Managed Security Services erfahren einen großen Zuspruch. Auf den ersten Blick ist das nicht überraschend, denn der Fachkräftemangel in der Security ist seit Jahren eine enorme Herausforderung im Kampf gegen Cyberattacken und Internetkriminalität.

Doch es ist weniger der Fachkräftemangel, der den Markt für Security Services im DACH-Raum antreibt. Wie die aktuelle Studie "Security as a Service 2023" von COMPUTERWOCHE, CSO und CIO in Zusammenarbeit mit A1 Digital, Trend Micro und Forcepoint ergeben hat, werden IT-Sicherheits-Dienstleistungen in 46 Prozent der Fälle gewählt, um der Komplexität der Security zu begegnen. Dabei achten 37 Prozent der Unternehmen auf einen Firmensitz des Dienstleisters in Deutschland und 33 Prozent auf Vertrauenswürdigkeit.

"Die Studienergebnisse zeigen sehr gut, dass Komplexität und fehlende Transparenz die größten technischen Herausforderungen darstellen. Das Ziel sollte dabei sein, die IT-Security einfacher zu gestalten", erklärt Fabian Glöser, Team Lead Sales Engineering bei Forcepoint. Doch wie erkennt man einen Dienstleister, der gut vereinfachen kann?

Langjährige Partnerschaften sind das Ziel

Wie die Studie aufzeigt, wünschen sich die Unternehmen, denen Vertrauen bei der Auswahl eines Security-Dienstleisters wichtig ist, zu 72 Prozent eine langfristige Partnerschaft. 54 Prozent stufen eine anerkannte Zertifizierung für wichtig ein. Bei 44 Prozent spielt die persönliche Empfehlung von Bekannten, Kollegen oder anderen Unternehmen eine zentrale Rolle, 35 Prozent achten auf soziales Verantwortungsbewusstsein.

Diese Auswahlkriterien sind nachvollziehbar und wichtig, doch sie sagen nur bedingt etwas darüber aus, ob die erbrachten Security-Dienstleistungen wirklich die Cybersicherheit einfacher machen werden und gleichzeitig die komplexen Cyberbedrohungen erkennen und abwehren können.

Man kann davon ausgehen, dass die Partnerschaft mit dem Security-Services-Anbieter nicht von langer Dauer sein wird, wenn die Services dem Auftraggeber das Leben noch schwerer machen. Doch das Ziel, dass die IT-Sicherheitsdienstleistungen die Komplexität reduzieren, muss von Beginn an geklärt sein, um später unliebsame Überraschungen zu vermeiden.

Zur Studie 'Security as a Service 2023' im Aboshop

Ohne Regeln geht es aber nicht

Die Studie "Security as a Service 2023" macht deutlich, wie die Unternehmen im DACH-Raum Security Services zur Vereinfachung einsetzen können. Zuerst müssen die zu schützenden Daten, Prozesse und Systeme ermittelt werden, dann gilt es, den Anbietern der Security Services entsprechende Kriterien in der Anfrage zu nennen. Wer eine einfache Lösung dafür bietet, ist im Rennen.

"Implementierung, Einhaltung und Anpassung der Sicherheitsstandards sind tatsächlich die größten Herausforderungen", erklärt Thomas Snor, Director Security bei A1 Digital. "Nur so können Bedrohungslagen eingeschätzt werden. Erst auf Basis klarer Entscheidungsrichtlinien können Abwehrmaßnahmen ergriffen werden."

Snor kommentiert weiter: "Zwar sehen sich etwa 70 Prozent der Unternehmen gut vorbereitet auf Angriffe. Gleichzeitig sehen sich nur 40 Prozent in der Lage, innerhalb von Minuten nach dem Entdecken eines Angriffs die Situation einzuschätzen und Contingency-Pläne auszuführen. Die anderen 60 Prozent benötigen dafür Tage oder scheitern ganz: Somit existiert kein ganzheitliches Abwehrkonzept."

Bisher verfügt jedes dritte Unternehmen über umfassende und detaillierte Richtlinien für die Auslagerung von IT-Sicherheitsfunktionen. Bei weiteren 41 Prozent sind entsprechende Policies zumindest vorhanden. 16 Prozent planen Richtlinien für das Outsourcing über IT-Sicherheitsdienstleistungen. Sieben Prozent haben keine Richtlinien dafür.

Hier besteht also noch Handlungsbedarf: Auf Basis der Risikoanalyse müssen Richtlinien und Anforderungen für die Security Services definiert werden. Nur dann können diese zum individuellen Schutzbedarf des jeweiligen Unternehmens passen, und nur dann können die IT-Sicherheitsdienste auch vereinfachen und nicht die Security noch zusätzlich komplizierter machen.

Viel Budget für weniger Komplexität

Die Unternehmen im DACH-Raum lassen sich ihren Wunsch nach Vereinfachung der Security auch etwas kosten. Nur ein Fünftel derer, die mit einem Security-Dienstleister zusammenarbeiten, verwenden weniger als zehn Prozent ihres IT-Budgets dafür, die meisten investieren also mindestens jeden zehnten Euro in Security Services. 16 Prozent stecken sogar 30 oder mehr Prozent ihrer IT-Ausgaben in Managed Security Services (MSS).

Dieses Vorgehen erscheint auch vernünftig, denn Investitionen in immer neue Security-Tools würden weder gegen den Fachkräftemangel in der Security noch bei dem Abbau der Komplexität in der Cybersicherheit helfen. Security Services hingegen können beides leisten.

