinere Kunden geeignet sind, die früher Großkunden vorbehalten und sehr teuerwaren", sagt Stinner. Microcat bietet seinen Kunden bereits sowohl interne als auch externe Scans an. "Man kann aber immer optimieren", sagt Stinner in Hinblick auf das Angebot von Lywand Software, einem am Channel-Partner Workshop beteiligten Unternehmen.
Stinner kann sich in dem Marktsegment eine ähnliche Entwicklung vorstellen, wie bei Security Information and Event Management (SIEM). "Als wir vor acht Jahren damit angefangen haben, waren die Investitionen horrend. Mittlerweile gibt es praktikable Lösungen, die auch Mittelständler und Kleinunternehmen einsetzen können." Microcat hat in dem Bereich auch große Kunden, sieht aber aktuell einen großen Bedarf bei SMB-Kunden.
Für Jürgen Brombacher, Head of Cloud Consulting bei Matrix Technology, ist die Debatte zu Tool-lastig: "Ich erinnere mich an eine Prüfung durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Dabei haben wir unsere ganze Security-Tool-Palette vorgestellt. Dann kam die Frage: Warum macht ihr das, welche Bedrohungen mitigiert ihr damit?" Sein Fazit daraus: Es ist wichtig, Tools systematisch und nicht zufällig einzusetzen. "Vor der Entscheidung für bestimmte Tools sollte die Bedrohungs- und Gefährdungsanalyse stehen. Dann sollten Maßnahmen abgeleitet werden, die diese Gefährdungen systematisch abwenden können. Wenn ich beispielsweise einen Schwachstellenscanner einsetze, benötige ich auch ein Verfahren, um die Ergebnisse zu interpretieren und die Schwachstellen nachvollziehbar zu beheben."
Da kann sich Stinner anschließen: "Wir haben für unsere Kunden einen 'roten Faden der Verteidigung' etabliert. Wir sehen uns zunächst die unmittelbaren Probleme an. Die meisten Angriffe erfolgen über E-Mail oder Web. Diese Gefahr sollte man zunächst eliminieren. Anschließend verfolgen wir den roten Faden weiter: Was ist mit der Firewall? Die wurde oft vor Jahren angeschafft und ist nicht mehr auf dem aktuellen Stand. Auch bei Anti-Virus sind häufig Legacy-Produkte nicht mehr effektiv." Darauf aufbauend folgten Schwachstellen-Scans, Privilegien-Management, Applikationskontrolle und SIEM. "Wenn der Kunde all dies abgearbeitet hat, ist er ein gutes Stück weiter", erklärt Stinner.
Zunehmender Druck durch Cyber-Versicherungen
Der Wunsch, Security-Maßnahmen messbarer zu machen und nicht auf gut Glück einen Zoo an Geräten aufzubauen, von denen im Ernstfall hoffentlich eines nützlich sein wird, kommt aber nicht nur aus den Unternehmen selbst. Auch externe Faktoren spielen dabei eine Rolle. "Wir erleben in den letzten eineinhalb Jahren einen unheimlichen Druck auf den Mittelstand durch Cyber-Versicherungen", berichtet zum Beispiel Karsten Kümmerlein, Head of GoToMarket bei Skaylink. Viele dieser Versicherungen haben falsch kalkuliert und verschärfen nun ihre Bedingungen. Sie fragen nun: 'Wie stellt Ihr sicher, dass …?' Im Enterprise Markt ist das kein Problem. Aber der Mittelstand erlebt das zum ersten Mal."
