Die vergangenen Jahre waren für viele Unternehmen nicht einfach. Viele haben die Digitale Transformation noch nicht abgeschlossen und kommen damit aufgrund des Fachkräftemangels auch nicht recht weiter. Sich immer wieder ändernde Regulierungen und die Krisen der letzten Jahre machen ihre Lage zudem nicht einfacher.
Mittel- und langfristig leidet ihre Wettbewerbsfähigkeit darunter. Daher steigt der Bedarf an Managed Services. So betont etwa Ulrich Störk, Managed Services Leader bei PwC Deutschland, dass "Unternehmen mit Managed Services bestehende Prozesse und Abläufe transformieren und sie auf eine neue Wertschöpfungsebene heben können".
In seiner Managed-Services-2023-Studie hat PricewaterhouseCoopers den Status quo des Dienstleistungsmodells in Deutschland und die Erwartungen der meisten Unternehmen untersucht und dabei herausgearbeitet, in welchen Bereichen das Potenzial für Managed Services derzeit am größten ist.
Welcher Managed Service darf es sein?
Die erste Frage ist, welche Managed Services es überhaupt gibt? Denn es bestehen große Unterschiede zwischen einem klassischen Managed Service Provider (MSP) und einem der neueren Managed Service Security Provider (MSSP). Welche Dienstleistungen ein Kunde tatsächlich benötigt, muss individuell herausgefunden werden.
So sei die Möglichkeit, Prozesse an externe Dienstleister auszulagern, für die Unternehmensleitungen in der Regel "eine pragmatische Lösung, um Engpässe zu überbrücken, Kompetenzen aufzubauen und Kosten zu reduzieren", erklärt PwC. Rund drei Viertel der von PwC Befragten nannte Personalgewinnung, Effizienz, Kostendruck, die Digitalisierung einzelner Funktionen, Personalfähigkeiten sowie Weiterbildung als größte Hürden, mit denen sie derzeit zu kämpfen haben.
Interessanterweise zeigte sich, dass viele Firmen sich immer noch nicht wirklich mit dem Managed-Services-Modell beschäftigt haben. So ist mehr als die Hälfte entweder noch gar nicht (21 Prozent) oder nur bedingt (38 Prozent) mit dem Konzept vertraut. Nur 39 Prozent gaben laut PwC an, Managed Services "gut" oder sogar "sehr gut" zu kennen.
Der zunehmende Kostendruck bringe viele Unternehmen nichtsdestotrotz dazu, sich mit dem Konzept auseinanderzusetzen. Aber nur wer über einen hohen Wissensstand verfüge, zeige auch ein erhöhtes Interesse an Dienstleistungen. Aufklärung der Kunden hilft also auch den Dienstleistern, ihre Services besser zu positionieren.
Was zeichnet einen Managed Service Provider aus?
Managed Service Provider sind Dienstleister, die die IT-Infrastruktur ihrer Kunden in der Regel aus der Ferne verwalten. Ein guter MSP verfügt über umfangreiche Erfahrungen und hat fachkundige Mitarbeiter in verschiedenen Bereichen. Sie planen und administrieren die Netzwerke und Systeme der Kunden, unterstützen dabei die (sofern noch vorhanden) internen Administratoren und sorgen bei Bedarf dafür, dass die Infrastruktur nach Probleme möglichst schnell wieder funktioniert.
Im Idealfall verhindern sie Probleme vorausschauend, bevor ein Schaden entsteht. Dazu setzen sie diverse Monitoring-Tools ein. Viele MSP haben ein eigenes Network Operations Center (NOC), von wo aus sie ihre Dienstleistungen anbieten.
Ein MSP bietet typischerweise folgende Dienste im Bereich IT-Management an:
Endnutzermanagement
Help-Desk
Migration in die Cloud
Optimieren von Prozessen
Automatisierung
Remote-Support
Grundlegende Security-Dienste wie Patch-Management und E-Mail-Monitoring
Zu seinen wichtigsten Zielen gehören:
Verbessern der Effizienz beim Kunden und Erhöhung seiner Produktivität
Bessere Skalierbarkeit seiner Prozesse
Aufrechterhaltung und Pflege seiner IT-Systeme
Was ist ein Managed Security Service Provider?
Ein Managed Security Service Provider fokussiert sich dagegen auf sicherheitsrelevante Dienstleistungen. Dazu überwacht er das Netzwerk des Kunden auf Schwachstellen sowie Cybergefahren und kümmert sich um technische Systeme wie Firewalls, Virenscanner, IDS/IPS-Systeme (Intrusion Detection, Intrusion Prevention Systems) oder VPNs (Virtual Private Networks).
Ein MSSP verfügt möglicherweise über ein eigenes Security Operations Center (SOC) oder mietet diese Leistung von einem größeren Anbieter an. So kann er Dienste zur Absicherung der IT-Infrastruktur und der darin gespeicherten Daten rund um die Uhr anbieten, was viele Firmen selbst nicht mehr leisten können.
