In Zeiten wachsender Gefahren durch Cyber-Angriffe liegt die Auslagerung von IT Security im Trend. Auch viele Systemhäuser haben entsprechende Outsourcing-Services mittlerweile im Angebot – allerdings nur als kleinen Teil neben Hersteller-Lösungen aus allen IT-Bereichen. Spezialisierte Managed Security Service Provider (MSSPs) hingegen konzentrieren sich besonders auf Sicherheitsservices. Im Vordergrund stehen Ende-zu-Ende-Lösungen auf Basis von Hersteller-Produkten. Das Ziel: Der Endkunde erhält ein Komplett-Paket von der ersten Beratung über Konfiguration und Betrieb bis hin zur Verwaltung, Überwachung und Weiterentwicklung.

Bei der Umsetzung übernimmt der MSSP gleichzeitig die Rolle des proaktiven Lotsen und des IT-Security-Beraters. In einem ersten Schritt ermittelt er zusammen mit dem Kunden, welche Ziele dieser verfolgt und welche individuellen Anforderungen, zum Beispiel der bestehenden Infrastruktur, zu berücksichtigen sind. Auf dieser Basis wird eine Roadmap erstellt, wie sich das gewünschte Niveau an Netzwerksicherheit erreichen lässt. Ist einer der standardisierten und gut skalierbaren Dienste geeignet oder müssen individuelle Anpassungen vorgenommen werden, um die Kundenwünsche zu erfüllen? Beides ist für einen spezialisierten MSSP kein Problem. Diese Flexibilität in Kombination mit einem umfassenden Portfolio bieten klassische Systemhäuser in der Regel nicht.

Wichtig zu wissen: Es muss nicht immer das kostenintensive „Best-of-Breed“ Herstellerprodukt zum Einsatz kommen. Vielmehr geht es darum, ein angemessenes Schutzniveau für einen bestimmten Anwendungsfall zu erzielen. Der Kunde möchte bestimmte Abwehrmaßnahmen an den Dienstleister auslagern und Kosten einsparen. Dazu muss nicht immer der Ferrari vorgefahren werden, oftmals reicht auch der günstigere aber solide Golf, um Schwachstellen zu schließen.

Managed Security Service Provider bieten eine Reihe umfassender Abwehr- und Überwachungsmaßnahmen an, die stetig weiterentwickelt und optimiert werden. Außerdem steht die Entwicklung niemals still, sodass die Palette an Sicherheitsservices und Konfigurationen, aus denen Kunden wählen können, immer größer wird. Das gesamte Services-Portfolio der indevis sehen Sie nachfolgend unten auf dieser Seite. Die Dienste zur Netzwerksicherheit mit der derzeit höchsten Nachfrage sind:

• Managed Firewall
• E-Mail Security
• Zwei-Faktor-Authentisierung
• Secure Access

Managed Firewall

Firewalls sind elementarer Bestandteil jeder IT-Sicherheitsarchitektur. Es reicht jedoch nicht aus, diese einmal zu installieren – vielmehr muss das Regelwerk kontinuierlich gepflegt und angepasst sowie Sicherheitsupdates installiert werden. Andernfalls ist die Firewall nicht in der Lage, die sich ständig verändernden Angriffsstrategien von Cyber-Kriminellen abzuwehren. Eine Firewall kontinuierlich zu überwachen, um Sicherheitslücken zu vermeiden, ist jedoch zeitintensiv und erfordert Experten-Know-how. Bucht ein Unternehmen einen Managed Firewall Service, übernimmt der Dienstleister diese Aufgabe und reduziert somit die Komplexität. Er ist stets auf dem Laufenden über die Technologieentwicklungen führender Hersteller und verfügt über das Expertenwissen, diese auch gemäß den individuellen Bedürfnissen eines Unternehmens zu konfigurieren. Bei der indevis Managed Firewall sind außerdem das Monitoring sowie Reportings zum Systemzustand, zur Anwenderaktivität und zu aktuellen Bedrohungen enthalten.

E-Mail Security

Mit dem Managed Service “E-Mail Security” können Kunden ihren E-Mail-Verkehr einfach und kostenschonend über das Filtersystem des MSSPs routen und dort überwachen lassen. So werden E-Mails bereits außerhalb des Unternehmensnetzwerks auf verdächtige Inhalte untersucht und Unternehmen können sicher sein, dass sie nur „saubere“ E-Mails ohne Bedrohungspotenzial weitergeleitet bekommen. Um die Konfiguration und Verwaltung der Lösung und die Einrichtung der Mailboxen kümmert sich der Anbieter. Die Leistungen umfassen auch einen Quarantäne-Ordner. In diesem verwaltet das System abgefangene Mails mit potenziell schädlichen oder betrügerischen Inhalten. Der Anwender wird regelmäßig benachrichtigt und kann die zurückgehaltenen Mails im Service-Portal einsehen und – falls er eine Gefährdung ausschließt – in sein Postfach weiterleiten.

