channelpartner.de: Vielen Kunden fehlen die notwendigen Cybersecurity-Experten. Wie können hier externe Security-Dienstleister aushelfen?
Christian Müller, Head of Cyber Security bei Skaylink: Security-Dienstleister haben den großen Vorteil, dass sie Szenarien und mögliche Lösungsansätze bereits in der Praxis gesehen und erprobt haben. Gerade wenn Kunden nicht die notwendige Personalstärke intern bereitstellen können, werden Security-Projekte oft durch die Einarbeitung in die Materie stark verzögert. Unser Ansatz ist hier auf Basis von Best Practices die effektivsten und effizientesten Lösungen für unsere Kunden zu entwickeln.
channelpartner.de: Wieso ist das Konzept der "Managed Security Services" besonders effizient?
Christian Müller, Skaylink: Managed Security Services sind auf mehrere Arten effizient. Zunächst natürlich für uns als Anbieter am Markt. Wir können mit einem hohen Grad an Standardisierung und festen Prozessen vielen Kunden zeitgleich helfen, weil es durch ein geregeltes Onboarding zum Service kaum unverhergesehene Spezialfälle gibt. Dies spiegelt sich auch gesamtwirtschaftlich wider. Cybersecurity-Experten sind am Markt schwer zu bekommen und durch die effektive Nutzung dieser Ressourcen können so insgesamt mehr Kunden bedient und damit geschützt werden. So profitieren zudem andere Kunden und Partner von den durch uns betreuten Kunden. Ein abgesicherter Geschäftspartner ist ein mögliches Einfallstor weniger.
channelpartner.de: Warum sollte ein externer Security-Dienstleister immer über ein SOC (Security Operation Center) verfügen bzw. mit einem SOC kooperieren?
Christian Müller: Die Qualität von Cybersecurity-Produkten stellt sich oft erst im Betrieb heraus. Wer hier nur implementiert, danach aber keine fundierten Erfahrungen aus der Praxis hat, übersieht möglicherweise entscheidende Details. Dazu kommt natürlich, dass der SOC-Betrieb als Service gerade im Mittelstand einen wirklichen Mehrwert für Kunden bietet. Zuletzt stellt ein eigenes oder verpartnertes SOC ein Qualitätskriterium für den eigenen Anspruch als Dienstleister dar, weil die eigene Umgebung dann mit abgesichert wird.
channelpartner.de: Wie sollten externe Security-Dienstleister die Sicherheitslage bei ihren Kunden erfassen? Sollte das kostenpflichtig geschehen oder sollte dieser Service als Investition in künftige Projekte bzw. Managed Security Service-Verträge gesehen werden?
Christian Müller: Viele Kunden setzen auf weit verbreitete Produkte wie Active Directory, Entra ID, Azure, AWS, etc. Die typischen "low hanging fruits" dafür zu ermitteln, ist in der Regel mit geringem Aufwand möglich. Bei Skaylink bieten wir Kunden immer eine auf sie zugeschnittene Erstberatung im Rahmen des Pre-Sales an, die für den Kunden kostenneutral sein kann. Wir nutzen diesen Ansatz bewusst, um klar zu zeigen, dass wir kein Interesse daran haben, einfach nur möglichst lange Projekte zu verkaufen, sondern unsere Kunden (und damit Arbeitsplätze) absichern und vor Schäden durch Angriffe bewahren wollen. Vertrauen und Augenhöhe von Anfang ist für alle Seiten am effektivsten.
channelpartner.de: Welche Rolle spielt die KI ("Künstliche Intelligenz") heute in Security-Services? Welche Rolle kommt KI hier in Zukunft zu?
Christian Müller: Das Entwicklungstempo von KI-Modellen zeigt ja ganz deutlich: Sie werden in allen IT-Bereichen eine immer größere Rolle spielen. Aktuell nutzen wir bereits Azure AI und Microsoft Copilot for Security für unsere Security Services. KI ersetzt hier klassische Ansätze (noch) nicht, sondern ergänzt sie, wo es sinnvoll ist. Sie ist ein weiteres Werkzeug, um effizienter mit der vorhandenen Zeit zum selben Ergebnis zu kommen.
channelpartner.de: Kann KI hier helfen, den Fachkräftemangel im Bereich Cybersecurity zu kompensieren?
