Angesichts der wachsenden Bedrohungslage steht Cybersecurity bei Unternehmen quer über alle Branchen hinweg ganz oben auf der Agenda. Laut einer Studie des Infosys Knowledge Instituts (IKI) sehen 83 Prozent der Befragten den Schutz vor Cyber-Attacken als kritisches Thema an. Hier kommen Managed Security Service Provider (MSSP) ins Spiel. Mit ihrer Expertise heben sie das IT-Sicherheitsniveau unternehmensweit und vorausschauend an, um letztlich auch bei unvorhersehbaren Entwicklungen wie der Corona-Pandemie sicher handlungsfähig zu bleiben.
Viele IT-Systemhäuser bieten mittlerweile Managed Security Services an. Ein „waschechter“ MSSP unterscheidet sich jedoch in einigen wichtigen Aspekten. Während klassische Systemhäuser einen Bauchladen an Produkten und Dienstleistungen in verschiedensten IT-Bereichen anbieten, sind MSSPs auf Security Services spezialisiert. Nicht das Produkt steht im Vordergrund, sondern eine Ende-zu-Ende-Lösung.
Der MSSP erbringt den gebuchten Service von der ersten Beratung über den Betrieb bis hin zum Support und zur Weiterentwicklung. Dabei ist er gleichzeitig Lotse und Consultant. Zunächst ermittelt er gemeinsam mit dem Kunden, welche Anforderungen und Ziele dieser hat. Darauf abgestimmt wählt er den besten Weg aus, um diese Ziele zu erreichen. Der MSSP bietet einerseits standardisierte Services, die sich schnell ausrollen lassen und gut skalieren. Gleichzeitig ist er aber auch in der Lage, auf individuelle Kundenbedürfnisse einzugehen und die Standard-Services entsprechend anzupassen. Klassische Systemhäuser bieten diese umfassenden Leistungen und diese Flexibilität in der Regel nicht.
MSS einführen – das gibt es zu beachten
Um Managed Security Services einzuführen, muss ein Unternehmen grundsätzlich Service-affin sein. In vielen IT-Abteilungen erfordert das ein Umdenken. Sie müssen zunächst einmal ihre eigene Rolle neu definieren. Bisher herrschte häufig der Gedanke vor „Wir kümmern uns um die IT und machen alles selbst“. Künftig muss sich die IT-Abteilung vielmehr als Dienstleister für die Fachabteilungen verstehen. Sie hat die wichtige Aufgabe, die nötigen technischen Voraussetzungen für die Digitalisierung zu schaffen.
IT-Abteilungen, die bereits ein Dienstleistungs-Verständnis entwickelt haben, tun sich leichter, Services von externen Partnern in Anspruch zu nehmen. Damit entlasten sie ihre Mitarbeiter und gewinnen mehr Zeit, sich auf das Kerngeschäft zu konzentrieren. Durch die Auslagerung von Security-Prozessen verändert sich aber auch das traditionelle Aufgabenspektrum. Bisherige, operative Tätigkeiten fallen weg.
Stattdessen übernimmt die IT-Abteilung eine eher koordinative, steuernde Rolle. Sie bildet die Schnittstelle zwischen MSSP und den Fachabteilungen. Hier müssen klare Verantwortlichkeiten und Kontaktpunkte definiert werden. Denn auch wenn der Dienstleister Security-Aufgaben eigenverantwortlich übernimmt, braucht er immer noch einen kompetenten Ansprechpartner im Haus.
Bevor ein Security-Prozess ausgelagert werden kann, muss er zudem klar definiert sein. Wichtige Fragen sind unter anderem: Wer ist für was verantwortlich? Wer berichtet an wen und welche Schritte erfolgen nacheinander? Wer kümmert sich zum Beispiel darum, wenn bei einer Firewall eine Policy geändert werden muss? Fehlen bisher klar definierte Abläufe und Rollen, müssen diese zunächst etabliert werden.
Besser vorbereitet auf Krisen und Pandemien
Die Corona-Krise hat gezeigt, wie wichtig ein belastbares Homeoffice-Konzept ist. Viele Unternehmen mussten von heute auf morgen nahezu die gesamte Belegschaft nach Hause schicken. Betriebe, die bereits flexible Arbeitsmodelle etabliert hatten, waren jetzt klar im Vorteil. Denn ihre Mitarbeiter konnten nahtlos aus dem Homeoffice weiterarbeiten.
Andere standen vor großen Herausforderungen: Wie richtet man auf die Schnelle Remote-Zugänge ein, sodass eine große Anzahl von Benutzern gleichzeitig sicher auf das Unternehmensnetzwerk zugreifen kann? Dabei muss gewährleistet sein, dass jeder Mitarbeiter nur Zugang zu den Daten und Applikationen erhält, für die er berechtigt ist.
Ein solches Homeoffice-Konzept im eigenen Rechenzentrum aufzubauen und zu betreiben, ist aufwändig und komplex. Administratoren müssen zum Beispiel unterschiedliche Zugriffsberechtigungen von Hunderten Mitarbeitern aktuell halten. Dazu kommt, dass moderne Homeoffice-Lösungen immer komplexer werden, um fortgeschrittenen Cyber-Attacken die Stirn zu bieten. Meist sind sie teuer in der Anschaffung und nur eingeschränkt skalierbar. Doch gerade Flexibilität ist in einer Krise extrem wichtig. Denn jetzt müssen innerhalb von kürzester Zeit Kapazitäten hochgefahren werden.
Mit einem Managed Security Service für Secure Access können Unternehmen das Homeoffice-Problem schnell und einfach lösen. Der Provider stellt dem Kunden eine clientlose, browserbasierte SSL-VPN-Lösung bereit, über die sich Mitarbeiter von jedem Endgerät aus im Unternehmensnetzwerk anmelden können. Für noch mehr Sicherheit lässt sich das Verfahren um Zwei-Faktor-Authentisierung ergänzen.
Der Provider übernimmt Betrieb, Management und Support der Lösung. Unternehmen müssen selbst kein Know-how aufbauen und zahlen in einer monatlichen Gebühr nur das, was sie auch wirklich brauchen. Bei Bedarf lassen sich die gleichzeitigen Nutzer-Sessions der Secure-Access-Lösung beliebig nach oben skalieren.
Frühzeitig auslagern lohnt sich
Eine ganzheitliche IT-Security-Strategie samt Pandemiekonzept zahlt sich aus. Denn wer für den Ernstfall gut vorbereitet ist, kann seine Geschäftskontinuität auch im Krisenfall aufrechterhalten. Die Security muss dabei hieb- und stichfest sein. Denn Cyberkriminelle nutzen jede Schwachstelle aus. Daher lohnt es sich, frühzeitig einen MSSP an Bord zu holen und in die Planung einzubeziehen. Er kann beratend unterstützen und passgenaue Lösungsvorschläge entwickeln.
Andreas Mayer ist einer der Gründer und für das Business Development bei indevis zuständig.