Zwei-Faktor-Authentisierung

Unternehmen müssen sicherstellen, dass nur berechtigte Benutzer – Mitarbeiter, Dienstleister, Lieferanten, Kunden – auf interne Systeme zugreifen können. Andernfalls drohen unabsehbare Auswirkungen. Eine gute Lösung mit wenig Aufwand ist eine Zwei-Faktor-Authentisierung als skalierbarer Sicherheitsservice. Dabei erhalten Anwender Token mit regelmäßig wechselnden Zahlencodes. In Kombination mit einer persönlichen PIN ist so eine eindeutige Benutzerauthentifizierung bei der Anmeldung sichergestellt. Der Dienstleister verwaltet und überwacht Betrieb und Management des Authentisierungs-Servers und übernimmt außerdem die Benutzerverwaltung und die Token-Verteilung bei den Anwendern. Zu empfehlen ist eine umfassende Lösung auf Basis der bewährten Authentifizierungstechnologie RSA SecurID, welche neben klassischen Hardware-Token auch Software-Token oder SMS-Token bietet.

Secure Access

Mitarbeiter müssen auch mit unterschiedlichen Endgeräten und an den verschiedensten Orten sicher auf das Unternehmensnetzwerk zugreifen können. Dazu sind mobile IPSEC VPN-Zugänge notwendig. Diese in Eigenregie zu installieren, kontinuierlich zu betreiben und zu überwachen, ist jedoch aufwendig und teuer. Managed Security Service Provider hingegen bieten VPN-Lösungen als komplett gemanagten und browserbasierten Sicherheitsservice an. Anwender installieren einfach einen Client auf ihrem jeweiligen Gerät, melden sich über die Webportalseite des Anbieters an und erhalten so Zugriff auf alle Daten und Applikationen ihres Netzwerks, die sie benötigen. Der Dienst ist flexibel skalierbar und Kunden können so viele Concurrent Sessions für den Zugriff buchen, wie sie benötigen. Besonders von Vorteil ist die Lösung in Krisenzeiten wie der aktuellen Corona-Pandemie, wenn schnell viele Mitarbeiter Home-Office-Zugriff benötigen. Zudem lassen sich mit der Lösung auch Public Cloud-Dienste absichern. In Kombination mit einer Zwei-Faktor-Authentisierung können Anwender die Sicherheit des Dienstes noch zusätzlich erhöhen.

Komplexität von Security-Technologien steigt

Cyber-Kriminelle sind heute hochgradig durchorganisiert, agieren professionell und stellen dadurch eine wachsende Bedrohung dar. Um ihnen immer einen Schritt voraus zu sein und angemessenen Schutz zu bieten, wachsen IT-Security-Architekturen stetig weiter und werden immer komplexer. Es reicht bei der Umsetzung nicht, die besten Hersteller-Lösungen auszusuchen und in Betrieb zu nehmen. Sie müssen auch regelmäßig aktualisiert und bei Bedarf neu konfiguriert und zudem stetig überwacht werden. Nur so lässt sich sicherstellen, dass sich keine Schwachstellen für Angreifer in der Infrastruktur auftun. Das ist aufwendig, kostenintensiv und erfordert enormes Expertenwissen. Denn schon eine einzelne Lösung enthält oftmals eine beinah unüberblickbare Anzahl an Funktionen zur Konfiguration. Zudem haben viele Unternehmen eine Vielzahl an verschiedenen Lösungen im Einsatz, die oftmals schlecht zusammenarbeiten. Das verkompliziert das Management und Monitoring zusätzlich. Die Auslagerung von IT-Security löst viele dieser Herausforderungen und bietet Schutz auf hohem Niveau.

Fachkräftemangel im IT-Security-Markt

Um viele verschiedene und zudem komplexe Sicherheitstechnologien unter einen Hut zu bekommen und eine schlagkräftige Architektur zu entwickeln, sind Unternehmen auf IT-Security-Spezialisten angewiesen. Diese sind jedoch aktuell – und auch noch auf absehbare Zeit – Mangelware auf dem deutschen Arbeitsmarkt. Dabei haben vor allem mittelständische Unternehmen Schwierigkeiten, Cyber-Sicherheits-Spezialisten zu finden. Denn die begehrten Fachkräfte können sich heute aussuchen, wo sie arbeiten möchten und entscheiden sich daher häufig für lukrative Angebote in Großkonzernen – oder gehen gleich zum Security-Dienstleister, da sie dort oftmals „näher am Geschehen sind“ und die Möglichkeit haben, sich kontinuierlich weiterzubilden. In meist ohnehin unterbesetzen IT-Abteilungen in Unternehmen ist das in der Regel nicht machbar. Laut einer Deloitte Studie arbeitet bereits die Mehrheit (79 Prozent) der befragten Unternehmen mit externen Dienstleistern zusammen. Nur 20 Prozent setzen komplett auf Fachkräfte in ihrer Inhouse-IT-Abteilung.