Christian Müller: KI kann sicherlich helfen, jedoch muss man mit der richtigen Erwartungshaltung an die Sache herangehen. Eine KI-Komponente ersetzt keine Person in ihrem technischen Wissen und ihrer Kommunikationsfähigkeit vollständig. KI stellt ein Werkzeug für die weiterhin menschlichen Analysten dar. Am Ende brauche ich dadurch vielleicht weniger Personal. Trotzdem muss ein Unternehmen dieses Personal erst mal für sich gewinnen. Wir gehen daher weiter davon aus, dass sich viele Kunden in Richtung Managed Security Services konsolidieren werden. Doch auch hier ist Personal notwendig. Bei Skaylink fahren wir den Ansatz, konsequent auf die Mitarbeiterzufriedenheit zu achten und mit eigenen Ausbildungsprogrammen Nachwuchskräfte aufzubauen. Dieser Verantwortung sollten Unternehmen sich nicht verschließen, wenn sie den Fachkräftemangel monieren.
channelpartner.de: Wie macht man Kunden neue Sicherheitskonzepte wie "Zero Trust" oder SASE (Secure Access Service Edge) schmackhaft?
Christian Müller: Mittlerweile ist so gut wie allen Kunden bewusst, welche Konzepte zum Ziel führen. Das gilt vor allem für Zero Trust, was SASE nochmal erweitert. Wir verbringen daher die meiste Zeit damit, zu erklären, was das konkret für die Technik bedeutet. Quasi eine Übersetzung von der Theorie in die Praxis.
channelpartner.de: Vor welchen Herausforderungen stehen Kunden und IT-Dienstleister bei der Integration von Managed Security Services in bestehende IT-Strukturen?
Christian Müller: Ein Managed Service lebt immer von einer gewissen Standardisierung von Technik und Prozessen, um skalieren zu können. Was starr klingt, ist am Ende aber auch der Garant für eine gleichbleibende Qualität für unsere Kunden. Im Onboarding müssen die Schnittstellen zur Kundenumgebung klar definiert und implementiert werden. Das zeichnet einen guten Service aus. Gefällte Entscheidungen müssen so nachgehalten werden, dass sie so kundenspezifisch wie nötig, aber so allgemein wie möglich im Betrieb des Dienstes verankert sind.
channelpartner.de: Wie können Bedrohungen möglichst rechtzeitig erkannt werden?
Christian Müller: In einer sehr reifen IT-Umgebung gibt es natürlich viele kleine Tipps, die die Erkennung nochmal verbessern können. Oft fehlt es jedoch an den Grundlagen, weshalb wir das in den Vordergrund rücken wollen: Die Sichtbarkeit relevanter Signale muss erstmal global hergestellt werden zum Beispiel über verschiedene Produkte oder Tools. Allein mit Bordmitteln ist hier schon viel möglich, was jedoch oft noch gar nicht ausgeschöpft wird. Denn am Ende gilt: Was ich als Information gar nicht erst sehe, kann auch ich auch nicht bewerten. Damit sind wir schon beim zweiten entscheidenden Aspekt: Monitoring-Produkte sind wertlos, wenn niemand die Zeit hat, den Output zu bearbeiten oder ihn fehlinterpretiert Gerade hier setzen wir wieder mit Managed Services an, aber auch gute Schulungen im Rahmen einer Implementierung sind ein großer Gewinn. Dann muss es nicht immer die Vollverwaltung durch einen externen Partner sein.
channelpartner.de: Welche Maßnahmen sollten ergriffen werden, wenn der Kunde bereits von Cyber-Kriminellen attackiert wurde?
Christian Müller: Als Cloud Service Provider mit starkem Datacenter-Background sind wir schon seit Jahren im Bereich Compromised Recovery unterwegs. Die Maßnahmen sind so zahlreich wie komplex, folgen jedoch immer dem klaren Plan, die Ausweitung eines Angriffs zu verhindern sowie die Systeme und Geschäftsprozesse schnell wiederherzustellen. Dazu sollte das kompromittierte System isoliert werden. Danach heißt es: analysieren und verstehen: Was ist geschehen? Wie ist es geschehen? Welche Systeme sind betroffen? Welche Auswirkungen hat der Vorfall auf den Geschäftsbetrieb? Nur wenn Unternehmen einen Vorfall verstehen, dann können sie auch schnell und effektiv mit Gegenmaßnahmen und der Wiederherstellung beginnen.
Mehr zu Cybersecurity:
it-sa 2024 aus Channel-Perspektive
Skaylink eröffnet Cyber Security Center
Eigenes Data Center zu betreiben gereicht zum Vorteil
NIS2-Richtlinie und der Remote-Zugriff
Eigene Belegschaft immer häufiger ein Cyberrisiko