Das Bewusstsein für IT-Sicherheit lässt zu wünschen übrig

Entspannung an der IT-Sicherheitsfront ist auf absehbare Zeit nicht in Sicht. Darin waren sich alle IT-Sicherheitsexperten einig, die sich auf Einladung der COMPUTERWOCHE zu einer Diskussionsrunde zum Thema "Managed Security Services" trafen. Im Gegenteil: Die Angriffsfläche wird größer. Dazu tragen mehrere Faktoren bei, etwa die Digitalisierung von Geschäftsprozessen oder die Vernetzung von Systemen in Handel, Logistik und der Industrie.

"Unternehmen, aber auch öffentliche Einrichtungen, sehen sich mit einer stark veränderten Bedrohungslage konfrontiert", bestätigt Markus Draeger, Senior Consultant Security Strategy bei Fujitsu. So rücken nicht nur IT-Systeme, sondern auch OT-Komponenten (Operational Technology) in den Fokus. OT-Systeme kommen beispielsweise in Kraftwerken und Produktionsumgebungen zum Einsatz. "Zudem haben sich neue Angriffsformen entwickelt, beispielsweise mithilfe von Ransomware", sagt Draeger.

Informationen zu den Partnerpaketen für die Managed Security-Studie

Hinzu kommt ein weiterer Faktor: Sicherheitslecks und der Verlust geschäftskritischer Daten durch Hacker-Angriffe sind seit dem 25. Mai 2018 in besonderem Maße heikel. Denn ab diesem Tag greifen die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO). Diese sieht verschärfte Datenschutzvorgaben für Unternehmen vor, in Verbindung mit härteren Sanktionen bei Verstößen.

Beide Entwicklungen stellen Unternehmen vor etliche Herausforderungen, vor allem kleinere Firmen, die sich keine umfangreichen IT-Abteilungen leisten können: "Speziell für kleine und mittelständische Unternehmen ist es schwierig, die Sicherheit von immer komplexeren IT-Infrastrukturen zu gewährleisten", sagt Peter Neumeier, Head of Channel Sales Germany beim IT-Security-Spezialisten Kaspersky.

Sicherheit in die Hände von Spezialisten legen

Eine Möglichkeit, aus diesem Dilemma herauszukommen, besteht darin, einen gemanagten IT-Sicherheitsdienst zu buchen. "Es gibt mehrere Optionen, um einen gemanagten IT-Security-Service zu implementieren", erläutert Reza Ghafouri, Vertriebsleiter Süd bei der Axians IT Security GmbH. "Eine besteht darin, die Sicherheitssysteme im Data Center des Kunden zu implementieren und deren Betrieb einem Managed Security Services Provider (MSSP) zu übergeben." Diese Variante kommt für Nutzer in Betracht, die weiterhin die Kontrolle über IT-Sicherheitslösungen behalten möchten.

Alternativ dazu können Unternehmen ihre Sicherheitsinfrastruktur in ein Data Center des MSSP verlagern oder Systeme nutzen, die der MSSP selbst bereitstellt. In diesen Fällen ist der Service-Provider dafür verantwortlich, dass die Infrastruktur "funktioniert". Das heißt, er ist auch für Disaster-Recovery-Maßnahmen und die Ausfallsicherheit der Sicherheitssysteme zuständig. Speziell Großunternehmen greifen zudem auf gemanagte Security Services aus der Cloud zurück. Diese stehen auf Cloud-Plattformen wie Amazon Web Services, Microsoft Azure oder die Google Cloud Platform zur Verfügung. Auch die Betreuung solcher Security-Lösungen kann einem Service-Provider übertragen werden.

Hilfestellung für die eigene IT-Abteilung

Es ist nicht verwunderlich, dass Anbieter von Managed Security Services die positiven Seiten solcher Dienste in den Vordergrund stellen. "Ein Vorteil eines gemanagten IT-Sicherheitsdienstes ist, dass sich dessen Erfolg messen lässt", betont beispielsweise Christian Hofstadt, Business Strategy Manager bei PlusServer. Die Basis für diese Leistungsmessung bilden Service Level Agreements, die der Anbieter mit dem Nutzer schließt. Ein weiterer Pluspunkt eines Managed Services Providers sei das spezielle Know-how, so Sven Schaefer, Business Development Consultant beim Hosting-Unternehmen Rackspace. Ein MSSP könne daher die Bedeutung sicherheitsrelevanter Vorkommnisse ("Events") besser einschätzen als die IT-Abteilung eines Unternehmens.

Vor allem dann, wenn Hacker komplexe Angriffe auf ein Unternehmensnetz starten, ist die Expertise von externen Sicherheitsfachleuten gefragt, so die Teilnehmer der Expertenrunde. Zu den Kernaufgaben eines Anbieters von Managed Security Services zählt es denn auch, solche Angriffe frühzeitig zu identifizieren und zu stoppen. Doch nicht allein dieser reaktive Ansatz ist gefragt. Vielmehr gelte es, proaktiv zu handeln und künftige Angriffe zu unterbinden, so Schaefer.

Damit das klappt, kann ein MSSP Arbeiten übernehmen, für die IT-Abteilungen von Unternehmen oft zu wenig Zeit haben. Dazu zählt die Analyse der IT-Infrastruktur und der Datenbestände. Denn in der Praxis kommt es immer wieder vor, dass ein Unternehmen nicht weiß, welche geschäftskritischen Daten überhaupt vorhanden sind und auf welchen Systemen diese gespeichert wurden. Das erleichtert Hackern die Arbeit und stellt zudem vor dem Hintergrund der DSGVO ein Risiko dar.

SIEM ja - aber richtig!