Die zunehemden Cyberbedrohungen der vergangenen Jahre haben zu einem gestiegenen Interesse an verwalteten IT-Sicherheitsleistungen geführt. Traditionelle MSPs verfügen aber oft selbst nicht über die Ressourcen, um sicherheitsrelevante Dienste 24/7 anzubieten.
Ein MSSP hat typischerweise folgende Dienste im Bereich IT-Security im Portfolio:
Antivirus, Antimalware, Antispam
Threat Detection and Response
24/7-Monitoring auf Schwachstellen sowie Eindringlinge
Durchführen von Audits, Erstellen von Berichten sowie Einhaltung der Compliance
Identity and Access Management (IAM)
IT-Security-Schulungen
Zu seinen wichtigsten Zielen gehören:
Sicherstellen, dass die Systeme des Kunden auf dem aktuellen Stand sind und die rechtlichen Vorgaben erfüllen.
Erkennen und Bekämpfen von sicherheitsrelevanten Risiken.
Kontinuierliches Monitoring der Infrastruktur auf Cybergefahren.
Reaktion auf sicherheitsrelevante Vorfälle.
Verhindern von Datendiebstählen.
SecurityHQ empfiehlt fünf wesentliche Dienste, die ein MSSP im Programm haben sollte:
Managed Detection & Response (MDR)
Managed Firewall
Penetration Testing
Vulnerability Management
Digital Forensics & Incident Response
Was sind die Unterschiede zwischen MSP und MSSP?
Auch wenn es sich sowohl bei einem MSP als auch einem MSSP um Dienstleister für Unternehmen handelt, haben sie doch eine unterschiedliche Ausrichtung. Während sich ein MSP um Unterstützung in den Bereichen Netzwerk, Server, Datenbanken, Anwendungen bis hin zum Anwender-Support kümmert, ist ein MSSP auf sicherheitsrelevante Leistungen ausgerichtet.
Das eine schließt aber das andere nicht aus. So muss sich kein Kunde zwischen einem MSP oder einem MSSP entscheiden. Wer will und es sich leisten kann, setzt auf beide.
Überschneiden sich MSP und MSSP nicht?
Im Prinzip kann auch ein MSP alle Dienstleistungen eines MSSP anbieten. Aber er ist nicht darauf fokussiert und kann daher in der Regel nicht die gleiche Tiefe und Qualität wie ein MSSP offerieren. Praktisch jeder MSP bietet aber ebenfalls eine Reihe von sicherheitsrelevanten Dienstleistungen an, die grundlegende Sicherheitsbedürfnisse erfüllen.
Was spricht für einen MSP?
Wenn Sie nur wenig oder keine IT-Mitarbeiter im Unternehmen haben.
Wenn Sie - gerade in Zeiten des Fachkräftemangels - keine zusätzlichen IT-Kräfte einstellen wollen beziehungsweise können.
Wenn Sie vor größeren Veränderungen stehen und schnell neue Kapazitäten bereitstellen müssen.
Wenn Sie IT-Support rund um die Uhr benötigen.
Was spricht für einen MSSP?
Wenn Sie über IT-Mitarbeiter verfügen, aber keine oder nur wenige Sicherheitsspezialisten haben.
Wenn Sie keine zusätzlichen IT-Sicherheitsexperten einstellen können.
Wenn Sie in einer Branche tätig sind, die besonders anfällig für Cyberattacken ist.
Wenn Sie ein 24/7-Monitoring auf sicherheitsrelevante Gefahren benötigen.
Angesichts des weltweiten Mangels an Fachkräften im Bereich der IT-Sicherheit haben viele kleine und mittlere Unternehmen (KMU) Schwierigkeiten, sich vor Cyberangriffen zu schützen. Die meisten größeren Unternehmen verfügen über höhere IT-Budgets, so dass sie sich schneller von einer Attacke erholen können.
Auf die meisten kleinen und mittleren Firmen wirken sich Angriffe jedoch verheerend aus. Eyal Manor, Vice President of Product Management bei Check Point Software, empfiehlt KMU daher "Drittanbieter von Managed Services zu nutzen, um Zugang zu erfahrenen Experten zu erschwinglichen Kosten zu erhalten, da sie fachkundige Beratung sowie Schulungen und laufenden Support bieten".
Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), riet während einer Security-Konferenz in Postdam vor allem kleineren Kommunen, IT-Dienstleistungen an geeignete Profis auszulagern: "Macht Eure IT nicht selbst, sondern nutzt Dienstleister", so sein Fazit der vorhergehenden Ransomware-Angriffen, von denen zum Beispiel der Landkreis Anhalt-Bitterfeld betroffen war. Gerade im Mittelstand gilt diese Empfehlung aber ebenfalls.