Managed Security Services: Gekaufte Sicherheit

Eine zuverlässige Absicherung der IT stellt vor allem kleine und mittelständische Unternehmen oft vor große Probleme. Die Alternative, die Security an Dienstleister auszulagern, gewinnt an Bedeutung.

Entscheidungskriterien

Bei der Entscheidung über ein Outsourcing der IT-Sicherheit sind insbesondere drei Aspekte von Bedeutung: Das Unternehmen sollte zunächst herausfinden, ob Security Services von einem externen Dienstleister mit höherer Kompetenz und unter geringerem Kostenaufwand realisiert werden können, als das intern der Fall ist. Der Managed Security Services Provider sollte mit der internen IT und den Security-Teams zusammenarbeiten und nicht nur Zulieferer von IT-Sicherheitsservices im Hintergrund agieren. Der Provider sollte die Business-Risiken verstehen und entsprechende Prioritäten setzen können.

Das wichtigste Element ist Vertrauen. Es braucht eine Menge Vertrauen und Überzeugungsarbeit, um auf das MSSP-Modell zu wechseln. Aber wie der Boom in diesem Bereich zeigt: Diejenigen Unternehmen, die eine Partnerschaft mit Managed Security Services Providern eingehen, sind begeistert. In der PAC-Studie äußern sich über 70 Prozent sehr zufrieden mit ihrem derzeitigen MSSP. Darüber hinaus hinterlässt der Fachkräftemangel auch in diesem Bereich Spuren. Fachkräfte im Bereich IT-Sicherheit sind oft schwer zu finden, schwer zu halten und schwer zufriedenzustellen.

Insbesondere viele kleine Unternehmen haben oft ein mangelndes Sicherheitsbewusstsein und unzureichende Datensicherungskonzepte. Sie denken, dass sie für mögliche Hackerangriffe viel zu klein und zu uninteressant sind. Eine G-Data-Umfrage zu IT-Security im Mittelstand liefert entsprechende Zahlen: Bei der Mehrzahl der Unternehmen ist immerhin das Bewusstsein vorhanden, im Visier von Cyberkriminellen zu stehen. Doch 37,5 Prozent halten sich für kein attraktives Ziel; bei den kleinen Unternehmen mit weniger als 100 Mitarbeitern sind es sogar 47,1 Prozent. Sie sind der Ansicht, sie seien zu klein oder zu wenig bekannt, machten zu wenig Umsatz, hätten keine wichtigen Daten oder würden in einem nicht sonderlich spannenden Geschäftsfeld agieren, um bei Angreifern auf Interesse zu stoßen.

Das macht die IT-Sicherheit häufig zu einem rein technischen Thema, fernab der eigenen Verantwortung. Natürlich sollten Geschäftsleitung und IT-Verantwortliche genau abwägen, ob der Einsatz eines MSSPs für die Sicherheit ihres Unternehmens sinnvoll und machbar ist. Unternehmen des öffentlichen Sektors steht dieser Weg oft wegen rechtlicher Bestimmungen nicht offen. Zudem mag der ein oder andere Geschäftsführer Bedenken haben, die sicherheitsrelevanten Daten und Ressourcen seines Unternehmens außer Haus zu geben. Die Wahl eines vertrauenswürdigen Partners ist also ein entscheidender Schritt hin zur Managed Security.