IT-Sicherheit hat sich zweifellos zu einem der wichtigsten Themen entwickelt, mit dem sich die IT-Abteilung, CIOs und Geschäftsführer auseinandersetzen müssen. Dennoch scheint in diesem Punkt eine gewisse Naivität in den Chefetagen vorzuherrschen. Anders ist folgendes Ergebnis der Studie "Managed Security Services 2018" nicht zu erklären, die IDG Research Services im Auftrag der COMPUTERWOCHE erstellt hat: Ein Drittel der deutschen Unternehmen schließt aus, dass sie jemals Opfer einer Cyber-Attacke wurden.
Diese Einschätzung erstaunt auch die Experten von Unternehmen, die gemanagte IT-Security-Services anbieten: "Ich hätte eine deutlich geringere Zahl erwartet", sagt beispielsweise Rüdiger Weyrauch, Director Systems Engineering Central and Eastern Europe bei FireEye. "Denn laut dem M-Trend Report von FireEye hat ein Angreifer im Schnitt 101 Tage lang Zugriff auf IT-Systeme oder das Netzwerk eines Unternehmens, bis er entdeckt wird."
Foto: Natali_ Mis - shutterstock.com
Ein Grund dafür, dass sich ein relativ großer Teil der Unternehmen in Sicherheit wiegt, ist das fehlende Wissen und Bewusstsein von Geschäftsleitung und CIOs. "Viele Unternehmen wissen vermutlich gar nicht, dass sie angegriffen wurden", betont Kai Grunwitz, Senior Vice President EMEA beim IT-Sicherheitsspezialisten NTT Security. Daher sei es durchaus denkbar, dass die Zahl der attackierten Unternehmen in Wirklichkeit höher liege. Dazu trägt ein weiterer Faktor bei, ergänzt Sven Schaefer, Business Devleopment Consultant bei der Rackspace Germany GmbH: "Viele behaupten, sie seien noch kein Opfer von Cyber-Angriffen geworden, weil IT-Verantwortliche und Geschäftsführer der Auffassung sind, dass sich solche Attacken unmittelbar bemerkbar machen müssten. Das ist aber nur bei einem Teil der Angriffe der Fall, etwa DDoS-Attacken." Wenn dagegen externe oder interne Angreifer vorsichtig zu Werke gehen, können sie Schaden anrichten, ohne dass dies sofort auffällt.
Die Studie Managed Security Services finden Sie hier in unserem Studienshop
Angriffe wollen Systeme lahmlegen
Positiv ist jedoch aus Sicht der drei Sicherheitsfachleute, dass ein beträchtlicher Teil der Unternehmen in Deutschland die zentrale Rolle von IT-Security erkannt hat. Dazu haben auch verschärfte Datenschutzbestimmungen beigetragen, wie etwa die EU-Datenschutz-Grundverordnung (DSGVO).
Einig sind sich die Experten zudem darin, dass die Auswirkungen von Angriffen auf IT-Systeme und Anwendungen massiver werden. Laut der Studie verzeichnete ein Drittel der deutschen Unternehmen durch solche Attacken ernsthafte Störungen des Geschäftsbetriebs. Eine gefährliche Tendenz ist, dass es den Angreifern nicht mehr alleine um den Diebstahl verwertbarer Informationen geht: "Ein Teil der gezielten Angriffe hat mittlerweile destruktive Ziele", bestätigt Rüdiger Weyrauch von FireEye. "Angreifer wollen Produktionsstraßen herunterfahren oder Kraftwerke lahmlegen. Daher werden für Anwender Themen wie Threat Intelligence und die sofortige Reaktion auf Attacken immer wichtiger, Stichwort Incident Response."
Doch gerade auf diesen Gebieten weisen die IT-Sicherheitsvorkehrungen vieler Firmen und öffentlichen Einrichtungen Lücken auf, so Kai Grunwitz. "Selbst einfache Prozesse werden oft nicht getestet." Er erwartet künftig einen massiven Anstieg von Angriffen auf Industrieanlagen, Flughäfen und vergleichbare Einrichtungen. Das bedeutet, Unternehmen und öffentliche Einrichtungen müssen ihre Anstrengungen erhöhen, damit Hacker nicht den Flugverkehr beeinträchtigen oder Regionen die Stromversorgung "abdrehen". Doch das ist leichter gesagt als getan. Daher, so die Studie, greifen bereits rund zwei Drittel der Unternehmen auf die Unterstützung eines IT-Security-Dienstleisters zurück.
Zum Video: Rettungsanker für IT-Abteilungen
IT-Security-Dienstleister als Rettungsanker
"Wer mit einem Anbieter von Security Services zusammenarbeitet, hat erkannt, dass nicht alleine der Einsatz von Technologien das erforderliche Maß an IT-Sicherheit garantieren kann. Ebenso wichtig sind das Fachwissen und die Erfahrung, über die ein externer Anbieter verfügt. Denn dieses Know-how ist in vielen Unternehmen nur unzureichend vorhanden", führt Sven Schaefer an.
