Managed Security als Strategie für die Cyberabwehr

Trotz der Alarmstimmung bei den Security-Analysten sehen sich viele Unternehmen als gut geschützt an. 53 Prozent der Befragten halten die Absicherung ihres Unternehmens für gut beziehungsweise sehr gut, während 28 Prozent eine ausreichende Absicherung angeben. Nur jede und jeder Fünfte (19 Prozent) empfindet die Cybersicherheit im eigenen Unternehmen als unzureichend.

Vergleicht man den angenommenen Schutz mit der Erfolgsrate von Cyberattacken auf deutsche Unternehmen, bietet sich ein anderes Bild. Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit bei eco, warnt: „Die IT-Landschaft wird immer komplexer, wodurch sich auch die Angriffsfläche von Unternehmen und Institutionen vergrößert. Gleichzeitig wächst stetig die Bedrohungslage durch zunehmend professioneller, organisierter Formen von Cyberkriminalität. Viele mittelständische Unternehmen schätzen ihre Cyberresilienz zu optimistisch ein. Vor dem Hintergrund globaler Krisen müssen diese Unternehmen besonders jetzt aktiv Sicherheitsmaßnahmen implementieren.“

Die EU-Agentur für Cybersicherheit ENISA (https://www.enisa.europa.eu/news/diagnose-your-sme2019s-cybersecurity-and-scan-for-recommendations) sieht nicht nur Lücken im technischen Schutz vieler Mittelstandsunternehmen. In drei Bereichen sind Security-Aktivitäten dringend erforderlich, Personal, Technologie und Prozesse.

So müssen Beschäftigte, aber auch die IT-Sicherheitsabteilung selbst besser auf die zunehmenden Cybergefahren vorbereitet werden. Eingesetzte und insbesondere auch neue Technologien müssen verstanden und nach Best-Practice-Ansätzen abgesichert werden. Zudem müssen alle Unternehmensprozesse daraufhin untersucht und optimiert werden, dass sie die Cyberrisiken besser berücksichtigen.

Wenn die eigene Security-Abteilung nicht mehr alle anstehenden Aufgaben erfüllen kann, liegt die Entscheidung für Managed Security nahe. Das ist nicht neu, Managed Security ist bereits seit Jahren gelebte Praxis. Die Marktforschenden von IDC (https://www.idc.com/getdoc.jsp?containerId=prEUR149854222) berichteten, dass bereits rund 80 Prozent der Unternehmen mindestens die Hälfte ihrer Security-Infrastrukturen in externen Umgebungen betreiben, um die eigene Security-Komplexität zu reduzieren, das Security-Personal zu entlasten oder das Security-Knowhow zu ergänzen.

Laut IDC können auch spezifische externe Security-Services wie Beratungen, Assessments und Analysen sinnvoll sein, beispielsweise Security Implementation Services, falls das eigene Security-Personal ausgelastet ist oder nicht die richtigen Fähigkeiten zur Implementierung neuer Sicherheitslösungen besitzt. Diese sind mit 27 Prozent der häufigste Investitionsbereich für Maßnahmen und Services zur Unterstützung der Security Operations. Auch in Services wie Cyber Recovery und Cybervaults (26 Prozent), Ransomware Assessments (20 Prozent) oder Security Consulting (16 Prozent) wird häufig investiert, um von externer Security-Expertise Gebrauch zu machen.

Das Analystenhaus Gartner erwartet (https://www.gartner.com/en/information-technology/trends/the-it-roadmap-for-cybersecurity), dass sich die Entwicklung hin zu Managed Security noch weiter verstärkt: Noch in 2023 sollen 75 Prozent der Unternehmen ihre Risiko- und Sicherheits-Governance neu strukturiert haben. Der zunehmende Trend, dass Beschäftigte ihre eigene Geräte nutzen, die es zu schützen gilt, wird als einer der Treiber für das Wachstum der Managed Security Services-Branche gesehen.