IT-Abteilung entlasten und Zeit für Kernaufgaben schaffen

Die IT-Abteilung ist nicht nur für die IT-Security zuständig, um Cyber-Angriffe und ihre Auswirkungen einzudämmen. Sie ist auch dafür verantwortlich, dass Hardware-, Software- und Cloud-Lösungen rund um die Uhr problemlos laufen. Es gilt, neue Systeme möglichst unterbrechungsfrei auszurollen, zu überwachen und stetig Support-Anfragen von Anwendern zu bearbeiten. Das ist auch ohne Cyber-Bedrohungen, die geistiges Eigentum stehlen oder Systeme lahmlegen wollen, eine Mammutaufgabe. Indem IT-Abteilungen sich bei der IT-Security Hilfe ins Boot holen, haben sie mehr Ressourcen, um sich um ihr Kerngeschäft zu kümmern.

Schatten-IT vermeiden

Der Faktor Zeit spielt in diesem Zusammenhang eine große Rolle. Müssen die Fachabteilungen zu lange auf angeforderte Programme oder Tools warten, nehmen sie die Dinge oft selbst in die Hand und beschaffen sich die benötigen Systeme. So kann jedoch gefährliche Schatten-IT entstehen, die nicht in die IT-Security-Architektur eingebunden ist. Die Auswirkungen: Schwachstellen entstehen und die Angriffsfläche für Cyber-Kriminelle vergrößert sich. Indem IT-Abteilungen sich mithilfe von Managed Security Services entlasten, können sie schneller und proaktiv reagieren und so das Risiko von Schatten-IT reduzieren.

Kostensenkung

IT Security inhouse zu betreiben, bedeutet für Unternehmen erhebliche Kosten. Sie müssen nicht nur die notwendige Hardware und Software anschaffen, sondern auch über Inhouse-Experten verfügen, die sich um Bereitstellung, Installation, Betrieb, Monitoring und Pflege kümmern. Wer hingegen auf Managed Security Services setzt, kann sich auf Einsparungen freuen. Hier nutzen Kunden vom MSSP veredelte Hersteller-Lösung auf Basis eines Subscription-Modells – müssen sie also nicht selbst kaufen. Gleichzeitig können sie so sicher sein, dass die Tools des Anbieters immer auf dem aktuellen Stand der Technik sind und von Spezialisten betreut werden.

Die IT Security in fremde Hände zu geben, erfordert viel Vertrauen. Schließlich verlassen hier hochsensible Prozesse und Daten die Infrastruktur des Unternehmens. Kunden sollten ihren Managed Security Service Provider daher mit Bedacht auswählen und sich dafür ausreichend Zeit nehmen. Welche Leistungen umfasst sein Portfolio? Wie lange ist er schon am Markt? Verfügen die Mitarbeiter über ausreichend Erfahrung und Know-how? Um sich einen Eindruck zu verschaffen, ist hier auf jeden Fall ein Vor-Ort-Besuch zu empfehlen. Auch ein relativ kurzfristig angekündigter Termin sollte möglich sein, denn ein guter Dienstleister ist zu jedem Zeitpunkt bereit, Kunden einen Einblick in seine Arbeitsweisen sowie das Rechenzentrum zu geben und Fragen zu beantworten. Auch auf ein Audit sollte er sich nicht erst vorbereiten müssen. Klar definierte Verantwortlichkeiten für alle operativen, vertraglichen und prozessbegleitenden Rollen gemäß der ITIL-Best-Practice sind ein Muss.

Zentral ist auch eine Zertifizierung nach ISO 27001. Dies ist der Nachweis für internationale Security-Standards und bestätigt zudem, dass der MSSP DSGVO-konform mit Kundendaten verfährt. Falls im Unternehmen Compliance- oder andere Vorschriften existieren, nach denen Daten nicht ins Ausland transferiert werden dürfen, sollte der Dienstleister zudem über eigene Rechenzentren in Deutschland verfügen. Nicht zuletzt sind auch Kundenreferenzen und Herstellerpartnerschaften ein Anhaltspunkt, um sich ein klares Bild der Kompetenzen eines Anbieters zu verschaffen.

Leseempfehlung: 5 Tipps, wie Sie IT-Security-Prozesse am besten auslagern von Ulrich Pfister, Head of Consulting, bei indevis.

