Managed Security Services

"Es gibt keine DIN-Norm für Managed Security"

08.06.2018
Von 
Christiane Pütter ist Journalistin aus München.
Seit Jahren reden IT-Security-Anbieter von Managed Security Services, doch die Nachfrage kam nur langsam in die Gänge. Inzwischen hat sich die Ausgangslage geändert: Anwender möchten sich im Zuge der Digitalisierung am liebsten pauschal gegen alle Unwägbarkeiten absichern. Doch das ist gar nicht so einfach, wie eine Diskussion unter Branchenexperten zeigt.

"Ideal wäre ein preislich attraktives Standardprodukt, das dem Kunden trotzdem genug Raum für eigene Bedürfnisse bietet." Diese hohe Ziel setzt Markus Müssig von Microfocus sich und der Branche. Mitte April diskutierte er in den Räumen der COMPUTERWOCHE mit Lutz Feldgen von Computacenter, Holger Hartwig von Capgemini, Alexander Haugk von baramundi software, Thomas Kirsten von RadarServices, Martin Mangold von Drivelock sowie Patrick Schraut von NTT Security und Rüdiger Trost von F-Secure über Managed Security.

Die Fragen beginnen schon mit den Definitionen: Was umfasst IT-Sicherheit? Was sind Managed Security Services und wie lassen sich die Bedürfnisse der Kunden klären? Konsens herrschte in der Einschätzung, dass Anwender schon bei der Ausschreibung Unterstützung brauchen.

Die Lage ist kompliziert, zwei Herausforderungen machen sie nicht übersichtlicher: die seit dem 25. Mai ultimativ wirksame EU-Datenschutzgrundverordnung (DSGVO) und das Internet of Things (IoT). Letzteres führt zu bislang unbekannten Risikoszenarien und die Tatsache, dass hier der Produktionsleiter mitspricht, macht die Ausgangssituation nicht einfacher. Die Punkte im Einzelnen:

Was man nicht kennt, kann man schwer managen

Zu den definitorischen Schwierigkeiten: "Ich habe noch nie Managed Security gesehen, der Begriff ist falsch", sagte NTT-Security-Manager Schraut. Man könne Devices managen, nicht aber Sicherheit. Capgemini-Mann Hartwig stimmte zu. Bei Anbietern wie bei Kunden gebe es vermutlich zehn verschiedene Definitionen.

Informationen zu den Partnerpaketen für die Managed Security-Studie

Wer also Managed Security Services verkaufen will, der muss detailliert mit dem Anwender abklären, was das Unternehmen exakt benötigt. Beratung im Vorfeld und Unterstützung in der Ausschreibung sind immer stärker gefragt - und gestalten sich schwierig: "Auch große Unternehmen wissen oft gar nicht, welche Applikationen sie haben und wie ihre Umgebungen aussehen", beobachtet Haugk (baramundi). Mangold (Drivelock) ergänzt: "Deswegen können so viele Firmen auch nicht beschreiben, was sie brauchen!"

In der Praxis hören die Anbieter dann Fragen wie: "Was kostet es, mich gegen ATP (Advanced Threat Protection) zu schützen?" oder "Wie sind Ihre Stundensätze für First, Second und Third Level Support?" Dem setzt F-Secure-Manager die harte Realität entgegen. Er will von den Anwendern wissen: 'Wie lang brauchen Sie, um festzustellen, dass sie gehackt wurden?' Im Schnitt liege die Frist bei hundert Tagen. "Das muss man reduzieren", sagt Trost.

Die Frage der Organisation

Das Zwischenfazit bringt Feldgen von Computacenter so auf den Punkt: "IT-Security überfordert viele Unternehmen, während die Angriffe gleichzeitig immer ausgefeilter werden und einen höheren Impact haben. Und der Fachkräftemangel kommt noch dazu. Den Firmen fehlt das Know-how." Jedes Unternehmen stehe woanders, die vorhandenen Managed-Security-Services-Angebote passten oft nicht hundertprozentig zum Bedarf. Daher konfiguriere Computacenter Standardservices mit individuellen Leistungen zu einem passenden Gesamtpaket.

Manche Branchen verlassen sich in Sachen Sicherheit allerdings lieber auf sich selbst. Nach Erfahrung der Diskussionsteilnehmer sind es vor allem Banken und große Industriekonzerne, die ein eigenes Security Operation Center (SOC) unterhalten. Die Motive sind vielfältig: Manche betrachten Sicherheit generell als eigene Aufgabe, wie den eigenen Werksschutz nehmen sie auch IT-Security in die Hand. Andere fürchten auch, Vorfälle könnten eher publik werden, wenn die Sicherheit outgesourct ist.

Ein Irrglaube, meint Trost: "Diese Gefahr besteht intern auch!" Müssig (Microfocus) beobachtet: "Je weniger das Business-Wissen digital vorliegt - also im Outsourcing durch Dritte über technische Systeme abgefragt werden kann - umso ineffizienter würden Prioritäts-Analysen im Outsourcing ablaufen." Das spreche dafür, diese Aufgaben intern zu halten.

Die erlebte Praxis sei oft frustrierend, stellt RadarServices-Manager Kirsten fest. Er skizziert zwei typische Kundenunternehmen: Das eine verfügt zwar über einen IT-Sicherheits-Chef, der aber ist hierarchisch unter dem IT-Leiter angesiedelt. Er darf nichts entscheiden und hat "keine Stimme".