Damit der Versicherungsschutz nicht ausgehebelt wird, seien schnelle und pragmatische Lösungen gefragt. "Meistens muss binnen zwei bis drei Monaten etwas geliefert werden", berichtet Kümmerlein. Denn niemand könne es sich mehr leisten, auf Versicherungsschutz zu verzichten. Die von den Versicherern mitentwickelte Richtlinie VDS 10000 sei noch kein großes Thema, die Versicherungen nutzten individuelle Fragebögen. "Wir lösen das häufig mit dem Microsoft Security Compliance Tool Kit", erklärt Kümmerlein. Das sei aber nicht vollständig und müsse meist noch um kostenpflichtige Erweiterungen ergänzt werden. "Das ist teuer und können wir deshalb nicht bei jedem Kunden unterbringen"
Die Antwort "wir haben Cyber-Versicherungen und bisher ist nichts passiert", hat Sebastian Scheuring, Vorstandsmitglied der Bitbone AG, schon häufig gehört. Sein Unternehmen hat daher unter dem Stichwort "Know your Problems" eine Transparenzinitiative gestartet. "Anti-Virus und Firewall reichen nicht mehr aus. Die Komplexität steigt. Security-Experten sollten stärker für Aufklärung im Mittelstand sorgen."
Als Hilfe hält Scheuring automatisierte Tools wie das von Lywand Software für hilfreich. Denn Ratgeber wie das IT-Grundschutz-Kompendium des BSI, das 810 Seiten umfasst, seien einfach zu komplex. "Es ist wichtig, Probleme aufzuzeigen und zu priorisieren. Wenn man Beratungszeiten verkürzen kann, wird es für den Mittelstand bezahlbar", resümiert Scheuring.
Mario Hackel, Chief Information Security Officer bei Matrix Technology, sieht den Nutzen des BSI-Grundschutz-Kompendiums auch woanders. „Um Sicherheitsstandards sicherzustellen, sollte man sich eher in Richtung ISO27000 orientieren. In diesem Rahmen werden IT-Risiken innerhalb der gesamten Organisation berücksichtigt, um Datenschutz und Informationssicherheit ganzheitlich zu gewährleisten. Das BSI-Grundschutz-Kompendium ist eher ein Lexikon. Was mache ich, wenn ich ein Lexikon in die Hand nehme? Man liest es nicht von A bis Z, sondern informiert sich über ein spezielles Thema. Vergleichbar dazu kann man den BSI-Grundschutz für Best Practices zu Rate ziehen."
Sein Kollege Jürgen Brombacher ergänzt: „Man kann dort auch sehr gezielt feststellen, welche Gefährdungen für welche eingesetzten Technologien relevant sind und welche Maßnahmen dagegen aufgesetzt werden sollten. Das Grundschutzkompendium unterstützt also die wichtige konzeptionelle Vorarbeit.“
Dem stimmt aus Schweizer Sicht auch Michael Kaufmann, CEO der At Rete AG zu. Weil auch in der Schweiz der Mittelstand zu wenig für Security-Themen sensibilisiert ist, habe er mit mehreren Partnern den Leitfaden "Swiss Cyber Defense DNA" gestaltet. "In dem sind sechs Maßnahmen auf einer Seite aufgelistet, die jeder Geschäftsführer versteht. Den können auch kleine Partner nutzen, um ihre Kunden zu sprechen. Der 810 Seiten starke BSI-Leitfaden ist dagegen viel zu groß. Das kann man einem KMU nicht zumuten."
Braucht´s das wirklich?
Für Carina Motzet, Senior Account-Manager bei Esko Systems, ist gerade im Mittelstand intensives Argumentieren Alltag. Fragen wie: "Brauchen wir das wirklich und haben wir ein so großes Risiko?" kämen ständig. Denn es gelte nicht in erster Linie den Administrator oder den Security-Verantwortlichen, sondern die Geschäftsführung von der Notwendigkeit der IT-Security zu überzeugen.
Diese Erfahrung können Danny Fischer und Jörg Zimmer, Geschäftsführer der IT-Südwestfalen GmbH, die Teil der Citadelle Systems AG ist, bestätigen: "Kein einzelnes Produkt schafft es, einen Geschäftsführer zu überzeugen, dass Sicherheit ein ganzheitliches Thema ist. Der Geschäftsführer ist kein IT-Profi und fragt immer, wofür er sein Geld verwenden soll." Tools, die helfen, diese Frage zu beantworten, halten sie deshalb für den Channel durchaus für sinnvoll - sei es um den Umsatz zu erhöhen oder um Managed Services zu vermarkten.
