Managed Services bieten viele Vorteile, allen voran Zugriff auf Experten-Know-how und modernste Technik, Kostenvorteile und Kalkulierbarkeit. Aber dennoch muss vor Vertragsabschluss einiges bedacht werden und nicht für jede Organisation ist dieser Ansatz ideal. Das gilt umso mehr für kritische Bereiche wie die IT-Sicherheit. In diesem Beitrag lesen Sie, für wen sich Managed Security Services eignen und was bei der Provider-Auswahl zu beachten ist.

Was sind Managed Security Services?

Managed Security Services (MSS) sind ausgelagerte Cybersicherheitslösungen, die von spezialisierten Dienstleistern angeboten und betrieben werden. Dazu gehören beispielsweise Lösungen für Schwachstellenmanagenent (Vulnerability Management), Intrusion Detection and Prevention oder Threat Intelligence. MSS-Provider (MSSP) übernehmen Implementierung, Betrieb und Weiterentwicklung der Lösungen und helfen bei der schnellen und gezielten Reaktion auf erkannte Bedrohungen, Schwachstellen und Risiken. Für viele Unternehmen haben sich Managed Security Services als geeignete Lösung erwiesen, um ihre sensiblen Daten, unternehmenskritische Systeme und andere wichtige Ressourcen zu schützen sowie eine proaktive Überwachung und eine bessere Reaktion auf Bedrohungen zu gewährleisten. Dennoch bieten sie natürlich nicht nur Vorteile, sondern auch potenzielle Nachteile, die es abzuwägen gilt.

Vorteile von Managed Services für die IT-Sicherheit

Generell bieten Managed Services Unternehmen die Möglichkeit, IT-Leistungen an Spezialisten auslagern und sich besser auf das eigene Kerngeschäft konzentrieren zu können. Im Bereich Cybersecurity kommen weitere Vorteile hinzu: Durch den Einsatz von MSS können Unternehmen ihre Kosten senken und gleichzeitig eine robuste Verteidigung gegen neue Cyber-Bedrohungen sicherstellen.

Spezielle Expertise

Eines der wichtigsten Themen, wenn es um IT-Sicherheit geht, ist Expertise. Denn weil sich Cyberkriminelle und Security-Anbieter einen ständigen Wettlauf liefern, ändert sich permanent die Bedrohungslage und auch die Technologien und Werkzeuge der Verteidiger entwickeln sich schnell weiter. Die wenigsten Inhouse-Security-Teams sind groß genug, um selbst spezielle Expertise für sämtliche Bereiche und eingesetzten Lösungen aufbauen und aktuell halten zu können.

Beispiel Threat Intelligence und Schwachstellen-Management: Wer sich in der Flut von aktuellen Informationen über Bedrohungen und Sicherheitslücken zurechtfinden will, braucht sehr genaue Vorstellungen darüber, wonach er suchen und wie er die gefundenen Informationen einordnen muss. Sonst können solche Lösungen das Team schnell überfordern oder im schlimmsten Fall in falscher Sicherheit wiegen. Die Anbieter von Managed Security Services verfügen über spezialisierte Experten mit fundiertem Wissen und Erfahrung im Umgang mit den jeweiligen Lösungen.

Proaktiver Ansatz für bessere Cybersicherheit

Die Sicherheit einer Organisation profitiert von Managed Security Services, die eine kontinuierliche Überwachung von IT-Systemen, Netzwerken und Anwendungen mit Echtzeit-Erkennung von Bedrohungen und Schwachstellen beinhalten. Dieser proaktive Ansatz hilft dabei, potenzielle Cyberbedrohungen zu identifizieren und darauf zu reagieren, bevor sie größeren Schaden anrichten können.

MSSPs setzen dabei modernste Sicherheitstechnologien und Werkzeuge sowie bewährte Verfahren ein. Permanente Weiterentwicklung schützt vor neuen Bedrohungen und verringert das Risiko erfolgreicher Angriffe.

Skalierbarkeit, Flexibilität und Kosteneffizienz

Managed Security Services sind in unterschiedlichen Zusammensetzungen und Service Levels verfügbar. Daher können sie leicht den Besonderheiten und sich ändernden Sicherheitsanforderungen einer Organisation angepasst werden – vorteilhaft zum Beispiel für schnell wachsende Organisationen.