Foto: IDG
Dass es Fachwissen mangelt, ist vor allem auf einen Faktor zurückzuführen: "Generell stehen nicht genügend IT-Sicherheitsfachleute zur Verfügung. NTT Security arbeitet deshalb mit Hochschulen zusammen, um frühzeitig Mitarbeiter zu gewinnen. Anwenderunternehmen tun sich wesentlich schwerer, solche Fachleute zu finden", erläutert Kai Grunwitz. Daher greifen laut Grunwitz immer mehr Unternehmen auf Managed IT-Security-Dienste zurück. Zu den wichtigsten Aufgaben externer Spezialisten zählt laut der Studie die Unterstützung von IT-Abteilungen bei der Auswahl von IT-Sicherheitslösungen: "Nicht nur Angriffe werden komplexer, sondern auch das Angebot an Cybersecurity-Technologien und Lösungen", so Grunwitz. Unternehmen falle es daher immer schwerer, die Übersicht zu behalten und zielgerichtet das erforderliche Know-how in den unterschiedlichen Bereichen der IT-Sicherheit bereitzustellen.
Zum Video: Rettungsanker für IT-Abteilungen
Hinzu kommt, dass die wachsenden Anforderungen in Bezug auf Compliance und Rechtssicherheit die IT-Abteilungen von Unternehmen in vielen Fällen überfordern. Rund 46 Prozent der Unternehmen betrachten die Implementierung von IT-Sicherheitsstandards als größte organisatorische Herausforderung im Rahmen von IT-Security. Für 41 Prozent der Unternehmen ist die kontinuierliche Kontrolle der Einhaltung von Security-Vorgaben mit einem hohen Aufwand verbunden. Um solche Vorschriften zu erfüllen, müssen interne Prozesse analysiert und angepasst werden. Anschließend ist es notwendig, passende Lösungen in Bereichen wie SIEM (Security Information and Event Managent) und Threat Detection zu implementieren. Aber dies erfordert spezielles Wissen, das bei IT-Fachleuten in Unternehmen oft nur in unzureichendem Maß vorhanden ist.
IT-Sicherheitsdienstleistungen rechnen sich
Speziell für CIOs und Business-Entscheider sind nicht nur der Mangel an Fachpersonal und komplexere Angriffsszenarien ein Grund, um Managed Security Services einzusetzen: An die 30 Prozent der befragten IT-Entscheider erhoffen sich Kosteneinsparungen. Es ist nachvollziehbar, dass die Anbieter solcher Dienste diesen Punkt besonders hervorheben: "Der geringere Aufwand für die IT- und Security-Fachleute im eigenen Haus und die niedrigeren Kosten sind wichtige Punkte, die aus Sicht von Unternehmen für gemanagte IT-Sicherheitsservices sprechen", erläutert Rüdiger Weyrauch von FireEye. "Denn wenn ein Anwender nachrechnet, wie viel Geld er für den Aufbau eines eigenen Security Operations Center benötigt, kommt er schnell auf eine beträchtliche Summe."
Foto: IDG
Weyrauch zufolge schlagen IT-Sicherheitsdienste externer Anbieter mit einem Drittel oder Hälfte der Kosten zu Buche, die beim Einsatz interner Fachleute und Security-Lösungen anfallen. Allerdings ergab die Studie, dass ein beträchtlicher Teil der Unternehmen dies anders sieht. Das gilt vor allem für kleinere Unternehmen mit weniger als 500 Mitarbeitern. Denn 45 Prozent nannten die zu hohen Kosten als Grund, weshalb sie auf Managed Security Services verzichten. Dasselbe Argument führt ein Viertel der größeren Firmen an. Eine mögliche Erklärung für diese Haltung ist, dass Unternehmen den Nutzen solcher Dienste unterschätzen, eine andere, dass es an - preisgünstigen - Service-Paketen mangelt, die IT-Security-Dienstleister auf die individuellen Anforderungen von Firmen zuschneiden.
Unternehmen nutzen mehrere Security-Dienstleister
Von den Anwendern, die auf Managed Security setzen, greifen fast 40 Prozent auf die Services von zwei bis drei Anbietern zurück. "Wir gehen davon aus, dass künftig immer mehr Unternehmen mit zwei bis drei IT-Dienstleistern zusammenarbeiten, und zwar sowohl mit Service-Providern als auch Security-Providern", sagt Sven Schaefer von Rackspace. "Denn ein Anbieter alleine kann nicht alle Aspekte abdecken: IT-Sicherheit, Datenschutz und Compliance."
Zum Video: Rettungsanker für IT-Abteilungen
Dass Unternehmen auf mehrere Anbieter von IT-Sicherheitsdienstleistungen zurückgreifen, hat fachliche Gründe: "Nicht jeder Anbieter kann alle Bereiche gleichermaßen abdecken, etwa Identity Management, Threat Intellgence, Threat Detection und E-Mail-Sicherheit. Daher ist es normal, dass Unternehmen häufig mehrere Dienstleister einsetzen", sagt Kai Grunwitz. Hinzu kommt laut Sven Schäfer, dass unterschiedliche Bereiche einer IT- und Geschäftsumgebung geschützt werden müssen: die IT-Infrasturktur, Anwendungen und die Geschäftsarchitektur. Auch Prozesse und die Rolle der Mitarbeiter müssen berücksichtigt werden.
