Erhöhte Cybersecurity durch Managed-Security-Services

Für Unternehmen, die Angriffe durch Cyberkriminelle verhindern wollen, führt kein Weg an wirksamer Cybersecurity vorbei – besonders effizient kann dies mit Managed Security Services gelingen. Die Schäden gehen mittlerweile in die Milliarden. So ergab eine Studie von McAfee in Zusammenarbeit mit CSIS (Center for Strategic and International Studies), dass Cyberkriminalität die Weltwirtschaft über eine Billion US-Dollar kostet, was in etwa einem Prozent des weltweiten BIP entspricht. Zwei Drittel der weltweit befragten IT- und Geschäftsentscheider seien demnach im Jahr 2019 mindestens einem Cyberangriff zum Opfer gefallen. Dass sich ein Bewusstsein für Cybersecurity breit macht, spiegeln auch diese Zahlen von IDC wider: In Deutschland wird für 2021 mit Ausgaben bis zu 5,7 Milliarden Euro für Soft- und Hardware sowie Security Services gerechnet – das entspricht einem Wachstum der Ausgaben von 9,3 % im Vergleich zum Vorjahr. Klar ist – Cyber-Security muss auch zur Chefsache werden.

Die Herausforderung dabei: Während die wachsende Komplexität durch die beschleunigte Digitalisierung und neue Herausforderungen ein anspruchsvolles Know-how verlangen, fehlen in den meisten IT-Abteilungen Zeit und Ressourcen, um sich die notwendige Expertise anzueignen. Hier kommen Managed Security Services ins Spiel: Sie unterstützen IT-Abteilungen und erhöhen gleichzeitig Sicherheit und Schutz.

Managed Security Services Provider (MSSP) stellen ihren Kunden ein IT-Sicherheitspaket zur Verfügung. Dieses kann verschiedene Ausprägungen haben und von der Systemeinführung bis hin zur kompletten Kontrolle sämtlicher Cybersecurity Services reichen. Auch die Entscheidung inwieweit die Verantwortung zwischen MSSP und dem Unternehmen aufgeteilt ist, liegt beim Auftraggeber.

So beinhaltet ein Basis-Service-Modell den Support und die Betriebsunterstützung der Security-Infrastruktur. Dabei wird der Kunde bei der Implementierung und Inbetriebnahme der gewünschten Komponenten unterstützt und erhält auf Wunsch den entsprechenden Service dazu. Die vollkommene Betriebsverantwortung liegt weiterhin beim Kunden.

Ab einer Ebene höher spricht man typischerweise von Managed Security Services (MSS). Hier wird zusätzlich der Betrieb der Security-Infrastruktur je nach Wunsch gesamt oder teilweise vom Provider übernommen. Die erforderlichen Software-Lizenzen werden durch den Kunden erworben und die eingesetzte Software verbleibt in seinem Besitz. Die Verantwortung liegt immer noch beim Kunden, sodass dieser die komplette Kontrolle behält.

Die höchste Stufe ist das allumfassende Security-as-a-Service-Modell (SaaS). Der Provider liefert dabei alle Cyber-Security-Dienste, meist direkt aus der Cloud und trägt die Betriebsverantwortung für die erbrachten Dienste. Für die jeweils benötigte Software hält der Provider die Lizenzen und der Kunde kann ganz nach Bedarf Software über die Lizenz des Providers nutzen. Anbieter wie beispielsweise Axians bieten vielfältige As-a-Service-Optionen an, dazu gehören unter anderem: Security Operations Center (SOC), Security Information and Event Management (SIEM), Secure E-Mail, Threat Intelligence, Scan und Monitoring.

Grundsätzlicher Anspruch eines jeden Service-Paketes ist der Support. Ab der Ebene eines Managed Security Services wird zunächst in einem Service Level Agreement (SLA) festgelegt, wie schnell der Provider auf Anfragen, Changes und Vorfälle reagieren muss. Die höchste Stufe wäre ein 24-Stunden-Support mit möglichst geringer Reaktionszeit, der durch eine Rufbereitschaft seitens des Providers gewährleistet ist. Generell erhalten die Kunden Verwundbarkeitsinfos über mögliche Gefahren oder Risiken, die seitens Computer Emergency Response Teams (CERT) oder des Herstellers eingehen.

Darüber hinaus beinhaltet der Service eine regelmäßige manuelle Wartung des Systems, in der beispielsweise Systemlogs, die Gültigkeit von Zertifikaten sowie das Antwortverhalten des Systems überprüft werden. Auch regelmäßige Updates und Backups sind mit inbegriffen, um Sicherheitslücken vorzubeugen. Um solche zu erkennen, sollte ein MSSP kontinuierliche, automatisierte Scans durchführen, sodass Bedrohungen möglichst schnell identifiziert und die nötigen Schritte eingeleitet werden können.

Außerdem werden sämtliche Aktionen in einem Logbuch dokumentiert, sodass dem Kunden turnusmäßig eine gesamte Systemdokumentation für mögliche Audits zur Verfügung steht. Des Weiteren wird ein regelmäßiger Monitoring-Report erstellt, der über Last und Verfügbarkeit des Systems informiert. Darin enthalten sind auch die manuelle Wartung sowie aktuelle Tickets, die Reaktionszeiten, in denen Tickets bearbeitet wurden und Incidents des Kunden.

Abgerundet wird der Service durch regelmäßige Meetings, die je nach Bedarf und Kundenwunsch quartalsweise oder jährlich stattfinden. Dort wird der aktuelle Status besprochen, der LifeCycle betrachtet und weitere Handlungsschritte definiert.

Bei der Wahl des am besten geeigneten MSSP müssen sich Unternehmen für einen aus zahlreichen Dienstleistern entscheiden. Hier spielt nicht zuletzt das Bauchgefühl eine große Rolle, denn Cybersecurity ist auch eine Sache des Vertrauens. Dieses entsteht meistens dadurch, dass sich ein Provider zunächst als Projekt- und Supportkontakt unter Beweis stellt und dann nach und nach auf Wunsch des Kunden mehr Services, Befugnisse und Verantwortung übernimmt. Unternehmen können sich ebenso an Zertifizierungen wie ISO 9001 und ISO 27001, an Hersteller-Partnerschaften, Referenzen von Kunden sowie an Reports orientieren.

Prinzipiell sollte ein Dienstleister individuell auf Kundenwünsche eingehen können und unterschiedliche SLAs anbieten, die zur Situation und den Bedürfnissen des Kunden passen. Abgesehen davon ist es wichtig, einen direkten Ansprechpartner zu haben, der die Kundenanforderungen kennt und schnell helfen kann.

Hat sich ein Unternehmen für einen Provider entschieden, beginnt die Dienstleistung mit einem Onboarding-Prozess. Hierfür wird in einem ersten Kick-Off-Meeting der aktuelle Status analysiert und daraufhin gemeinsame Ziele abgeleitet. Bereits umgesetzte Best Practices setzen hierbei den Standard. Im nächsten Schritt richtet der MSSP einen gesicherten Site2Site-VPN-Zugang ein, der ihm ermöglicht remote Monitoring und Wartungsprozesse zu steuern und erstellt eine Dokumentation der zu managenden Systeme. Darüber hinaus müssen zwischen dem Dienstleister und Kunden klare Zuständigkeiten und Kommunikationsabläufe definiert werden, sodass alle zuständigen Mitarbeiter auf dem gleichen Stand sind. Letztendlich beginnen mit diesem Schritt die gängigen Service-Abläufe und damit auch ein neuer erhöhter Qualitätsstandard der Cybersecurity.