Managed Security Services sind häufig kosteneffektiver als ein Inhouse-Betrieb von Security-Lösungen. Denn Unternehmen müssen damit nicht in teure interne Spezialisten, Schulungen oder auch eigene Server-Infrastruktur investieren. Die Ablösung solcher Investitionsausgaben (CapEx) durch genau planbare Betriebsausgaben (OpEx) verbessert zudem die Kostenkontrolle.

Einige Nachteile von Managed Security Services

Trotz dieser Vorteile sind Managed Security Services nicht für jede Organisation die ideale Lösung. Diese potenziellen Nachteile bestimmter MSS sollten Sie beachten:

Abhängigkeit von externen Anbietern und Kontrollverlust

Wer kritische Aufgaben des Sicherheitsmanagements auslagert, macht sich von einem externen Anbieter abhängig. Das wird genau dann zum Problem, wenn dieser Anbieter seine Aufgaben nicht ordnungsgemäß erfüllt. Nutzer von Managed Security Services müssen daher sicherstellen, dass sie ihrem MSSP vertrauen können (mehr dazu weiter unten).

Da der MSSP die Verantwortung für die übernommene Aufgabe trägt, kontrolliert er auch die Details ihrer Durchführung. Damit gibt die beauftragende Organisation die Kontrolle darüber ab, was manchmal als Kontrollverlust wahrgenommen wird.

Verzögerte Reaktionszeiten

Möglicherweise wird durch ineffiziente Prozesse, ungeklärte Zuständigkeiten, mangelhafte Kommunikation oder Überforderung des MSSP die Reaktion auf erkannte Bedrohungen verzögert. Das wäre fatal, kann aber durch gute Planung und Abstimmung verhindert werden.

Schwierigkeiten bei Integration und Anpassung

MSSPs bieten meist standardisierte Sicherheitslösungen an, die möglicherweise nicht perfekt zu den spezifischen Anforderungen einer Organisation passen. Um funktionale Einschränkungen oder zusätzliche Kosten zu vermeiden, muss die Integration im Vorfeld genau geprüft werden.

Überlegungen bei der Entscheidung über Managed Security Services

Wer die genannten Nachteile vermeiden will, muss zunächst entscheiden, ob für seine individuellen Anforderungen Managed Security Services der richtige Ansatz sind. Kann diese Frage bejaht werden, muss der richtige MSSP ausgewählt werden.

Bei der Entscheidung über Managed Security Services sollten Unternehmen insbesondere die folgenden Faktoren sorgfältig bewerten:

1. Risikoabwägung: Entscheidungen, die die Sicherheit betreffen, sollten stets auf Basis einer Risikoabwägung getroffen werden. Diese muss die potenziellen Auswirkungen möglicher Sicherheitsvorfälle ebenso berücksichtigen wie den Aufwand, diese Risiken durch interne oder externe Maßnahmen zu minimieren.
2. Vorhandene Sicherheitsexpertise: Bewerten Sie die intern vorhandene Sicherheitsexpertise Ihrer Organisation. Gerade Unternehmen mit kleinen Security-Teams oder Problemen beim Recruiting (Fachkräftemangel) können von MSS profitieren.
3. Budget und Manpower: Organisationen mit begrenzten Ressourcen finden in Managed Security Services eine kosteneffektive Möglichkeit, die notwendige Sicherheit zu gewährleisten.
4. Compliance-Anforderungen: Besondere Compliance-Anforderungen können die Auswahl geeigneter MSSP erschweren.
5. Skalierbarkeit: Beziehen Sie Ihre Wachstumspläne und Skalierungsanforderungen in die Entscheidung ein. Inhouse-Lösungen müssen von vornherein zukunftssicher dimensioniert werden, während MSS sich jederzeit an steigende Sicherheitsanforderungen anpassen lassen.