Managed Security Services einzuführen, ist nicht einfach eine Entscheidung – ein Unternehmen muss dafür auch vorbereitet sein. Wichtig ist, dass Mitarbeiter der IT-Abteilung grundsätzlich Service-affin sind, also finden, dass externe Hilfe eine gute Sache ist. (Leseempfehlung: Self-Check – Sind Sie bereit für MSS?) Dafür ist auch ein neues Rollenbild notwendig. Die IT-Abteilung muss sich heute als proaktiver Business Enabler für die Fachabteilungen und die Geschäftsführung sehen. Sie kümmert sich um die Bereitstellung der digitalen Dienste, die die verschiedenen Abteilungen benötigen, um ihre Aufgaben zu erfüllen und zum Wachstum beizutragen. Da heute so gut wie alle Prozesse im Unternehmen digital ablaufen, ist es daher sinnvoll, abzuwägen, was sich intern stemmen lässt und was besser ausgelagert wird.

Wenn die IT-Abteilung dieses Dienstleister-Verständnis schon verinnerlicht hat, ist sie sich den Vorteilen von externen Services bewusst: Sie entlastet damit ihre Mitarbeiter und gewinnt so mehr Zeit für ihr Kerngeschäft. Anstelle von operativen IT-Security-Aufgaben übernehmen die IT-Mitarbeiter dann die Steuerung des Dienstleisters. Sie sind die Schnittstelle zwischen dem MSSP und dem Unternehmen. Wichtig ist dabei, bereits im Vorfeld klare Verantwortlichkeiten und Kontaktpunkte zu definieren. Denn in Zusammenarbeit mit dem Dienstleister gilt das Prinzip der geteilten Verantwortung: Der Anbieter ist bei der Umsetzung auf einen kompetenten Inhouse-Ansprechpartner und klare interne Strukturen angewiesen. Er braucht einen Kontaktpunkt, der die Unternehmensinfrastruktur genau kennt. Nur so kann er sicherstellen, dass die designten Schutzmaßnahmen auch greifen und er schnell reagieren kann.

Applikationen in die Cloud zu verlagern, ist die Zukunft und trägt zum Unternehmenswachstum und zur Kostensenkung bei, keine Frage. Doch viele Unternehmen vergessen dabei das Thema Sicherheit. Denn Cloud Provider bieten zwar Skalierbarkeit und Flexibilität aber deswegen noch lange kein Rundum-Sorglos Security-Paket. Vielmehr bedeutet eine Migration: Anwendungen werden aus On-Premises-Umgebung gerissen, für die ein über Jahre hinweg ausgeklügeltes Sicherheitskonzept existiert, und stattdessen in eine nur rudimentär abgesicherte Cloud verlagert. IT-Security-Verantwortliche stehen also vor der Herausforderung, Cloud-Umgebungen ähnlich sicher zu gestalten und zu überwachen wie das eigene Rechenzentrum. Das ist leichter gesagt als getan. Wichtige Bereiche, die sie hier berücksichtigen müssen, sind:

Netzwerkzugriff und Zugangskontrolle

Oftmals wird in der Cloud der durchlaufende Datenverkehr nicht überwacht und der Cloud-Zugang nur mit statischen Passwörtern gesichert. Empfehlenswert ist daher, eine eigene Firewall zwischenzuschalten, zusätzliche Access-Control-Funktionen zu implementieren und eine Zwei-Faktor-Authentifizierung einzuführen.

Backup

Zwar sichern auch Cloud-Lösungen Daten – dieses Backup erfüllt jedoch meist nicht die Anforderungen einer Enterprise-Lösung. Wichtig ist hier zudem, sich zu überlegen, ob Daten in der Cloud oder On-Premises gesichert werden sollen. Achtung: Datentransfers aus der Cloud heraus sind meist deutlich teurer als in die Cloud hinein.

Verfügbarkeit

Cloud bedeutet nicht gleich Hochverfügbarkeit. Auch hier gibt es unterschiedliche Level und günstige Einsteigertarife bieten oft nicht die Verfügbarkeitsleistung, die Unternehmen benötigen. Auch bei Updates kann es zu Downtimes kommen. Hier gilt es also, beim Angebot genau hinzusehen.

Compliance

In vielen Unternehmen gibt es Vereinbarungen und Regeln, die es verbieten, Daten in die Cloud zu verlagern oder dies nur unter bestimmten Bedingungen erlauben. Eine wichtige Anforderung ist in diesem Fall eine effektive Ende-zu-Ende-Verschlüsselung. Dank dieser Security-Technologie lassen sich Cloud-Lösungen meist auch bei strengen Compliance-Vorgaben nutzen.

Ein Managed Security Service Provider kennt die Security-Stolperfallen beim Gang in die Cloud und hilft, sie zu umgehen und ein angemessenes Schutzniveau zu etablieren.