Allerdings arbeiten vor allem mittelständische Unternehmen häufig mit nur einem Dienstleister zusammen. "Das ist meist der Provider, der Server, Netzwerkkomponenten und Storage-Systeme liefert, gleichzeitig aber auch die Absicherung der Infrastruktur übernimmt", so Grunwitz.
Neue Umsatzquellen für unterschiedliche Dienstleister
Ein Teil der Systemhäuser und IT-Dienstleister hat das Umsatzpotenzial erkannt, das gemanagte IT-Security-Dienste bieten, so die Untersuchung. Ein Viertel der Befragten möchte im laufenden Jahr den Umsatz mit IT-Sicherheitsdienstleistungen um zehn Prozent oder mehr steigern. Solche Zuwachsraten seien durchaus realistisch, so Kai Grunwitz von NTT Security. Für Anbieter, die sich auf IT-Sicherheitsdienste spezialisiert haben, ist seiner Einschätzung jedoch ein deutlich höherer Umsaztzuwachs machbar.
Zum Video: Rettungsanker für IT-Abteilungen
Zu einer ähnglichen Einschätzung kommt Rüdiger Weyrauch von FireEye: "Der Großteil von FireEyes Umsatz kommt von unseren IT-Security-Lösungen." Allerdings verzeichne auch der Dienstleistungsbereich des Anbieters ein starkes Wachstum. "Wir sehen daher im Bereich gemanagte IT-Sicherheitsdienste ein großes Wachstumspotential, sowohl für uns als Hersteller als auch für unsere Partner, die unsere Lösungen als Managed Security Services Provider anbieten."
Rackspace als Anbieter von gemanagten Cloud-Diensten wiederum sieht in Cloud-Security ein Marktsegment mit hohen Zuwachsraten - speziell angesichts des Trends zu Multi-Clouds: "Gerade große und mittelständische Firmen wollen mehrere Cloud-Umgebungen nutzen. In diesem Fall ist ein Ansatz erforderlich, der Beratung und Governance umfasst." Denn eine Cloud stellt laut Schaefer besondere Anforderungen in puncto Sicherheit. So müssen Secure-Access-Funktionen integriert werden, also ein Access and Identity Management. "Rackspace als Dienstleister verfügt über das Fachwissen, die Erfahrung und die Experten, um eine sichere Cloud-Umgebung aufzubauen, die auch den Anforderungen von Datenschutz- und Compliance-Regelungen wie der DSGVO genügt."
Führungkräfte müssen IT-Sicherheit ernst nehmen
Doch gleich, welche IT-Security-Dienste ein Unternehmen nutzen möchte, bleibt eine Herausforderung bestehen: Die Entscheidungsträger in einem Unternehmen müssen ein Bewusstsein für IT-Security und die Risiken entwickeln, die der Verlust von Daten und Reputation mit sich bringen kann. Nur dann lässt sich eine unternehmensweite IT-Sicherheitsstrategie wirkungsvoll umsetzen. Wenn die Geschäftführung nicht mitspielt und mit gutem Beispiel vorangeht, helfen auch die besten Managed IT Security Services nicht.
Vorstellung der Studienergebnisse auf der it-sa
Auf der IT-Sicherheitsmesse it-sa stellte die COMPUTERWOCHE ausgewählte Studienergebnisse zusammen mit Kai Grunwitz, Rüdiger Weyrauch und Sven Schaefer vor. Den Videomitschnitt dieser Präsentation können Sie hier sehen:
Zum Video: Rettungsanker für IT-Abteilungen
Die Studie Managed Security Services finden Sie hier in unserem Studienshop
Studiensteckbrief
Herausgeber: COMPUTERWOCHE, CIO, TecChannel und ChannelPartner
Studienpartner:
Gold-Partner: Rackspace Germany GmbH, SECUINFRA GmbH, TREND MICRO Deutschland GmbH
Silber-Partner: FireEye GmbH, NTT Security Germany GmbH
Bronze-Partner: Capgemini Outsourcing Services GmbH, HP Deutschland GmbH, SHE Informationstechnologie AG
Grundgesamtheit: Oberste (IT-)Verantwortliche von Unternehmen in der D-A-CH-Region: strategische (IT-)Entscheider im C-Level-Bereich und den Fachbereichen (LoBs), IT-Entscheider & IT-Spezialisten aus dem IT-Bereich
Teilnehmergenerierung: Stichprobenziehung in der IT-Entscheider-Datenbank von IDG Business Media. Persönliche E-Mail-Einladungen zur Umfrage.
Gesamtstichprobe: 357 abgeschlossene und qualifizierte Interviews
Untersuchungszeitraum: 20. Juni bis 31. Juni 2018
Methode: Online-Umfrage (CAWI)
Fragebogenentwicklung: IDG Research Services in Abstimmung mit den Studienpartnern
Durchführung: IDG Research Services