Das andere sieht sich als "familiengeführtes Traditionsunternehmen" mit dem Grundsatz, mit Virenscanner und Firewall habe man genug für die IT-Sicherheit getan. In den vergangenen zwei Jahren sei das Sicherheitsbewusstsein aber gestiegen, meint Kirsten. Capgemini-Manager Hartwig ergänzt: "Mancher IT-Leiter ist richtig begeistert, wenn wir mit einer Phishing-Kampagne zeigen, was in dem Unternehmen zu holen ist!"

Zum Thema Managed Security Services führt die COMPUTERWOCHE derzeit eine Multiclient-Studie unter IT-Entscheidern durch. Die Studie soll zeigen, wie deutsche Manager das Thema Managed Security Services in ihren Unternehmen angehen. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, dann hilft Ihnen Frau Regina Herrmann (jschmitz-nellen@idg.de, Telefon: 089 36086 384) gerne weiter. Informationen zur Arbeitsplatz-der-Zukunft-Studie finden Sie auch hier zum Download.

60 Prozent Preis und weitere Kriterien

Müssig appelliert an Unternehmen, die Verantwortung für ein internes SOC beim CIO oder dem CISO (Chief Information Security Officer) aufzuhängen. Dort sollte auch die Steuerung für einen SOC-Dienstleister liegen.

Für die Provider-Auswahl gibt es den Diskutanten zufolge viele Kriterien. Konzerne informieren sich demnach über das Angebot an Managed Security Services und über Möglichkeiten, diese Lösungen in ihre IT-Landschaft zu integrieren. Der Fachkräftemangel ist zu einem zentralen Hindernis geworden. So mancher Kunde will heute wissen, ob der Dienstleister über genug Mitarbeiter verfügt, wie er Personal findet und hält und wo er in fünf Jahren stehen wird. Natürlich spielen die Service Level Agreements (SLAs) bei der Provider-Wahl immer eine Rolle. Und es gibt stets auch diejenigen, die sich stets an ihren Haus- und Hoflieferanten halten, weil sie ihn kennen.

Doch eines ist jedem in der Runde klar: Letztlich entscheidet nicht der CIO oder CISO, sondern der Einkäufer. Und damit stellt sich die Preisfrage. Rund 60 Prozent, so die Einschätzung der Diskussionsteilnehmer, geht dann eben doch über den Preis.

Neue Impulse durch DSGVO und IoT

Wer über Security redet, spricht auch über Datenschutz, Governance und Compliance. Themen, die die EU mit ihrer Datenschutznovelle (Datenschutzgrundverordnung = DSGVO) spätestens ab dem 25. Mai in neuer Weise umgesetzt sehen will. Verstöße sollen dann deutlich härter bestraft werden als heute.

Nicht alle Anwender bereiten sich ausreichend darauf vor, so die Erfahrung der Diskussionsrunde. Während die einen abwarten, welche Folgen die neue Rechtsprechung in der Praxis haben wird, zeigen sich andere angesichts der Höhe der angedrohten Bußgelder besorgt. Wahrscheinlich werde es ab Ende Mai eine Abmahnwelle geben, so die einhellige Meinung der Diskutanten.

Mit diesem Datum steht auch die Frage im Raum, wie Anbieter von Managed Security Services die Entscheider in Sachen DSGVO unterstützen können. Viele Unternehmenslenker verfolgen dabei einen pragmatischen Ansatz: Sie wollen nur nachweisen können, dass sie alles getan haben, um in Sachen Governance, Risk und Compliance "State of the Art" zu sein. Was aber ist State oft he Art und wann liegen Verstöße vor? Nach Ansicht der Diskussionsteilnehmer hat es die EU versäumt, klare Definitionen vorzugeben.

Eine Herausforderung für die Anwender bringt auch der Megatrend mit sich, Maschinen, Anlagen und generell Dinge zu vernetzen. Im Zusammenhang mit dem Industrial Internet of Things (IIoT) differenzierten die Teilnehmer zwischen der klassischen "Office IT" und der "Produktions-IT". Über die Produktion wache der Produktionsleiter - auch wenn jede Menge Sensoren und Connectivity-Produkte im Spiel sind.

Der habe aber traditionell nicht mit IT zu schaffen. "Diese Leute sind graue Eminenzen", so Microfocus-Manager Müssig. "Wenn auch nur das geringste Risiko für ihre Produktionsfähigkeit besteht, kann man sie nur schwer davon überzeugen, im globalen IT-Sicherheitszirkus des Unternehmens mitzuspielen!" Aus der Runde zustimmendes Nicken. Es wird eine Herausforderung sein, diese verschiedenen Welten zusammenzubringen.

Informationen zu den Partnerpaketen für die Managed Security-Studie

Lösung seit 20 Jahren da

Egal, ob Make or Buy - am Ende wird es laut NTT-Security-Manager Schraut in der IT-Sicherheit immer auf drei Punkte ankommen: "Segmentierung, Identity Management, Patch-Management - das predigen wir seit 20 Jahren. 99 Prozent der Angriffe würden scheitern, wenn die Unternehmen das umsetzten!" Klare Worte zum Abschluss, denen die Kollegen nur zustimmen konnten.