Neben Hybrid Work und dem notwendigen Schutz für dezentrale IT sind es auch die Risiken aus und für die Lieferkette, die die Möglichkeiten einer internen Security-Abteilung übersteigen können. Managed Security dagegen ist darauf spezialisiert, weit verteilte IT und verschiedene Unternehmen gleichzeitig zu überwachen und zu schützen

Entscheidet sich ein Unternehmen für den Bezug von Managed Security, können nicht nur fehlende Security-Fachkräfte kompensiert werden. Als Vorteile von Managed Security gelten:

• Kostensenkung durch gemeinsame Nutzung von Security-Infrastrukturen zusammen mit anderen Unternehmen („Cloud-Modell“)
• Mehr Ressourcen für das eigentliche Geschäft und die weitere Digitalisierung
• Zugang zu Fachwissen und Erfahrung, die das Security-Personal in einem einzelnen Unternehmen kaum aufbauen kann
• Schnelles Ausrollen neuer Security-Funktionen, auch an dezentralen Standorten (wie Homeoffices)
• Skalierbarkeit der Security bei höherem Bedarf (zum Beispiel mehr zu schützende Online-Transaktionen im Weihnachtsgeschäft)
• Möglichkeit, genaue Reaktionszeiten zu vereinbaren (SLA, Service Level Agreement)

Unternehmen sollten allerdings nicht den Fehler begehen, Managed Security als möglichen Ersatz ihrer eigenen Security zu verstehen. Wer Managed Security Services nutzt, überträgt nur definierte Aufgaben, nicht aber die komplette Verantwortlichkeit.

Rechtlich zeigt sich dies zum Beispiel bei dem Datenschutz: Anbieter von Managed Security sind als Auftragsverarbeiter zu sehen, sie handeln also im Auftrag der verantwortlichen Stelle, wie dies in der Datenschutz-Grundverordnung (DSGVO) festgelegt wird. Der Datenschutz wird berührt, da im Rahmen der beauftragten Tätigkeit für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten besteht, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten, so zum Beispiel die Datenschutzaufsicht von Niedersachsen.

Trotz der Auslagerung von Aufgaben an den Managed Security Provider bleibt das jeweilige Unternehmen als Auftraggeber für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich.

Doch nicht nur die Verantwortung bleibt im Unternehmen, auch bestimmte Security-Aufgaben innerhalb des Unternehmens bleiben erhalten. Welche IT-Sicherheitsfunktionen extern betrieben und verwaltet werden, muss in einer Vereinbarung mit dem Managed Security Provider genau festgelegt werden. Umgekehrt muss im Unternehmen das Bewusstsein herrschen, dass es ganz ohne die interne IT-Sicherheit in aller Regel nicht geht.

Denkt man an die steigende Zahl der Aufgaben in der IT-Sicherheit, wird schnell deutlich: Die eigene Security-Abteilung erfährt Unterstützung, sie mag sich entlastet fühlen, doch die eigentliche Leistung von Managed Security ist die Erweiterung und Befähigung der eigenen Security.

Ohne die moderne Technologie, die 24x7-Bereitschaft, die reiche Erfahrung und Expertise und die weite Sicht auf Bedrohungen über den „Tellerrand“ des Unternehmens hinaus, die Managed Security bieten kann, wären viele Unternehmen den mächtigen Gegnern aus dem Cybercrime deutlich unterlegen.

Ob das Unternehmen aber wirklich so gut durch die Managed Security geschützt wird, kommt auf den gewählten Managed Security Anbieter an. Die Auswahl des Providers ist mehr als entscheidend für den erreichbaren Schutzfaktor.

Zwischen dem Unternehmen und dem Anbieter für Managed Security muss eine vertrauensvolle und transparente Zusammenarbeit entstehen. Unklare Zuständigkeiten und fehlende Regelungen können zu Schwachstellen in der Security beitragen, auf die die Angreifenden nur warten.

Deshalb kommt auch der Auswahl des Anbieters eine große Rolle zu. Hierbei empfehlen sich Auswahlkriterien wie

• Erfahrung des Anbieters mit vergleichbaren Unternehmen (Unternehmensgröße, Branche, Referenzen): Dies hilft dem Anbieter bei der Bewertung, welche Geschäftsprozesse besonders kritisch und schutzbedürftig sind.
• Tiefes Verständnis der bei dem Unternehmen eingesetzten IT-Lösungen (auch von den Schwachstellen und integrierten Security-Funktionen): Dadurch kann der Security-Bedarf besser bestimmt werden.
• Ein transparentes Portfolio und Angebot: Dadurch wird vermieden, dass mehr Sicherheit angenommen wird als wirklich besteht (Risiko der Scheinsicherheit).
• Fortbildung und Personalstärke: Auch der Anbieter muss dem Fachkräftemangel begegnen können und bei Bedarf einen Rund-um-die-Uhr-Schutz anbieten können (Schichtbetrieb). Zudem müssen die Security-Fachkräfte des Anbieters auch Zeit für Weiterbildung haben.