Anwender haben signalisiert, im kommenden Jahr erheblich in den Ausbau ihrer Security-Systeme und -Strategien investieren zu wollen. IT-Dienstleister haben dadurch eine große Chance für Zusatzgeschäfte - insbesondere für Managed Security Services. Daher gilt es, jetzt den richtigen Einstieg bei den Unternehmen zu finden, sie zu diesem Thema gekonnt abzuholen und für sich zu gewinnen.
Hohe Nachfrage seitens der Kunden - hohe Einstiegshürden für IT-Dienstleister?
Doch wie geht der richtige Einstieg? Wie kann das Potenzial für Neu- und Bestandskunden gehoben werden, insbesondere dann, wenn vorher schon sehr lange eine Begleitung rund um das Thema IT-Architekturen stattgefunden hat, sich das IT-Systemhaus bisher aber noch nie als Spezialist für Security-Themen positionieren konnte?
Damit nicht genug: Schon jetzt leiden IT-Systemhäuser unter mangelndem Fachpersonal und explodierenden Personalkosten für Security-Experten.
Woher also die Kompetenz und die Power nehmen, um die komplexen Security-Themen bei den Endkunden anzupacken?
Security as a Service für IT-Dienstleister und MSPs
Genau für diese beiden Herausforderungen hat die ITQ GmbH ein ausgereiftes Service-Modell für IT-Dienstleister entwickelt. Mit der ITQ-Basisprüfung können ITQ-Partner den Grad der Informationssicherheit ihrer klein- und mittelständischen Kunden anhand eines umfangreichen Audits ermitteln.
Das Ergebnis wird in einem hochwertigen Abschlussbericht visualisiert dargestellt und die direkt enthaltenen Maßnahmenempfehlungen runden das Paket ab. Diese Empfehlungen bieten umfangreiches Up- und Cross-Selling-Potenzial für die Partner.
Mitgründer Christian Schneider kennt das Geschäft eines IT-Systemhauses und speziell die Herausforderungen beim Einstieg in das Security-Geschäft aus über 30-jähriger Erfahrung. Diese Erfahrung prägte ganz entscheidend die Gründung und Entwicklung des Unternehmens ITQ GmbH und deren Services.
"Der Start war nicht einfach", wie Christian Schneider einräumt, "wir haben die ITQ GmbH bereits 2013 gegründet und binnen der ersten 4 Jahre zwei Mal fast gegen die Wand gefahren - aber sehr viel gelernt.", beschreibt er den holprigen Beginn. "Danach haben wir die ITQ GmbH komplett neu aufgesetzt und aus den Fehlern der Anfangsjahre unsere Lehren gezogen."
Entstanden ist ein erfolgreiches Security-Service-Geschäftsmodell für IT-Systemhäuser und MSPs, das inzwischen rund 100 ITQ-Partner nutzen. Es öffnet ihnen nicht nur die Tür zu neuer Klientel, sondern stärkt auch die Kompetenz und Bindung zu bestehenden Geschäftsbeziehungen.
Haftungsfragen schultern
Der größte Nutzen für die ITQ-Partner liegt darin, dass das ITQ-Modell alle Kernhürden aus dem Weg räumt.
Dazu zählt vor allem die Frage nach der Verantwortung und Haftung: So verankert das BSI die Verantwortung für die Sicherheit eines Unternehmens bei der Geschäftsführung. Erfahrungsgemäß interessiert dies die Geschäftsführung mittelständischer Kunden allerdings kaum.
Im besten Fall wird das Thema an externe IT-Dienstleister delegiert, im schlimmsten Fall wird davon ausgegangen, mit einer Firewall sei alles erledigt und Kosten für weitere Absicherungen seien überflüssig - in der Überzeugung: "Bislang ist nichts passiert, dann wird es schon weiter gutgehen!".
Lagert der Kunde IT-Security-Themen an einen IT-Dienstleister aus, muss dieser über genau diese Risiken entscheiden. Doch nicht nur das: "Wer entscheidet, welche Risiken der IT-Dienstleister übernimmt? Und wie werden diese Risiken gemanagt?", bringt es Christian Schneider auf den Punkt und stellt klar: "Wir liefern den ITQ-Partnern mit dem kompletten Geschäftsmodell den 360-Grad-Schutz."