Den Return on Investment (ROI) für IT-Security könne man durchaus ausrechnen. Allerdings komme kein Gewinn heraus, man könne allenfalls Verluste vermeiden. "Wir begleiten häufig TISAX-Prüfungen für unsere Kunden aus der Automotive-Branche und sind sehr nahe an der ISO 27000 und den folgenden Standards. Mit der Frage 'Wieso ist das so geregelt?' stellen die Prüfer schnell fest, ob das Thema IT-Security beim Geschäftsführer angekommen ist. Das ist die Kernfrage. Bei einem negativen Eindruck gehen sie wieder", erklärt Fischer. Aufgabe der Systemhäuser sei es daher vor allem, die Geschäftsführer zu überzeugen.
Die Systag GmbH agiert unter anderem als Cybersicherheits-Dienstleister für Cyberversicherungen im Bereich Incident Response und arbeitet Probleme auf, wenn ein Versicherter Opfer eines Angriffs wird. Gleiches geschieht als Partner der Cyberwehr Baden-Württemberg. "In den uns übergebenen Cybervorfällen räumen wir auf, wenn es Unternehmen getroffen hat. Es ist oft sehr schmerzlich, was wir dort sehen, weil es oft so einfach gewesen wäre, den Angriff zu verhindern", fasst Geschäftsführer Werner Theis zusammen.
"Mit unseren Versicherungskunden führen wir immer häufiger Diskussionen darüber, wie die Risikoeinschätzung einer Cyberversicherung planbar und strukturiert gemacht werden kann. Fragebögen sind nur der Anfang. Es wird bald so weit sein, dass Voraussetzungen vorgegeben werden, welche Bereiche wie cybersicher gestaltet werden müssen, bevor ein Versicherungsnehmer eine Cyberversicherung abschließen kann", prognostiziert Theis.
"Die DSGVO hat dafür gesorgt, dass der Mittelstand sich verstärkt mit dem Thema IT-Sicherheit auseinandersetzt", sagt Jonathan Feuerstein, Chief Technology Officer bei Bytewerk. "Cyber-Versicherungen und deren Anforderungen werden immer mehr zum Zugpferd für Optimierungen der IT-Sicherheit. Insbesondere dem Thema Haftung der Geschäftsführung wurde bisweilen wenig Beachtung geschenkt. Durch das Protokollieren von nicht ausreichenden IT-Sicherheitsmaßnahmen wird der Handlungsbedarf verdeutlicht."
Auch Theis sieht vor allem die Notwendigkeit, Geschäftsführer und Anteilseigner zu überzeugen, das Thema Cyber-Sicherheit als ganzheitliche Herausforderung anzunehmen. Als Service Provider für Managed Detection and Response (MDR/XDR) verfüge Systag über ein entsprechendes Tool-Set, ausgebildetes Fachpersonal und die nötige Erfahrung. "Ich kann nur dazu raten, die Zahl der Tools so weit wie möglich zu reduzieren", berichtet Theis. "Sonst verliert man den Überblick - und ein SIEM im SOC allein macht auch nicht glücklich." Er rät dazu, auf Hersteller mit einem breiten Angebot zu setzen und mit spezialisierten Dienstleistern wie Systag zu kooperieren. "Gemeinsam ist man stärker", erklärt Theis, denn gerade kleine Systemhäuser könnten nicht alle Gewerke mit den richtigen Tools, Fachleuten und Erfahrungswissen abdecken.
Organisatorische Aspekte nicht vergessen
"IT-Security muss umfassend gesehen werden. Es geht nicht nur um Tools und Techniken, sondern auch um Organisation", erinnert Dietmar Helmich, Geschäftsführer der Helmich IT-Security GmbH. Er bezweifelt daher, dass sich mit einzelnen Tools ein vollständiges Audit durchführen lässt. "Genau aus diesem Grund gehen wir nicht direkt an Endkunden, sondern setzen auf IT-Dienstleister", begründet Thomas Haak, CEO von Lywand Software, die Channel-Strategie der Österreicher. "Wir sind dabei, Reporting für TISAX aufzubereiten und auch für ISO 27001. Wir sind ein Automatisierungswerkzeug für Sie als Experten."
