Trends & Analyse
Managed Security als Strategie für die Cyberabwehr
Managed Security gilt als eine unumgängliche Antwort auf den Fachkräftemangel in der Security. Die verschärfte Cyberbedrohungslage zeigt jedoch, dass es um weitaus mehr gehen muss, als nur um die Befähigung der eigenen Security.
Die aktuelle Cybersicherheitslage in Deutschland ist mehr als angespannt. So schätzen 93 Prozent der IT-Sicherheitsexpertinnen und -experten die allgemeine Bedrohungslage als hoch, beziehungsweise als sehr hoch ein, wie die IT-Sicherheitsumfrage 2023 des Verbandes der Internetwirtschaft eco e.V. ergeben hat. Viele Security-Experten haben zudem das Gefühl, dass es den Unternehmen an ausreichend Security-Fachkräften und Security-Know-how fehlt. Ein Ausweg der in dieser Lage oft empfohlen wird, lautet "Managed Security". Doch bei allen offenkundigen Vorteilen des Auslagerns der Cyberabwehr hat dieser Schritt auch Grenzen und Konsequenzen.
Wahrnehmung und Wirklichkeit
Trotz der Alarmstimmung bei den Security-Analysten sehen sich viele Unternehmen als gut geschützt an. 53 Prozent der Befragten halten die Absicherung ihres Unternehmens für gut beziehungsweise sehr gut, während 28 Prozent eine ausreichende Absicherung angeben. Nur jede und jeder Fünfte (19 Prozent) empfindet die Cybersicherheit im eigenen Unternehmen als unzureichend.
Vergleicht man den angenommenen Schutz mit der Erfolgsrate von Cyberattacken auf deutsche Unternehmen, bietet sich ein anderes Bild. Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit bei eco, warnt: „Die IT-Landschaft wird immer komplexer, wodurch sich auch die Angriffsfläche von Unternehmen und Institutionen vergrößert. Gleichzeitig wächst stetig die Bedrohungslage durch zunehmend professioneller, organisierter Formen von Cyberkriminalität. Viele mittelständische Unternehmen schätzen ihre Cyberresilienz zu optimistisch ein. Vor dem Hintergrund globaler Krisen müssen diese Unternehmen besonders jetzt aktiv Sicherheitsmaßnahmen implementieren.“
"Die Diskrepanz bei der Beurteilung der eigenen Sicherheitslage und der Sicherheitslage in Deutschland allgemein zeigt, wie schwer es selbst Experten und Expertinnen fällt, die Bedrohung richtig einzuschätzen"
Handlungsbedarf auf allen Ebenen
Die EU-Agentur für Cybersicherheit ENISA (https://www.enisa.europa.eu/news/diagnose-your-sme2019s-cybersecurity-and-scan-for-recommendations) sieht nicht nur Lücken im technischen Schutz vieler Mittelstandsunternehmen. In drei Bereichen sind Security-Aktivitäten dringend erforderlich, Personal, Technologie und Prozesse.
So müssen Beschäftigte, aber auch die IT-Sicherheitsabteilung selbst besser auf die zunehmenden Cybergefahren vorbereitet werden. Eingesetzte und insbesondere auch neue Technologien müssen verstanden und nach Best-Practice-Ansätzen abgesichert werden. Zudem müssen alle Unternehmensprozesse daraufhin untersucht und optimiert werden, dass sie die Cyberrisiken besser berücksichtigen.
Exkurs: Empfehlungen der EU-Agentur ENISA
Die EU-Agentur für Cybersicherheit ENISA (https://www.enisa.europa.eu/news/enisa-news/phishing-most-common-cyber-incidents-faced-by-smes) empfiehlt Mittelstandsunternehmen einen erhöhten Schutz zum Beispiel gegen Phishing-Attacken.
Können Maßnahmen in den Bereichen Personal, Technologie oder Prozesse nicht selbst sichergestellt werden, sollten folgende Optionen von Managed Security geprüft werden für:
• Personen (Awareness-Maßnahmen, Cybersicherheitsschulungen und Cybersicherheitsrichtlinien sowie Management von Dritten (zum Beispiel Lieferanten) in Bezug auf vertrauliche und/oder sensible Informationen)
• Prozesse (Überwachung interner Geschäftsprozesse, Durchführung von Audits, Planung und Reaktion auf Vorfälle, Passwortsicherheit, Software-Patches und Datenschutz)
• Technik (Netzwerksicherheit, Virenschutz, Verschlüsselung, Sicherheitsüberwachung, physische Sicherheit und Sicherung von Backups)
Managed Security als Lückenschließer
Wenn die eigene Security-Abteilung nicht mehr alle anstehenden Aufgaben erfüllen kann, liegt die Entscheidung für Managed Security nahe. Das ist nicht neu, Managed Security ist bereits seit Jahren gelebte Praxis. Die Marktforschenden von IDC (https://www.idc.com/getdoc.jsp?containerId=prEUR149854222) berichteten, dass bereits rund 80 Prozent der Unternehmen mindestens die Hälfte ihrer Security-Infrastrukturen in externen Umgebungen betreiben, um die eigene Security-Komplexität zu reduzieren, das Security-Personal zu entlasten oder das Security-Knowhow zu ergänzen.
