Wie sich MSSPs und Managed SOC ergänzen

Angesichts immer häufigerer und anspruchsvollerer Angriffe können die wenigsten Unternehmen ihre IT-Sicherheit alleine bewältigen. Große Unternehmen können oder müssen einen Großteil ihrer Abwehr intern organisieren. Dies ist allerdings nur ein kleiner Kreis, der dafür große Ressourcen bereitstellen und viel investieren muss. Jedoch benötigen auch solche Unternehmen den Blick von außen.

Anbietern von IT-Sicherheitsdiensten im Channel erschließt sich daher ein großer, lukrativer Markt. In gewissen Bereichen profitieren aber selbst Managed Security Service Provider (MSSP) von externer Hilfe - zum Beispiel von einem Managed-Detection-and-Response-Dienst (MDR), oft auch als Managed SOC (Security Operation Center) bezeichnet.

Warum die IT-Abwehr externe Experten braucht

Viele Faktoren machen es zu einem Muss, nach externer Expertenkompetenz für die IT-Abwehr zu suchen. Immer komplexere Angriffe erfolgen 24/7 und lassen sich nur durch eine Rund-um-die-Uhr-Überwachung erkennen. Dazu kommen wachsende Compliance-Anforderungen, die eine umfassende Grundlagensicherheit und Kompetenz zu Abwehr, Analyse und zum Eindämmen von Angriffen verlangen. Cybersicherheitsexperten mit besonders hoher Security-Kompetenz können zudem innovative neue Technologien einsetzen, etwa Künstliche Intelligenz durch Machine Learning oder Large Language Models.

Solche Sicherheitsanalysten und -ermittler sind aber nicht für jedes IT-Team in Reichweite. Der Fachkräftemangel ist dramatisch und wird es bleiben. Einmal gefundene Experten zu halten, gestaltet sich zunehmend schwierig. Denn IT-Sicherheit ist ein anstrengender Job, der enormen Druck erzeugt.

So hat der von Censuswide durchgeführte unabhängige "Bitdefender 2024 Cybersecurity Assessment Report" unter IT-Sicherheitsverantwortlichen in Unternehmen mit mehr als 1.000 Beschäftigten gezeigt, dass 76,6 Prozent der Befragten in Deutschland planen, sich in den nächsten zwölf Monaten einen neuen Arbeitgeber zu suchen. Möglicher Grund: 77,1 Prozent leisten Wochenendarbeit. Das ist ein dramatischer Anstieg um 45 Prozentpunkte gegenüber dem Vorjahr.

Schließlich bedarf es Experten mit immer neuen Spezialkompetenzen in neuen Technologien wie KI, Internet of Things oder Robotic Process Automation (RPA). Dafür geeignetes Personal zu halten, ist schwer und erfordert hohe finanzielle Mittel.

Die Rolle des MSSP

Ein Managed Security Service Provider (MSSP) kann Unternehmen eine Anlaufstation bieten, um sich der Aufgabe zu stellen, notwendige Ressourcen für IT-Sicherheit bereitzustellen. Ein guter Dienstanbieter hat heute umfangreiche Kenntnisse in den Bereichen Netzwerk, Betriebssysteme, Virtualisierung und Security über die gesamte Infrastruktur (Firewall, Endpoint, Proxy, IPS/IDS, Sandboxing und vieles mehr), sowie ein sehr gutes Grundverständnis der wesentlichen Compliance-Richtlinien wie KRITIS/NIS2 oder ISO 27001. Verfügt ein MSSP über die nötigen Tools und die entsprechenden Ressourcen und Kompetenzen, kann er sehr gute Arbeit leisten und hohe Sicherheit aufbauen.

Bei der IT-Sicherheit greift der MSSP auf Technologien spezialisierter Hersteller zurück, etwa Extended Endpoint Detection and Response (XDR) oder Cloudsicherheits-Lösungen für physische, virtuelle und Multi-Cloud-Umgebungen. Plattform-Technologien bieten einem MSSP wichtige Funktionen, um die sich mit hoher Dynamik ausweitende Angriffsfläche zu überwachen. Sie sind Bestandteil eines breit aufgestellten Partner-MSSP-Angebots mit Funktionalitäten wie Mandantenfähigkeit und Remote Management and Monitoring zum erweiterten Schutz der Angriffsfläche.

Managed-Detection-and-Response-Dienste (MDR) beziehungsweise ein Managed SOC sind ein weiterer Bestandteil einer umfassenden IT-Abwehr. Externe Fachkräfte erschließen somit dem MSSP die Ressourcen für ein Zusatzmaß an Sicherheit. Tiefes Spezialwissen in Sachen Endpoint- und Cloud-Security des externen Anbieters kann der MSSP hier kombinieren mit seinen breiten Kenntnissen der flankierenden Technologien und der Kunden-Infrastruktur.