Viele Unternehmen winken allerdings ab, wenn es um Prozesse geht, weiß Rainer Funk, Solution Manager Information Security bei Controlware. "Sie wollen die technisch orientierte Lösung. Das ist zwar praxisnah, aber nur punktuell hilfreich, wenn es um die Lösung einer konkreten Problemstellung geht." Die Themen Security Posture oder Cloud Security Posture würden für Controlware als Systemintegrator und IT-Dienstleister extrem wichtig, weil die Pandemie die Migration der Kunden in die Cloud forciere. "Probleme im Bereich IT-Security tauchen sehr massiv auf, und wir sehen viele Anfragen unserer Kunden, die dabei sind, diese Migration umzusetzen", erklärt Funk.
"Die Pandemie hat einiges beschleunigt, beispielsweise bei den Lösungen, die für die Cloud ausgesucht werden", bestätigt Jörg Meuser, Managing Consultant Identity & Security Management bei Conet. "Oft wurden diese schnell und schmutzig nur wegen ihrer Verfügbarkeit implementiert. Wir sind nicht mehr in der Situation, eine saubere Strategieberatung aufzusetzen, die dann zu einem Umsetzungsplan führt. Bei den Kunden gibt es eine schnell etablierte Technologie, die jetzt abgesichert werden muss."
Dafür findet Carina Motzet von Esko Systems den Aspekt Security Awareness zwar sinnvoll, sieht ihn aber auch kritisch. "Solange der Faktor Mensch involviert ist, werden immer Fehler passieren - egal wie hoch die Awareness ist. Von diesem Standpunkt aus gesehen ist ein Awareness-Training eine notwendige und sinnvolle Ergänzung, ersetzt jedoch nicht ein ganzheitliches IT-Security Konzept. Ein solches Konzept muss als ständiger Prozess mit stetigen Anpassungen in einem Unternehmen implementiert werden. Dies sind bereits heute Auflagen von vielen Cyberversicherungen, und dieser Trend wird sich weiter verstärken."
Was Lywand Software beiträgt
"Wir kommen aus der klassischen Forensik, machten Security-Tests und Incident Response", schildert Thomas Haak, CEO des österreichischen Anbieters Lywand Software, den Ansatz seines im Juli 2020 gegründeten Unternehmens. "Wir haben in den letzten Jahren Großkunden beraten. Aber kleinere Unternehmen geraten zunehmend ins Fadenkreuz der Hacker: Vor kurzem war sogar ein Bäcker aus meiner Nachbarschaft Ziel einer Ransomware-Attacke."
Das Problem: Kleine Unternehmen können sich bislang kaum ein realistisches und umfassendes Bild über ihre Angriffsfläche verschaffen. "Mit den Tools, die wir bei Großkunden eingesetzt haben, hatten wir einen sehr hohen Aufwand für den Prozess der Harmonisierung, Priorisierung und Kategorisierung", blickt Haak zurück. "Die Security-Audits waren entsprechend teuer und kosteten 50.000 bis 100.000 Euro." Um das Thema zu demokratisieren und zu vereinfachen, haben die Security-Experten aus St. Pölten nach einem Jahr Entwicklung zwei Investoren ins Boot geholt und ihr Wissen in eine Security Auditing Platform gegossen.
"Unsere Plattform ist sehr einfach gehalten und mit einem komplett automatisierten Prozess und praktisch mit einem Mausklick nutzbar", erklärt Haak. "Eine Kundensicht zeigt in der Analogie eines Hauses, wo die meisten offenen Türen oder Fenster sind, durch die ein Angreifer ohne Probleme eindringen kann." Damit biete Lywand Software im Grunde ein Security- und Monitoring-Advisory-Tool für IT-Dienstleister. Für die Benutzung unserer Plattform sind keine Security-Experten nötig. Das Tool legt nach dem Prüfprozess einen "Renovierungsplan" mit möglichen Maßnahmen vor. Das können Änderungen auf einem spezifischen Port oder einer Website sein - oder auch die Anschaffung weiterer Produkte.
Angeboten werden einmalige Scans, drei Scans in einem Paket oder Subscription-Services mit einem wöchentlichen Rating, die mehr als nur einen Snapshot bieten, sondern eine langfristige Cybersecurityplanung und Beratung gewährleisten. Lywand Software arbeiten in einem Two-Tier-Modell mit Nuvias als Distributor. "Wir geben den Kunden konkrete Ratschläge, beispielsweise welches Firewall-Modell von Fortinet oder Watchguard für ihre individuellen Bedürfnisse am besten geeignet ist, und eröffnen damit Channel-Partnern gute Cross-Sell- oder Up-Sell Chancen. So können wir sowohl Business Enabler als auch Business Generator für Systemhäuser sein", fasst Haak zusammen. Partner erhalten eine kostenlose NFR-Lizenz, die auch den Scan ihres eigenen Unternehmens abdeckt. Eine Schnittstelle zur Kommunikation mit den Partnern, damit diese von ihnen präferierten Produkte einpflegen können, ist in Vorbereitung.
Das SASE-Angebot von Cato Networks
Der in der Diskussion zum Ausdruck gekommene Trend zu Plattformen und Ökosystemen spiegelt sich auch im großen und stark wachsenden Interesse am Begriff SASE. SASE-Services kombinieren eine Reihe von unterschiedlichen Netzwerksicherheitsdiensten, darunter Software-defined Networking in einem Wide Area Network (SD-WAN), sicheres Web-Gateway, ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker), SDP (Software-defined Perimeter), IPS (Intrusion Prevention System), NG-AM (NextGen Antimalware, NG-FW (Next Gen Firewall) und Schutz des DNS (Domain Name System). Cato Networks hat sich als Unternehmen früh als SASE-Spezialist aufgestellt und baut derzeit einen deutschsprachigen Channel auf.
"Jeder versteht unter SASE etwas anderes", sagt Mark Draper, EMEA Channel Director bei Cato Networks. "Unsere Lösung ist eine komplette Eigenentwicklung und orientiert sich an der SASE-Definition von Gartner als Konvergenz von Network und Security." Aus dem Hut zaubern lässt sich so eine Eigenentwicklung nicht. Draper erklärt: "Cato Networks arbeitet seit 2015 an seinem Backbone. Das umfasst inzwischen über 70 eigene PoPs (Points-of-Presence), jeweils mit Compute-Fähigkeiten. Dadurch sind unsere Cloud-Services nah an den Standorten und den mobilen Usern internationaler Unternehmen." Das macht sich nicht zuletzt in geringen Latenzzeiten bemerkbar.
Treibende Kraft für das Interesse der Firmen an SASE sind die Veränderungen der Datenströme. "Durch Covid-19 sind die Cloud Migration und die Home-Office-Nutzung sprunghaft gestiegen. Teure MPLS-Leitungen sind dagegen unausgelastet leer, während Unternehmen sichere internationale Internet-Verbindungen zu SaaS Applikation wie Microsoft 365 brauchen. "Einer unsere Einstiegspunkte bei den Kunden ist die Ablösung von Multiprotocol Label Switching, weil dies relativ teuer ist. Das ist eine große Geschäftschance für unsere Channel-Partner."
Das Lizenzmodell ist OPEX-basiert, einschließlich Leasing für die benötigten Hardware-Sockets. Das Management der Lösung sei einfach, die Verwaltung von Software- oder Hardware-Upgrades und Patches entfalle. "Im Moment managen unsere Partner für ihre Kunden Network und Security über 15.000 Standorte sowie Cloud Instanzen und mit 300.000 mobilen Usern weltweit, darunter auch in China", sagt Draper. "Wir arbeiten zu 100 Prozent mit dem Channel. Partner haben keine Upfront-Kosten. Alle Schulungen sind online und kostenfrei." Unterm Strich verspricht Cato Networks MSPs eine solide, praxiserprobte und skalierbare Plattform. Auf der können sie zusätzlich eigene Services bauen - aber sie müssen nicht mehr für jeden Kunden eine spezifische Lösung von Grund auf zusammenstellen.
Weitere ChannelPartner-Workshops:
Managed Print Services
Zero Trust
Ergänzende Lösungen zu Microsoft 365
Digitale Identitäten sicher verwalten
Coronakrise lässt Kunden Cyber-Resilienz entdecken