Laut IDC können auch spezifische externe Security-Services wie Beratungen, Assessments und Analysen sinnvoll sein, beispielsweise Security Implementation Services, falls das eigene Security-Personal ausgelastet ist oder nicht die richtigen Fähigkeiten zur Implementierung neuer Sicherheitslösungen besitzt. Diese sind mit 27 Prozent der häufigste Investitionsbereich für Maßnahmen und Services zur Unterstützung der Security Operations. Auch in Services wie Cyber Recovery und Cybervaults (26 Prozent), Ransomware Assessments (20 Prozent) oder Security Consulting (16 Prozent) wird häufig investiert, um von externer Security-Expertise Gebrauch zu machen.
Das Analystenhaus Gartner erwartet (https://www.gartner.com/en/information-technology/trends/the-it-roadmap-for-cybersecurity), dass sich die Entwicklung hin zu Managed Security noch weiter verstärkt: Noch in 2023 sollen 75 Prozent der Unternehmen ihre Risiko- und Sicherheits-Governance neu strukturiert haben. Der zunehmende Trend, dass Beschäftigte ihre eigene Geräte nutzen, die es zu schützen gilt, wird als einer der Treiber für das Wachstum der Managed Security Services-Branche gesehen.
Neben Hybrid Work und dem notwendigen Schutz für dezentrale IT sind es auch die Risiken aus und für die Lieferkette, die die Möglichkeiten einer internen Security-Abteilung übersteigen können. Managed Security dagegen ist darauf spezialisiert, weit verteilte IT und verschiedene Unternehmen gleichzeitig zu überwachen und zu schützen
"Vor allem im Mittelstand sind die IT-Abteilungen hinsichtlich Größe, Kompetenz und Budget oft nicht in der Lage, ihre IT-Systeme ausreichend abzusichern"
Vorteile durch Managed Security
Entscheidet sich ein Unternehmen für den Bezug von Managed Security, können nicht nur fehlende Security-Fachkräfte kompensiert werden. Als Vorteile von Managed Security gelten:
- Kostensenkung durch gemeinsame Nutzung von Security-Infrastrukturen zusammen mit anderen Unternehmen („Cloud-Modell“)
- Mehr Ressourcen für das eigentliche Geschäft und die weitere Digitalisierung
- Zugang zu Fachwissen und Erfahrung, die das Security-Personal in einem einzelnen Unternehmen kaum aufbauen kann
- Schnelles Ausrollen neuer Security-Funktionen, auch an dezentralen Standorten (wie Homeoffices)
- Skalierbarkeit der Security bei höherem Bedarf (zum Beispiel mehr zu schützende Online-Transaktionen im Weihnachtsgeschäft)
- Möglichkeit, genaue Reaktionszeiten zu vereinbaren (SLA, Service Level Agreement)
60 Prozent der deutschen Unternehmen haben oder erwarten einen akuten Mangel an Fachkräften für die IT-Sicherheit (Quelle: IDC "Cybersecurity in Deutschland 2022 (Nov. 2022")
Managed Security ist kein Allheilmittel
Unternehmen sollten allerdings nicht den Fehler begehen, Managed Security als möglichen Ersatz ihrer eigenen Security zu verstehen. Wer Managed Security Services nutzt, überträgt nur definierte Aufgaben, nicht aber die komplette Verantwortlichkeit.
Rechtlich zeigt sich dies zum Beispiel bei dem Datenschutz: Anbieter von Managed Security sind als Auftragsverarbeiter zu sehen, sie handeln also im Auftrag der verantwortlichen Stelle, wie dies in der Datenschutz-Grundverordnung (DSGVO) festgelegt wird. Der Datenschutz wird berührt, da im Rahmen der beauftragten Tätigkeit für den Dienstleister zumindest die Möglichkeit des Zugriffs auf personenbezogene Daten der Beschäftigten des Auftraggebers oder auf Kundendaten besteht, zum Beispiel bei Fehleranalysen, bei Remote-Zugriffen oder bei Support-Arbeiten, so zum Beispiel die Datenschutzaufsicht von Niedersachsen.
