Foto: issaro prakalung - shutterstock.com
Schon seit langem ist klar: Cyberkriminalität hat die Welt der Science-Fiction hinter sich gelassen. Privatpersonen, Unternehmen, sogar staatliche Einrichtungen werden mehr und mehr zur Zielscheibe für Angriffe über das Internet. "IT-Sicherheitslage spitzt sich zu", titelt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2022. Die wachsende Bedrohung durch Internetkriminelle spüren auch deutsche Unternehmen: Fast 77 Prozent berichten von einer steigenden Zahl der Cybervorfälle in 2022 gegenüber dem Vorjahr, wie die "Cybersecurity 2022"-Studie von CIO, CSO und COMPUTERWOCHE in Zusammenarbeit mit Arctic Wolf, Damovo und AWS zeigt. Allein im Jahr 2022 werden die Schäden durch Cyberkriminalität einer anderen Studie zufolge auf über 200 Milliarden Euro geschätzt.
Wie können Unternehmen angesichts des stetig wachsenden Risikos mit dieser rasanten Entwicklung Schritt halten? Wie verändert sich die Rolle von Security-Dienstleistern, wenn durch den Fachkräftemangel in den IT-Abteilungen der Firmen das Personal und das technische Know-how fehlt? Dazu diskutierte die COMPUTERWOCHE-Expertenrunde zum Thema Security as a Service (SECaaS).
Größere Akzeptanz und Achtsamkeit im Management
Die gute Nachricht: Die Debatte ist längst mitten in den Unternehmen angekommen, darüber herrscht Konsens. Das liegt nicht zuletzt daran, dass die Sichtbarkeit des Themas stark zugenommen hat. In den vergangenen Jahren gab es immer wieder Berichte auch über namhafte Unternehmen, welche Opfer von Cyberkriminellen geworden waren - darunter Adobe, Sony oder eBay. Doch auch der Dialog der Firmen untereinander schafft ein größeres Bewusstsein für die IT-Sicherheit und sorgt für eine bessere Wahrnehmung, was das eigene Setup angeht.
Wo also vor Jahren noch fehlende Awareness die Diskussionen um notwendige Cybersecurity-Maßnahmen erschwerte, zeigen viele Entscheider mittlerweile oft einen ganzheitlichen Blick auf das Thema. "Im Management stellen wir vermehrt Akzeptanz und Achtsamkeit für das Thema Security fest", erklärt Florian Macher, Teamlead Infrastruktur & Workplace Security von Bechtle. Die Nachfrage nach Security-Services sei in den letzten Jahren massiv gestiegen.
- Mirko Oesterhaus, Consulting4IT
"Heutzutage fragen Unternehmen nicht nur technologisches Know-how ab, sondern auch zunehmend Beratungskompetenz. Vor allem in der Privatwirtschaft gibt es einen starken wirtschaftlichen Anreiz, Unternehmen vor Angriffen zu schützen. Besonders besorgniserregend ist jedoch, dass öffentliche Unternehmen, die für Angriffe gerade in der aktuellen weltpolitischen Lage besonders attraktiv sind, oft noch nicht ausreichend geschützt sind. Dort greifen oft nicht einzelne Personen oder Firmen an, sondern Staaten mit de facto unerschöpflichen Ressourcen. Wenn das die Regel wird, stellt das langfristig die gesamte IT-Security auf den Kopf. Hier besteht die Gefahr, dass die Verantwortlichen das Ausmaß der Bedrohung unterschätzen und zu wenig investieren." - Florian Macher, Bechtle
"Bei der digitalen Transformation geht es nicht nur um IT-Sicherheit, da geht es an die Substanz des gesamten Geschäfts. Das bindet intern enorme Ressourcen. Parallel dazu eine State-of-the-Art-Security-Landschaft aufzubauen und zu betreiben, ist für viele Unternehmen schlicht nicht machbar. Security-Dienstleister bündeln viel Wissen und Erfahrung. Dies versetzt sie in die Lage, ihren Kunden relevante Mehrwerte zu liefern." - Michael Herfordt, DATAGROUP
"Selbst dann, wenn internes Know-how in den IT-Abteilungen vorhanden ist, bleibt Outsourcing sinnvoll: Unternehmen ziehen externe Steuerberater zu Rate, auch wenn das nötige Wissen in der Buchhaltung vorhanden ist. So schaut es auch in der IT-Security aus. Natürlich gibt es auch Unternehmen, die den Betrieb ihrer Security vollständig auslagern. Dienstleister müssen also heute mehr denn je flexibel auf unterschiedlichste Anforderungen reagieren können und Kunden dort abholen, wo sie stehen." - Peter Lehmann, Dell Technologies
"Unternehmen sind mehr und mehr bereit, das Thema Security ganzheitlich zu denken. Allerdings stehen sie dabei häufig vor einem gewaltigen Komplexitätsgrad und merken, dass sie diesen personell gar nicht mehr stemmen können. Für Security-Dienstleister reicht es also nicht mehr, nur die Technologien anzubieten – wir müssen auch das Know-how und die personellen Kapazitäten stellen." - Cornelius Kölbel, NetKnights
