Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Security-Prozesse einfach outsourcen

Anzeige

 

Cyberangriffe werden häufiger und aggressiver. Security-Experten dagegen sind auf dem Arbeitsmarkt nach wie vor rar gesät. Für IT-Abteilungen wird es daher immer schwieriger, neben dem Alltagsgeschäft auch noch die IT-Security im Blick zu behalten und stetig nachzurüsten. Entlastung kann das Outsourcing von Cybersecurity-Aufgaben schaffen. Dafür sollten jedoch einige Voraussetzungen gegeben sein.

Jedes Jahr verursachen Cyber-Angriffe Schäden in Milliardenhöhe bei deutschen Unternehmen – Tendenz steigend. Die Attacken werden dabei immer vielfältiger und komplexer. Gleiches gilt infolgedessen für die Security Tools, die zur Abwehr eingesetzt werden. Für Unternehmen ohne ausreichend Inhouse-Expertise und Zeit also ein immer größeres Problem. Zudem wird der aktuelle Fachkräftemangel im IT-Security-Bereich auch in absehbarer Zukunft nicht abreißen. Diesen spüren vor allem kleine und mittelständische Unternehmen (KMUs). Denn die begehrten Spezialisten können sich ihren Arbeitgeber aussuchen und entscheiden sich daher oftmals für die großen Player. Dabei werden gerade KMUs zu immer attraktiveren Zielen von Cyberkriminellen – besonders wenn sie zu den „Hidden Champions“ in ihrer Branche zählen.

Nur die wenigsten Unternehmen können die umfangreichen und komplexen Security-Aufgaben heute noch im Alleingang stemmen. Daher erfreuen sich Managed Security Services (MSS) einer immer größeren Beliebtheit. Durch sie können Unternehmen sicher sein, dass sich fähige Experten beim Dienstleister um IT-Security-Prozesse kümmern. Auf diese Weise wird die IT-Abteilung entlastet, sodass sich die internen Experten ganz auf ihr Kerngeschäft und die Bedürfnisse und Anfragen der Fachabteilungen konzentrieren können.

MSSPs haben gegenüber klassischen Systemhäusern Vorteile

Unternehmen können IT-Security-Prozesse vollständig oder in Teilen an Managed Security Service Provider (MSSPs) outsourcen. Im Gegensatz zum üblichen IT-Systemhaus ist ein solcher Anbieter auf IT-Sicherheit spezialisiert: Er verkauft und betreibt Cybersecurity-Produkte nicht nur, sondern entwickelt auf deren Basis auch eigene Ende-zu-Ende-Lösungen. Grundsätzlich unterscheidet man dabei zwischen Cloud-basierten und On-Premises-Lösungen. Cloud-basierte Lösungen bezieht der Kunde über eine hochsichere Public Cloud und der MSSP übernimmt im Hintergrund das ganze Management. On-Premises-Lösungen installiert der MSSP hingegen im Rechenzentrum des Kunden und managt diese per Remote-Zugriff. Beide Möglichkeiten verbessern die Cybersecurity, ohne dass sich der Kunde selbst um Technik, Installation, Betrieb und Support kümmern muss.

Ein beliebter Managed Security Service ist „Secure Access“. Dieser bietet Kunden eine komplett gemanagte browserbasierte SSL-VPN-Lösung, über die Mitarbeiter, Lieferanten und Co. mit verschiedenen Geräten sicher auf das Unternehmensnetzwerk zugreifen können. Der Vorteil: Es muss kein Client installiert werden. Die User melden sich einfach über eine individuelle Webportal-Seite an. Das macht die Anzahl der Sessions ohne Probleme skalierbar. Müssen beispielsweise viele Mitarbeiter schnell ins Home Office, wie jetzt während der Corona-Pandemie, sind sie auch von dort unkompliziert und vor allem sicher im Firmennetzwerk eingeloggt.

IT-Abteilung als Business Enabler

Um Managed Security Services erfolgreich zu integrieren, muss das Unternehmen grundlegend service-affin sein. Dies schließt ein verändertes Rollenbild der IT-Abteilung mit ein. Es gilt, wiederkehrende operative Tätigkeiten nach Möglichkeit zu reduzieren, damit mehr Zeit für strategische Planungen und Überlegungen bleibt. Inhouse-IT-Experten sollten sich als „Business Enabler“ für die Fachabteilungen wahrnehmen. Denn Technologie bildet die Basis für alle Geschäftsprozesse in einem modernen Unternehmen – fehlen passende Lösungen, stehen Prozesse still. Zudem steigt die Wahrscheinlichkeit von Schatten-IT, je länger Fachabteilungen auf benötigte Technologien warten müssen. IT-Abteilungen, die dieses neue Rollenverständnis bereits verinnerlicht haben, können externe Partner leichter einbinden. Nur mit deren Hilfe wiederum gewinnen sie im Tagesgeschäft den notwendigen Freiraum, um Digitalisierung und Innovationen voranzutreiben.

Um Sicherheitsprozesse erfolgreich auszulagern, müssen diese bereits im Vorfeld genau definiert werden: Wer hat welche Rolle? Wer ist für was verantwortlich? Wie ist der Ablauf? Gute Dienstleister beraten ihre Kunden auch in diesem frühen Stadium des Outsourcings, bevor die eigentliche Implementierung startet. Daneben sollte auch ein professionelles Onboarding stattfinden. Dabei geht es darum, die gegenseitigen Erwartungen auszuloten und miteinander in Einklang zu bringen sowie Leistungen und Service Level Agreements zu vereinbaren. Ganz wichtig ist: Der MSSP braucht einen fachkundigen Ansprechpartner beim Kunden, mit dem er eng zusammenarbeitet. Nur so kann er die benötigten Einblicke in Unternehmensstrukturen und -prozesse gewinnen, die er braucht, um ein hohes Schutzniveau zu etablieren. Die IT-Abteilung kann und soll die Zügel also nicht zu 100 Prozent aus der Hand geben, denn es gibt schlicht Entscheidungen, die nur der Kunde selbst treffen kann.

Fazit

Angreifer agieren heute hochprofessionell und für IT-Abteilungen wird es immer schwieriger, ein angemessenes Sicherheitslevel für ihr Unternehmen zu etablieren und zu halten. Managed Security Services werden daher in Zukunft noch wichtiger. Die Auswahl des richtigen Partners ist dabei entscheidend. Ein guter Anbieter steht seinen Kunden bereits im Vorfeld beratend zur Seite und bietet End-to-End-Lösungen an, die exakt auf die individuellen Bedürfnisse zugeschnitten sind. Voraussetzung für ein erfolgreiches Outsourcing von Sicherheitsaufgaben sind Service-Affinität sowie klare Prozesse und Schnittstellen und nicht zuletzt Commitment zum Prinzip der geteilten Verantwortung. Denn umfassende Sicherheit kann nur durch partnerschaftliche Zusammenarbeit erreicht werden.

Andreas-Mayer-min-min 

Foto: Andreas Mayer, Founder & Business Development indevis