Auf die Wahl der Services kommt es an

Es ist jedoch entscheidend, auch solche Security Services auszuwählen und zu nutzen, die die Cybersicherheit transparenter und überschaubarer machen. Wie die Studie ergab, verwenden 81 Prozent der Unternehmen, die mit einem Security-Dienstleister zusammenarbeiten, Services im Bereich der Risikobewertung. 72 Prozent nutzen die Leistungen eines SOC (Security Operations Center), 71 Prozent arbeiten an den Sicherheitsarchitekturen zusammen mit dem Dienstleister.

Mit der Wahl dieser IT-Sicherheitsdienste liegen die Unternehmen im DACH-Raum mehrheitlich richtig. Die Risikoanalyse selbst ist nicht einfach, hier benötigen viele Unternehmen Unterstützung. Gleichzeitig legt die Risikoanalyse aber die Grundlage für die Vereinfachung, indem auf Basis der erkannten Risiken die passenden Services gebucht werden. Dies können dann SOC-Services sein, um das Operating in der Cybersicherheit zu optimieren, aber auch Verbesserungen an der Architektur der Security, die ein Abbild der Komplexität oder eben der Vereinfachung ist.

Richard Werner, Business Consultant bei Trend Micro, kommentiert die Studienergebnisse in diesem Bereich so: "Nur etwa 14 Prozent der Unternehmen geben an, sie würden ihre internen Ressourcen so durch Service-Partner unterstützen lassen, dass sie eine 24x7-Abdeckung ihres SOCs erreichen. Das 'Gemeine' an Cyberangriffen ist, dass sie in der Regel außerhalb der üblichen Bürozeiten stattfinden. Hat man keine 24x7-Überwachung - wie leider häufig in Deutschland -, so ist man oft erst nach Tagen überhaupt in der Lage, zu reagieren. Sich dann einen Überblick zu verschaffen ist schwierig und aufwendig. Hier unterschätzen viele, was es heißt, sich wirklich gegen Angriffe zu verteidigen.“

Mehrwerte für den Alltag sind Trumpf

Noch etwas offenbart die neue Studie "Security as a Service 2023": Die Unternehmen im DACH-Raum sehen dann den größten Mehrwert in Security Services, wenn sie bei der Alltagstätigkeit eines Unternehmens helfen - das sagen 60 Prozent der Befragten. 58 Prozent erkennen in der proaktiven Benennung erkannter Herausforderungen einen solchen Mehrwert, zum Beispiel durch das Aufspüren von Sicherheitslücken. Weniger gefragt ist die Erweiterung bestehender Security-Funktionen.

Es geht den Unternehmen also nicht um ein ständiges Mehr an Security-Technologie, sondern um eine praktische und alltagstaugliche Cybersicherheit, die bestehende Schwachstellen aufspürt und nicht zusätzliche "Baustellen" aufmacht, um die man sich auch noch kümmern muss.

Fazit: Einfache Security gegen vielfache Bedrohungen

Es zeigt sich: Das bisherige Rennen zwischen Internetkriminellen und Cybersecurity hat zu einer hohen Komplexität auf beiden Seiten geführt. Die Angreifenden suchen immer neue Angriffswege und greifen bei neuen Technologien schnell zu, um diese zu kriminellen Zwecken zu missbrauchen. Die Verteidigung ist im Zugzwang und versucht, möglichst alle Schlupflöcher zu stopfen, die auch durch neue Technologien fortlaufend entstehen. Dabei kommen bislang häufig neue Security-Tools und -Funktionen zum Einsatz, die die Komplexität erhöhen und den Security-Betrieb weiter erschweren - bei gleichzeitig hohem Fachkräftemangel in der Cybersicherheit.

Mit Security Services kann dagegen die Transparenz in der Security-Landschaft und in der Cyberbedrohungslage steigen. Vorhandene Security-Werkzeuge werden genutzt und miteinander verknüpft, ohne ständig neue Tools zu benötigen. Es entstehen integrierte Security-Plattformen, die eine übergreifende Antwort auf die komplexen Cyberbedrohungen erlauben.

Die Managed Services sorgen für den reibungslosen Betrieb der Security-Plattformen und entlasten die internen Sicherheitsexpertinnen und -experten der Unternehmen. Die Security läuft dann für die Unternehmen im Hintergrund und macht den betrieblichen Alltag nicht nur sicherer, sondern auch leichter. Voraussetzung ist aber, dass die Security-Dienstleister den Wunsch nach Einfachheit respektieren sowie umsetzen und nicht fortlaufend neue Lösungen ins Spiel bringen.

Zur Studie 'Security as a Service 2023' im Aboshop

Studiensteckbrief

Herausgeber: CIO, CSO und COMPUTERWOCHE

Studienpartner: A1 Digital (Platin), Trend Micro (Gold), Forcepoint (Silber)

Grundgesamtheit: Oberste (IT-)Verantwortliche in Unternehmen der DACH-Region: Beteiligte an strategischen (IT-)Entscheidungsprozessen im C-Level-Bereich und in den Fachbereichen (LoBs); Entscheidungsbefugte sowie Experten und Expertinnen aus dem IT-(Security-)Bereich

Teilnehmergenerierung: Persönliche E-Mail-Einladung über die exklusive Unternehmensdatenbank von CIO, CSO und COMPUTERWOCHE sowie - zur Erfüllung von Quotenvorgaben - über externe Online-Access-Panels

Gesamtstichprobe: 373 abgeschlossene und qualifizierte Interviews

Untersuchungszeitraum: 23. bis 30. Mai 2023

Methode: Online-Umfrage (CAWI)

Fragebogenentwicklung und Durchführung: Custom Research Team von CIO, CSO und COMPUTERWOCHE in Abstimmung mit den Studienpartnern