"Die Frage, ob Security-Know-how eher intern aufgebaut oder extern eingekauft werden sollte, stellt sich nicht – entscheidend ist das Schaffen von Redundanzen. Es ist für Unternehmen sehr schwer vorauszusehen, wie lange sie internes Know-how halten können. Externe Dienstleister hingegen sind eine dauerhaft planbare Wissensressource. Daher gilt: Know-how extern erweitern, statt das interne abzuschaffen." - Hannes Hahn, Rödl & Partner
"Der Beratungs- und Managementbedarf auf Kundenseite wächst enorm. Wer die Technik nutzen will, braucht die personellen Ressourcen – doch hier fehlt es oft an Budget für die notwendigen Neueinstellungen. Wir Dienstleister können also nicht länger nur die Technik anbieten, sondern müssen auch die erforderlichen Managementkapazitäten zur Verfügung stellen." - Ramon Weil, Secuinfra
"Die Sicherheitsmechanismen, die im analogen Bereich zuverlässig greifen, funktionieren bei Cyberkriminalität häufig nicht. Wenn Kriminelle mit einem Lastwagen in ein Kaufhaus einbrechen und den Laden ausräumen, wäre sofort die Polizei vor Ort. Im Internet passiert so etwas jeden Tag und die Polizei ist gar nicht in der Lage, zu helfen. Daher müssen Unternehmen eine funktionierende Security aufbauen – doch das ist angesichts der technologischen und personellen Anforderungen für viele kaum stemmbar. Moderne Security-Dienstleister agieren in diesen Fällen als privater Sicherheitsdienst im Netz." - Ibrahim Koese, Spike Reply
"Technologie ist zweifellos ein entscheidender Faktor für die Sicherheit von Unternehmen, aber sie allein reicht nicht aus. Es ist ebenso wichtig, Mitarbeiter und Experten zu schulen und zu sensibilisieren. Aber insbesondere, wenn Kunden in die Cloud migrieren, sind sie häufig damit beschäftigt, dass das System überhaupt funktioniert. Die Folge: Die Sicherheit steht hinten an, weil die benötigten Mitarbeiter mit entsprechender Expertise zu stark eingebunden sind oder fehlen. Hier sind IT-Dienstleister gefragt, diese Aufgaben zu übernehmen und zu unterstützen."
Privatwirtschaft weiter als öffentliche Unternehmen
Große Unterschiede dahingehend sehen die Experten jedoch zwischen der Privatwirtschaft und dem öffentlichen Sektor. Während private Unternehmen weitestgehend die Notwendigkeit von Cybersecurity verstanden haben, scheint sich dieses Bewusstsein in staatlichen Einrichtungen noch nicht immer durchgesetzt zu haben. Das stimmt Consulting4IT-Geschäftsführer Mirko Oesterhaus besorgt, schließlich seien besonders angesichts der weltpolitischen Lage öffentliche Unternehmen eine besonders beliebte Zielscheibe. "Dort greifen ja nicht einzelne Personen oder Firmen an, sondern Staaten mit quasi unerschöpflichen Ressourcen", schildert Oesterhaus. Wenn staatliche Attacken die Regel würden, stelle das die ganze IT-Security auf den Kopf.
Neben fehlenden Verantwortlichkeiten und geringerer wirtschaftlicher Dringlichkeiten im öffentlichen Sektor führt die Expertenrunde vor allem die fehlende Flexibilität als Gründe an. Während der Handlungswille in den IT-Abteilungen der Einrichtung teilweise durchaus vorhanden ist, sorgen lange Entscheidungswege und schleppend laufende Ausschreibungen häufig dafür, dass öffentliche Unternehmen sich im Bereich Cybersecurity zu langsam bewegen.
Studie "Security as a Service 2023": Sie können sich noch beteiligen! |
Zum Thema Security as a Service führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idg.de, Telefon: 089 36086 161) und Manuela Rädler (mraedler@idg.de, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie finden Sie auch hier zum Download (PDF). |
Fachkräftemangel erhöht Beratungs- und Managementbedarf
Ein anderes Problem trifft private und öffentliche Unternehmen jedoch gleichermaßen: der Fachkräftemangel. Denn um das zunehmend komplexe Toolset beherrschbar zu machen, benötigen Unternehmen neben zuverlässigen Technologien vor allem ausreichend Personalressourcen in den IT-Abteilungen. Und genau an dem fehlt es häufig.
Aus diesem Grund verändert sich zunehmend die Rolle der Security-as-a-Service-Provider. Kunden fragen längst nicht nur Lösungen an, sondern greifen immer mehr auf das Know-how der Dienstleister zurück, wirft Peter Lehmann, Inside Sales Specialist for Endpoint Security von Dell Technologies, in die Runde: "Kunden stehen vor einem gewaltigen Komplexitätsgrad und merken, dass sie diesen personell gar nicht mehr stemmen können."