Auch beim Einsatz von Techniken wie SIEM (Security Information and Event Management) können externe Fachleute Hilfestellung geben. "Wir stellen häufig fest, dass der Einsatz von SIEM-Lösungen in vielen Unternehmen nicht den erhofften Nutzen bringt", sagt Lars Kroll, Cyber Security Strategist bei Symantec. Ein Grund dafür sei der zu geringe Reifegrad solcher Ansätze und der nötigen Prozesse.

Hinzu kommt, dass SIEM nur dann funktioniert, wenn Unternehmen das entsprechende Fachpersonal für das Monitoring bereitstellen. Und solche IT-Experten sind in Zeiten des Fachkräftemangels schwer zu finden. "Teilweise sind Unternehmen nicht einmal in der Lage, SIEM-Systeme und Monitoring-Lösungen zu installieren und zu betreiben", ergänzt Reza Ghafouri von Axians.

Einen Ausweg bietet das Outsourcing von SIEM und der Analyse von Log-Files an einen Service-Provider. Er übernimmt die Auswertung dieser Daten und prüft, welche Auswirkungen Sicherheitslücken auf den Geschäftsbetrieb haben können. Wichtig ist, dass ein MSSP die IT-Security-Lösungen aller relevanten Anbieter kennt und deren Informationen auswerten kann. Denn nach den Erfahrungen von Symantec werden zwei Drittel aller kritischen Vorkommnisse erst durch die Korrelation der Daten mehrerer solcher Lösungen transparent, sagt Symantec-Manager Kroll.

IT-Sicherheit als Prozess betrachten

Eine Fehleinschätzung, auf die Mitarbeiter von MSSPs häufig treffen: Anwender reduzieren IT-Sicherheit auf den Einsatz von Firewalls, Antivirensoftware und Intrusion-Prevention-Systemen. Das ist zu kurz gedacht, so Mark Hartmann, Product Manager Device & Application Control and AI bei Drivelock: "Auch Prozesse sollten unter dem Aspekt IT-Security analysiert und optimiert werden. Bei diesen Aufgaben können Anbieter von Managed IT-Security Services Hilfestellung geben und die IT-Abteilung eines Unternehmens entlasten."

Das bedeutet nach Einschätzung der Teilnehmer des Round Table, dass ein Service-Provider die IT-Systeme, Applikationen und Abläufe von Nutzern regelmäßig analysiert und optimiert. Idealerweise stehen den IT-Abteilungen eines Unternehmens dabei stets die gleichen Ansprechpartner des Providers zur Verfügung. Das schafft Vertrauen und vereinfacht Abstimmungsprozesse. Ein solches Vertrauensverhältnis ist auch deshalb wichtig, weil der Kunde dem MSSP sensible Informationen zur Verfügung stellt, etwa über die Cloud-Strategie des Unternehmens und Details zur IT-Umgebung und zu Digitalisierungsvorhaben.

Nicht nur der Service-Provider hat den Hut auf

Einig waren sich die IT-Sicherheitsexperten in einem weiteren Punkt: Die Verantwortung für die Risiken, die mit der Nutzung von IT-Systemen verbunden sind, darf nicht allein Security-Unternehmen und MSSPs zugeschoben werden. Auch die IT-Abteilung, die Geschäftsführung und nicht zuletzt die Mitarbeiter, also die User, müssen ihre Hausaufgaben machen. "IT-Sicherheit steht und fällt mit den Mitarbeitern", betont Peter Neumeier von Kaspersky. Wichtig sei, dass ein Bewusstsein für IT-Sicherheitsrisiken geschaffen wird.

Generell treffe man bei vielen Unternehmen die Haltung an, man sei für Hacker uninteressant und werde daher kein Opfer von Cyber-Attacken - ein Trugschluss, wie die Experten unisono feststellten. "Bislang ist es leider so, dass viele Anwender erst dann ein Bewusstsein für IT-Sicherheitsfragen entwickeln, wenn bereits Schäden durch Angriffe von Hackern oder Insidern entstanden sind", stellt Hartmann von Drivelock fest. Solche Attacken müssten "richtig wehtun", damit Unternehmen ihre passive Haltung aufgäben.

Den Mitarbeitern müsse ein verantwortungsvoller Umgang mit IT-Systemen und Applikationen nahegebracht werden, fordert auch Fujitsu-Manager Draeger. "Dabei kann ein Anbieter von Managed Security Services Hilfestellung geben, etwa in Form von Beratung und Schulungen."

Informationen zu den Partnerpaketen für die Managed Security-Studie

Services für Mittelständler entwickeln

Insgesamt, so die Expertenrunde, steigt bei deutschen Unternehmen das Interesse an Managed Security Services. Damit sich solche Dienste zu einem Erfolgsmodell entwickeln, müssen jedoch die Anbieter ihre Produkte noch besser auf potenzielle Kunden abstimmen. Und dies sind in Deutschland zu einem großen Teil mittelständische Firmen. Managed Security Services Provider sollten sich daher nicht zu stark auf Großunternehmen konzentrieren, sondern auch preisgünstige Angebote für kleinere Firmen entwickeln.

Ein weiterer Knackpunkt ist das Misstrauen gegenüber dem Auslagern von IT-Sicherheitsaufgaben an einen Provider. Ein Grund dafür ist die Furcht, die Kontrolle über die eigene IT-Umgebung zu verlieren, so die Experten. Hinzu kommt, dass etliche Unternehmen bereits negative Erfahrungen mit dem Outsourcing von anderen IT-Diensten gemacht haben.

Managed Security Services Provider müssen somit nicht nur in technischer Hinsicht fit sein. Eine weitere wichtige Aufgabe besteht darin, sich gegenüber Unternehmen als zuverlässige und vertrauenswürdige Partner zu erweisen - nicht als Outsourcing-Spezialisten, die einen schnellen Euro machen wollen.