Individuelle Entscheidungsfreiheiten für die Kunden
Das ITQ-Modell ermöglicht es jedoch nicht nur den IT-Dienstleistern, die Security-Risiken für ihre Kunden leichter zu managen, sondern konkretisiert auch den Entscheidungsspielraum: "Mit Hilfe des Security-als- Service-Modells geben IT-Dienstleister ihrer Kundschaft eine Lösung an die Hand, selbst entscheiden zu können, welche Risiken sie eingehen möchten und welche nicht. Diese sehr individuelle Vorgehensweise ist exakt der Vorteil unserer Lösung", führt Christian Schneider weiter aus. "Wir bieten keine Standardlösung, sondern ein transparentes Verfahren, bei dem die IT-Entscheider selbst definieren, terminieren und budgetieren, welche Maßnahmen wann umgesetzt werden."
Security Audit schafft Entscheidungsgrundlagen
Wie verschafft sich ein IT-Systemhaus nun ein Bild über die Risiken, die es für ihre betreuenden Unternehmen eingeht? "Das machen wir mit unserer Lösung ITQ-Basisprüfung", erläutert Schneider, "wir erfragen und dokumentieren im ersten Schritt alle Risiken des Unternehmens im Auditverfahren. Auf dieser Grundlage kann der Kunde dann entscheiden, welche Risiken er bewusst eingehen möchte."
Im zweiten Schritt wird gemeinsam ein Plan für die Umsetzung konkreter Security-Maßnahmen definiert, beispielsweise die Erstellung eines Notfallplans. "Zu Beginn können das einige ITQ-Partner noch nicht eigenständig umsetzen", erläutert Schneider, "deshalb unterstützen wir sie dabei, auch auf organisatorischer Ebene ihren Kunden Sicherheit zu gewährleisten."
Die Grundlage dafür schafft das ITQ-Richtlinienpaket. Mit über 40 Vorgabedokumenten werden die organisatorischen Security-Anforderungen umgesetzt. Die Dokumente werden laufend den bestehenden IT-Security-Risiken angepasst.
IT-Risiko-Management im Systemhaus ist ein Führungsthema
Weshalb IT-Risiko-Management auch im Systemhaus fest in der Organisation etabliert und deshalb thematisch auf der Führungsebene verankert sein muss, verdeutlicht ITQ-Geschäftsführer Schneider: "IT-Risiko-Management startet bereits beim Aufsetzen von Unternehmensprozessen. Deshalb muss auch jeder Mitarbeiter in diesen Prozess verbindlich eingebunden sein und ihn mitgestalten. Das gelingt nur, wenn die Unternehmensführung diese Maßgabe konsequent mitträgt und einfordert."
Engpässe beim Security-Personal beheben
Ein weiterer Vorteil des ITQ-Security-Verfahrens: Es entlastet Systemhäuser von Personal-Engpässen im Security-Bereich, denn das Verfahren erlaubt es auch "Nicht-Security"-Spezialisten, Unternehmen zu betreuen und die ITQ-Basisprüfung als Audit durchzuführen.
"IT-Dienstleister können damit auch Quereinsteiger mit technischem Verständnis als Mitarbeiter rekrutieren", führt Christian Schneider weiter aus. Das erleichtert die Personalsuche und erweitert zudem die Ausbildungsmöglichkeiten im eigenen Unternehmen, was sie wiederum attraktiver als Arbeitgeber macht. Denn sie können Bewerbern mithilfe des ITQ-Verfahrens beispielsweise eine Ausbildung zur Informationssicherheitsbeauftragten (ISB) anbieten und so gezielt Fachkräfte aufbauen.
Fazit: Wertvolle Partnerschaft für Managed Security Services
Die steigende Nachfrage nach Sicherheitslösungen bietet IT-Dienstleistern eine große Chance, zusätzliches Geschäft zu generieren. Doch der Einstieg in das komplexe Thema ist nicht einfach und birgt viele Hürden - von mangelndem Fachpersonal bis hin zur Haftungsfrage.
Hier setzt die Lösung der ITQ GmbH an: Mit ihrem Service-Modell ermöglicht sie es IT-Systemhäusern und MSPs, ihren Kunden individuelle Entscheidungsfreiheiten bei gleichzeitig umfassendem Schutz anzubieten. Das Verfahren entlastet zudem von Personalengpässen im Security-Bereich und eröffnet neue Ausbildungsmöglichkeiten.
IT-Dienstleister können somit mit Hilfe der ITQ und der ITQ-Produkte ihr Portfolio erfolgreich ausbauen und sich als kompetenter Ansprechpartner rund um das Thema Cybersecurity positionieren.