Vielen Unternehmen werde bewusst, dass Technologie allein nicht zum gewünschten Ergebnis führt, konstatieren die Experten. Auch die Schulung und Sensibilisierung von Mitarbeitern sowie geeignetes Onboarding neuer Kollegen gehören fest zu einer funktionierenden IT-Security. "Insbesondere, wenn Kunden in die Cloud migrieren, sind sie häufig damit beschäftigt, dass das System überhaupt funktioniert. Die Folge: Die Sicherheit steht hinten an, weil die benötigten Mitarbeiter mit entsprechender Expertise zu stark eingebunden sind oder fehlen", erklärt Ibrahim Koese, Associate Partner von Spike Reply. Daher seien Dienstleister gefordert, diese Aufgaben zu übernehmen und Unterstützung zu leisten.
Auch Hannes Hahn, Consulter & Auditor von Rödl & Partner, sieht wachsenden Beratungs- und Managementbedarf bei den Kunden. Die Budgets für technische Instrumente seien zwar oft vorhanden, für Neueinstellungen jedoch eher nicht. "Wir Dienstleister können nicht länger nur die Technik anbieten, sondern müssen auch die erforderlichen Managementkapazitäten zur Verfügung stellen", erklärt Hahn.
Internes Know-how extern erweitern
Ersetzen SECaaS-Provider also langfristig die Security-Experten in den IT-Abteilungen? Für Cornelius Kölbel, Geschäftsführender Gesellschafter, CEO und Owner von NetKnights stellt sich eine solche Entweder-oder-Frage überhaupt nicht. Vielmehr geht es um das Schaffen von Redundanzen. "Es ist für Unternehmen sehr schwer vorauszusehen, wie lange sie internes Know-how halten können. Externe Dienstleister hingegen sind eine dauerhaft planbare Wissensressource", ergänzt Kölbel. Das Ziel müsse sein, Know-how extern zu erweitern, statt das interne abzuschaffen.
Zustimmung erhält er von Michael Herfordt, Projekt Manager / Senior Consultant von DATAGROUP Business Solutions, der ebenfalls die Vorteile von partiellem Outsourcing sieht. "Unternehmen ziehen externe Steuerberater zu Rate, auch wenn das nötige Wissen in der Buchhaltung vorhanden ist. So schaut es auch in der IT-Security aus", sagt Herfordt. Natürlich gebe es auch Kunden, welche den Betrieb ihrer Security vollständig auslagern würden. SaaS-Anbieter müssten heute mehr denn je flexibel auf unterschiedlichste Anforderungen reagieren können und Kunden dort abholen, wo sie stehen.
Ohne externe Hilfe kaum noch stemmbar
Es genügt also längst nicht mehr, wenn Security-Dienstleister einfach nur gute Technologien zur Verfügung stellen. Beratung, Betrieb und Support sind wesentliche Anforderungen, die sie erfüllen müssen, da Kunden diese häufig nicht mehr selbst vollständig abbilden können. Da drängt sich unweigerlich die Frage auf, ob sich Digitalisierung überhaupt noch ohne Security-Dienstleister bewältigen lässt. Diese Frage beantworten die Experten mit einem klaren Nein.
Ramon Weil, Founder und CEO von SECUINFRA, sieht die Notwendigkeit von Security-Providern schon allein dadurch, dass Behörden im Falle von Cyberkriminalität oft machtlos sind. Wenn Kriminelle mit einem Lastwagen in ein Kaufhaus einbrechen und den Laden ausräumen, wäre sofort die Polizei vor Ort. "Im Internet passiert so etwas jeden Tag und die Polizei ist gar nicht in der Lage, zu helfen", erklärt Weil. Deshalb müssten Unternehmen eine funktionierende Security aufbauen, was angesichts der technologischen und personellen Anforderungen jedoch oft nicht stemmbar wäre. Moderne Security-Dienstleister agieren in diesen Fällen als privater Sicherheitsdienst im Netz.
Bechtle-Experte Florian Macher wirft ein, dass die digitale Transformation die gesamte Substanz des Geschäfts berühre und dadurch bereits viele Ressourcen bündele. Zusätzlich noch eine State-of-the-Art-Sicherheitslandschaft aufzubauen, sei für viele Unternehmen schlicht nicht machbar. Macher ist sich sicher, dass SaaS-Provider auch in Zukunft eine enorm wichtige Rolle für Unternehmen spielen werden: "Security-Dienstleister bündeln Wissen und Erfahrung. Dies versetzt sie in die Lage, ihren Kunden relevante Mehrwerte zu liefern."
Die Notwendigkeit einer leistungsfähigen IT-Sicherheit wird also auch zukünftig dringlicher, die Rolle der Dienstleister umso komplexer. Unternehmen und SaaS-Provider müssen enger zusammenwachsen, um die Herausforderungen im Bereich der Cybersecurity zu meistern.
Informationen zu den Partner-Paketen der Studie 'Security as a Service 2023'