Auswahl des richtigen MSS-Providers

Sollen bestimmte Managed Security Services in Anspruch genommen werden, ist der nächste Schritt die Auswahl des passenden MSSP. Um eine fundierte Entscheidung zu treffen, sollten Unternehmen die folgenden Schlüsselfaktoren berücksichtigen:

Kompetenz und Reputation: Entscheiden Sie sich für einen MSSP mit gutem Ruf und nachgewiesener Erfolgsbilanz. Prüfen Sie die vorhandene Kundenbasis, Erfahrungsberichte sowie vorhandene Zertifizierungen des Anbieters, um seine Kompetenz und Zuverlässigkeit einschätzen zu können.

Leistungsangebot: Vergewissern Sie sich, dass das Serviceangebot des MSSP zu den spezifischen Sicherheitsanforderungen Ihres Unternehmens passt – ob er z. B. auch relevante Compliance-Scans für Ihre Branche anbietet, etwa nach PCI DSS, HIPAA oder DORA.

Proaktive 24/7-Überwachung und Threat Intelligence: Ihr MSSP sollte eine kontinuierliche und proaktive Überwachung Ihrer IT-Umgebungen gewährleisten. Beachten Sie, dass Ihre potenzielle Angriffsfläche auch Webanwendungen und andere Assets mit Internetanbindung beinhaltet. Wichtig sind zudem zuverlässige Datenquellen zu aktuellen Bedrohungen (Threat Intelligence), um Angreifern immer einen Schritt voraus zu sein.

Reaktionszeit und SLAs: Eine schnelle und effiziente Reaktion auf potenzielle Bedrohungen ist wichtig, um die Auswirkungen von Sicherheitsvorfällen zu minimieren. Ihr MSSP sollte Ihnen per Service Level Agreement (SLA) eine ausreichend kurze Reaktionszeit und ein angemessenes Service-Level verbindlich zusichern.

Qualifikation und Erfahrung: Beurteilen Sie die Qualität und Erfahrung des Sicherheitsteams Ihres MSSP. Achten Sie auf qualifizierte und zertifizierte Fachleute und erkundigen Sie sich auch nach Schulungs- und Weiterbildungsprogrammen.

Datenschutz und Compliance: Bei Managed Services werden manchmal Datenschutz-Bedenken laut. Spezialisierte Anbieter bieten aber meist sogar ein höheres Datensicherheitsniveau, als inhouse erreichbar wäre. Wichtig ist, dass Ihr Anbieter robuste Prozesse, Datenschutzmaßnahmen und Compliance-Praktiken implementiert hat und dies über einschlägige Zertifizierungen wie ISO/IEC 27001 nachweisen kann – auch für die besonderen Compliance-Anforderungen Ihrer Branche, etwa PCI SCC.

Integration und Reporting: Zu guter Letzt sollten Sie prüfen, wie gut sich die Lösungen des MSSP in Ihre bestehende IT-Infrastruktur integrieren lassen und wie im täglichen Betrieb Überblick und Transparenz gewährleistet werden. Erkundigen Sie sich insbesondere nach den angebotenen Reporting-Möglichkeiten.

Fazit: Managed Security Services sind Vertrauenssache

Bei MSS ist Vertrauen von entscheidender Bedeutung. Die wichtigste vertrauensbildende Maßnahme ist eine offene und transparente Kommunikation: Ihr MSSP sollte bereitwillig Informationen über seine Sicherheitsmaßnahmen und -praktiken sowie über potenzielle Risiken zur Verfügung stellen.

Außerdem benötigen Sie natürlich unabhängige Informationen über die Vertrauenswürdigkeit, Zuverlässigkeit und Servicequalität Ihres Anbieters. Die stammen in erster Linie aus Referenzen und Fallstudien sowie von Zertifizierungen und Audits. Outpost24 genießt das Vertrauen von über 2.500 Kunden in 85 Ländern und verfügt über mehr als 25 Zertifizierungen für verschiedene Leistungen, Prozesse, Branchen und Qualifikationen. Zudem können auf Wunsch Gespräche mit Bestandskunden organisiert werden. Ist erst der richtige MSSP gefunden, können Managed Security Services für viele Unternehmen, insbesondere solche mit begrenzter In-house-Expertise, kleinem IT-Security-Team oder hohen Wachstumsraten, eine effiziente Möglichkeit sein, ihre IT-Sicherheit zu stärken.

Finden Sie heraus, wie Outpost24 Ihrer IT-Sicherheit helfen kann: