MSP-Strategien

Cyber-Resilienz als wirkungsvollste Waffe gegen Cyber-Angriffe

28.12.2021

Als Chief Information Security Officer (CISO) leitet Ryan Weeks die Informationssicherheit bei Datto und unterstützt dessen Managed Services Provider Partner sowie die von ihnen betreuten kleinen und mittelständischen Unternehmen auf ihrem Weg zu stärkerer Cyber-Resilienz. Weeks ist Mitglied der branchenübergreifenden Ransomware Task Force des Institute for Security and Technology. Dort vertritt er die MSP-Community und konzentriert sich auf die Interessen und Bedürfnisse von KMU im Bereich der Cybersicherheit. Für sein Engagement zum Schutz der MSPs weltweit wurde Ryan Weeks von den Cyber Defense Awards als einer der Top 100 CISOs 2020 ausgezeichnet.

Cyber-Resilienz ist kein ganz neues Konzept mehr und die Bestandteile und Ebenen, die es erfordert, sind bei den meisten MSPs vorhanden. Aber es kommt auf die richtige Kombination an, erklärt Datto-Manager Ryan Weeks.
Nach Ansicht von Ryan Weeks, CISO bei Datto, sind Tools und Technologien für MSPs wichtig, reichen alleine aber nicht aus, um für sich und die Kunden Cyber-Resilienz aufzubauen. Mindestens ebenso wichtig sind auch die Ebenen "Personen" und "Prozesse".
Nach Ansicht von Ryan Weeks, CISO bei Datto, sind Tools und Technologien für MSPs wichtig, reichen alleine aber nicht aus, um für sich und die Kunden Cyber-Resilienz aufzubauen. Mindestens ebenso wichtig sind auch die Ebenen "Personen" und "Prozesse".
Foto: Datto

Lösegeldforderungen in zuvor undenkbaren Höhen, verheerende Cyber-Angriffe und zunehmende Hilfslosigkeit der Opfer: Die Gefahrenlage für Unternehmen aller Größenordnungen spitzt sich immer weiter zu. Hinzu kommt, dass Managed Service Provider (MSPs) als IT-Beschützer der Unternehmen und die Hersteller von Security-Lösungen selbst längst zum Ziel der Angreifer geworden sind: Im globalen Ransomware Report von Datto geben 95 Prozent der MSPs an, dass sie selbst zunehmend attackiert werden. Unter den Cyber-Kriminellen herrscht also eine regelrechte Goldgräberstimmung, die durch politisch motivierte Angriffskampagnen noch weiter befeuert wird.

Diese Lage erfordert ein grundsätzliches Umdenken der IT-Experten, um ihre Unternehmen und die ihrer Kunden bestmöglich zu verteidigen. MSPs müssen Strategien entwickeln, die weit über den reinen Kauf und den Einsatz von Security-Lösungen hinausgehen. Es geht darum, echte Cyber-Resilienz aufbauen, also die Widerstandskraft zu stärken und aufrechtzuerhalten. Doch was verbirgt sich hinter dem Konzept und wie können MSPs Cyber-Resilienz erreichen?

"Assume Breach": Vom Schlimmsten ausgehen

Während Security-Ansätze hauptsächlich das Ziel verfolgen, das Eindringen der Cyber-Angreifer mit vor allem technischen Mitteln zu verhindern, greift das Konzept der Cyber-Resilienz weiter: Es schließt die Strategien und Taktiken zur Prävention und Abwehr mit ein, geht aber davon aus, dass die Angreifer früher oder später erfolgreich sein werden ("Assume Breach").

Klasssische Ansätze sind gut darin. Risiken zu identifizieren und für Schutz zu sorgen. Ab dem Zeitpunkt eines Sicherheitsvorfalls (dem roten Punkt mit "Boom" in der Grafik) haben sie jedoch Schwächen bei der Behandlung des Problems.
Klasssische Ansätze sind gut darin. Risiken zu identifizieren und für Schutz zu sorgen. Ab dem Zeitpunkt eines Sicherheitsvorfalls (dem roten Punkt mit "Boom" in der Grafik) haben sie jedoch Schwächen bei der Behandlung des Problems.
Foto: Datto

Cyber-Resilienz beschäftigt sich also auch mit den Fragen, wie sich Unternehmen auf einen Angriff vorbereiten können, was während und nach einer erfolgreichen Attacke ("Boom" in der Grafik) passieren muss, um den Schaden möglichst gering zu halten und wie schnell man sich von ihr erholen kann.

Es ist ein Ansatz, der effektive Cyber-Security, Business Continuity und Incident Response kombiniert und der Kompetenzen in fünf Bereichen erfordert: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung (im Englischen: identify, protect, detect, response and recover). Diese Kompetenzen kann man nicht kaufen, sie müssen aufgebaut werden und sie setzen sich zusammen aus Personen, Prozessen und Technologien.

Grundlagen schaffen und Lücken schließen

Cyber-Resilienz ist kein neues Konzept und die Bestandteile und Ebenen, die es erfordert, sind bei den meisten MSPs vorhanden. Aber es ist die Kombination, auf die es ankommt. Zum Beispiel neigen zahlreiche IT-Experten dazu, sich bei der Lösung von Problemen stark auf die richtigen Tools und Technologien zu fokussieren. Das ist auch grundsätzlich nicht falsch, es ist nur unzureichend, um Cyber-Resilienz aufzubauen. Daher sind die Ebenen "Personen" und "Prozesse" erfahrungsgemäß das, wo viele IT-Dienstleister die größten Lücken aufweisen - das Ergebnis ist dann die berühmte "Shelfware".

Ebenfalls riskant ist es, wenn die Ebene Prozesse fehlt oder nur mangelhafte Prozesse bestehen, da dies ein falsches Gefühl der Sicherheit vermitteln kann.

Diese Tabelle zeigt, welche negativen Auswirkungen die Vernachlässigung einer oder mehrerer Ebenen bei MSPs auf die Kompetenzen hat.
Diese Tabelle zeigt, welche negativen Auswirkungen die Vernachlässigung einer oder mehrerer Ebenen bei MSPs auf die Kompetenzen hat.
Foto: Datto

Mit der Bestandsaufnahme auf den Ebenen Personen, Prozesse und Technologien sind die MSPs schon einen großen Schritt weiter und können die ersten Lücken schließen. Auf der Ebene "Personen" gelingt dies zum Beispiel mit der Einstellung von Technikern mit ausgewiesener Security-Expertise oder mit der Zusammenarbeit mit einem spezialisierten Managed Security Service Provider (MSSP). Auf der Prozess-Ebene hilft eine Analyse, um herauszufinden, welche Prozesse wiederholbar und messbar sind und welche nicht. Und auf der Technologie-Ebene sollten die eingesetzten Tools daraufhin überprüft werden, ob sie richtig und umfassend eingesetzt werden, sodass das Beste aus ihnen rausgeholt werden kann, bevor in neue Technologie investiert wird.

MSPs sollten aber nicht auf der Technologie-Ebene mit ihrer Defizitbeurteilung starten, da Prozesse und Personen in der Regel die Ebenen mit dem stärksten Handlungsbedarf sind.

Den richtigen Weg finden

Doch wie geht es von dort aus weiter, um die Kompetenzen auf- und auszubauen? Die Antwort auf diese Frage sind Frameworks, die die IT-Experten auf ihrem Weg zur Cyber-Resilienz begleiten und dabei helfen, weitere Lücken zu schließen. Und je mehr Lücken geschlossen werden können, desto stärker ist die Cyber-Resilienz.

Von diesen Frameworks gibt es eine ganze Reihe, die hier aufgeführte Kompetenzen identify, protect, detect, response and recover entstammen zum Beispiel dem NIST Cybersecurity Framework. Ein anderer, weit verbreiteter Ansatz ist CIS Controls. Wichtig zu betonen ist, dass alle Frameworks Vor- und Nachteile haben und es daher kein eindeutig "bestes" Framework gibt. Ein lohnender Ansatz zum Aufbau und zur Aufrechterhaltung von Cyber-Resilienz ist daher die Kombination von Frameworks. Wie dies im Detail ausgestaltet werden kann, erklärt das Video "Journey to Cyber Resilience".

Cyber-Resilienz aufzubauen und aufrechtzuerhalten ist ein langer und fordernder Weg. Angesichts der sich immer weiterentwickelnden Cyber-Gefahren ist er für MSPs allerdings alternativlos, um das eigene Unternehmen und die KMU-Kunden umfassend zu schützen. Und er lohnt sich, da die damit verbundenen Kompetenzen und Services neben der Kundenbindung Wettbewerbsvorteile und neue Umsatzmöglichkeiten schaffen.

Entscheidend für die MSPs ist es, Cyber-Resilienz zur Priorität zu machen und mit dem Aufbau zu starten. Die eigene Defizitanalyse und die Beschäftigung mit den gängigen Frameworks sind dabei wichtige erste Schritte. Ein kostenloses Toolkit zur Durchführung einer Security-Analyse inklusive Fallbeispiel bietet Dato hier zum Download an.

Mehr zum Thema Cyber-Resilienz:

Coronakrise lässt Kunden Cyber-Resilienz entdecken

Cyber-Resilienz - Chancen für den Channel

Zur Startseite