Trotz der Auslagerung von Aufgaben an den Managed Security Provider bleibt das jeweilige Unternehmen als Auftraggeber für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich.
Doch nicht nur die Verantwortung bleibt im Unternehmen, auch bestimmte Security-Aufgaben innerhalb des Unternehmens bleiben erhalten. Welche IT-Sicherheitsfunktionen extern betrieben und verwaltet werden, muss in einer Vereinbarung mit dem Managed Security Provider genau festgelegt werden. Umgekehrt muss im Unternehmen das Bewusstsein herrschen, dass es ganz ohne die interne IT-Sicherheit in aller Regel nicht geht.
Denkt man an die steigende Zahl der Aufgaben in der IT-Sicherheit, wird schnell deutlich: Die eigene Security-Abteilung erfährt Unterstützung, sie mag sich entlastet fühlen, doch die eigentliche Leistung von Managed Security ist die Erweiterung und Befähigung der eigenen Security.
Ohne die moderne Technologie, die 24x7-Bereitschaft, die reiche Erfahrung und Expertise und die weite Sicht auf Bedrohungen über den „Tellerrand“ des Unternehmens hinaus, die Managed Security bieten kann, wären viele Unternehmen den mächtigen Gegnern aus dem Cybercrime deutlich unterlegen.
Ob das Unternehmen aber wirklich so gut durch die Managed Security geschützt wird, kommt auf den gewählten Managed Security Anbieter an. Die Auswahl des Providers ist mehr als entscheidend für den erreichbaren Schutzfaktor.
Quelle: Lünendonk "Von Cyber-Security zur Cyber-Resilienz - mehr Digitalisierung durch Cyberbedrohung? (22022) (n = 135)
Die wichtigsten Auswahlkriterien für Managed Security Provider
Zwischen dem Unternehmen und dem Anbieter für Managed Security muss eine vertrauensvolle und transparente Zusammenarbeit entstehen. Unklare Zuständigkeiten und fehlende Regelungen können zu Schwachstellen in der Security beitragen, auf die die Angreifenden nur warten.
Deshalb kommt auch der Auswahl des Anbieters eine große Rolle zu. Hierbei empfehlen sich Auswahlkriterien wie
- Erfahrung des Anbieters mit vergleichbaren Unternehmen (Unternehmensgröße, Branche, Referenzen): Dies hilft dem Anbieter bei der Bewertung, welche Geschäftsprozesse besonders kritisch und schutzbedürftig sind.
- Tiefes Verständnis der bei dem Unternehmen eingesetzten IT-Lösungen (auch von den Schwachstellen und integrierten Security-Funktionen): Dadurch kann der Security-Bedarf besser bestimmt werden.
- Ein transparentes Portfolio und Angebot: Dadurch wird vermieden, dass mehr Sicherheit angenommen wird als wirklich besteht (Risiko der Scheinsicherheit).
- Fortbildung und Personalstärke: Auch der Anbieter muss dem Fachkräftemangel begegnen können und bei Bedarf einen Rund-um-die-Uhr-Schutz anbieten können (Schichtbetrieb). Zudem müssen die Security-Fachkräfte des Anbieters auch Zeit für Weiterbildung haben.
Fazit & Ausblick
Der Markt für Managed Security ist gut gefüllt, so dass zwar eine Auswahl möglich, aber nicht einfach ist. Deshalb ist es sehr zu begrüßen, dass sich Zertifizierungen für Managed Security Services auf EU-Ebene entwickeln.
So hat die EU-Kommission eine Änderung des Rechtsakts zur Cybersicherheit (https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act) vorgeschlagen, um die künftige Annahme europäischer Zertifizierungssysteme für Managed Security Services zu ermöglichen, darunter Dienstleistungen, wie zum Beispiel die Reaktion auf Sicherheitsvorfälle (Incident Response), Penetrationstests, Sicherheitsaudits und Beratung.
Alleine die Wahl eines (in Zukunft) zertifizierten Anbieters für Managed Security ist jedoch keine Erfolgsgarantie, denn Managed Security ist kein Selbstläufer. Vielmehr müssen die Geschäftsleitung und die Security-Abteilung voll und ganz hinter der Nutzung von Managed Security stehen, interne Security-Prozesse und -Rollen müssen klar definiert sein, und das Unternehmen muss sich über das Prinzip der geteilten Verantwortung bewusst werden, denn Security bleibt ein zentrales Thema innerhalb des Unternehmens. Managed Security erweitert die interne Security und ist kein Ersatz dafür.