In zwei wichtigen Punkten profitieren MSSP von einem Managed SOC:

• Sicherheitsinformationen und weiterführende Recherchen: Vor allem erhalten die MSSP durch ein Managed SOC umfassende Informationen über die Risikolage etwa durch globale Threat-Intelligence-Feeds oder Dark-Web-Monitoring. Ein solches aufzubauen, ist nicht Aufgabe eines MSSP und er kann sie nicht erfüllen. Proaktives Threat Hunting wiederum kann nur erbringen, wer unter anderem eine große Zahl globaler Threat-Intelligence-Feeds samt zugehöriger Tools zu ihrer Verarbeitung im Einsatz hat. MDR-Dienste mit entsprechenden SOCs verfügen über eine sehr viel größere Datenmenge, um die Gefahrenlage zu beurteilen. Sie analysieren kundenübergreifend, branchenspezifisch, überregional und zugleich regionalspezifisch das cyberkriminelle Geschehen.

• Ressourcen: Entscheidend sind aber nicht nur Wissen und Tools, sondern mindestens ebenso die personellen Ressourcen. Komplexe Angriffe erfordern früher oder später die Verfügbarkeit, Expertise und Kompetenz von Sicherheitsexperten. Ein MSSP kann oft nur 8x5-Schutz anbieten, Unternehmen benötigen aber ein 24/7-Monitoring. Einem Managed SOC ist das möglich, etwa bei global verteilten Standorten. Gut bezahlter Schichtdienst ist zudem einfacher zu verargumentieren als Wochenendarbeit. Ein SOC kann seine Experten auch deshalb leichter halten.

MSSP hat eine Scharnierfunktion

Die Rolle eines MSSP-Partners bleibt zentral - selbst bei Hinzunahme eines externen SOC beziehungsweise MDR-Services. Hier fungiert er als kundennaher Sicherheitsberater, Bindeglied zwischen Kunden und Managed SOC und Umsetzer der sicherheitsrelevanten Maßnahmen. Denn niemand kennt die jeweilige Infrastruktur des Kunden und die Sicherheitsanforderungen so gut, wie der involvierte MSSP.

Er kann etwa die Wichtigkeit von Ressourcen wie individueller Server oder spezieller Anwendungen einschätzen, die Informationen über Angriffe durch ein externes SOC-Team einbinden und die notwendigen Konsequenzen umsetzen. Das externe Managed SOC erkennt, der MSSP handelt. Im Ernstfall kann der MSSP vor Ort Systeme isolieren, abschalten oder umkonfigurieren, falls dies die externen Experten nicht übernehmen sollen oder dürfen.

Der MSSP koordiniert unternehmensinterne, externe und MSSP-eigene Dienste, berät den Kunden strategisch und konzeptionell, koordiniert Audits, organisiert Pentests und wertet sie gemeinsam mit dem Kunden und den SOC-Experten aus.

Heterogener Zielmarkt mit hohem Potenzial

Eine Kombination aus eigenen Teams zum Betreuen der Cybersicherheit, ein umfassendes und aktuelles Portfolio an Sicherheitstools sowie die externe Hilfe durch Managed Detection and Response als Service sorgen für Sicherheit und erschließen ein sehr großes Geschäftspotenzial für die Partner. Grundsätzlich kann jedes Unternehmen nahezu aller Branchen einen entsprechenden Service benötigen, sofern die internen Prozesse in einem für den Unternehmenserfolg bedeutsamen Maße digitalisiert sind.

Für KMU und Mittelstand sind Managed Security Services ein Muss und werden sich in absehbarer Zeit als Standard etablieren. Die Art der benötigten Services hängt dann unter Anderem vom Grad der Digitalisierung, der Bekanntheit, der Kundenbasis und dem Umsatzvolumen oder anderen Faktoren ab.

Partner sollten bedenken, dass nicht jedes Unternehmen dieselbe IT-Sicherheit benötigt. Größe oder Branche des Kunden bedingen nicht zwangsläufig einen bestimmten Sicherheitsbedarf. Insofern ist für den Partner das Anmieten von Zeit und Erfahrung bei einem Manged SOC durchaus sinnvoll - als Teil seines MSSP-Angebots.

Mehr zum Thema

Bestandsaufnahme und Trends: KI in der Cybersecurity

Bitdefender bietet MSPs MDR-Dienst für ihre Kunden

Systemhäuser und Managed Service Provider: Partnerschaften werden wichtiger

Drei Gründe, MSSP zu werden

Warum IT-Dienstleister SOC-Services aufbauen sollten