Managed Security Services (MSS)
Damit der Fachkräftemangel nicht zur Sicherheitslücke wird
IT-Sicherheitsspezialisten sind rar. Wie können Unternehmen verhindern, dass der Mangel die Sicherheit gefährdet? Die Lösung liegt bei einem generellen Trend in der Informatik.
Text: Andreas Heer, Bilder: iStock by Getty Images, erstmals publiziert am 15. Oktober 2018, aktualisiert am 19. Januar 2021.
In der IT-Security klafft eine doppelte Lücke: Einerseits entstehen immer neue Angriffsformen, andererseits fehlen die Security-Fachleute. Die gute Nachricht: Unternehmen sind dieser Situation nicht schutzlos ausgeliefert. Mit Managed Security Services (MSS) können Firmen Teile der IT-Sicherheit an spezialisierte Anbieter auslagern und damit den Fachkräftemangel überbrücken respektive nachhaltig beheben.
Fehlende Spezialisten, steigende Anforderungen
Ein kurzer Rückblick reicht, um zu erklären, weshalb die Anforderungen an die IT-Security steigen: Im Mai 2018 trat die Datenschutzgrundverordnung (DSGVO) der EU in Kraft. Sie betrifft auch Schweizer Unternehmen, die mit EU-Bürgern in EU-Ländern geschäften. Kurz darauf machte Cryptojacking die Runde durch die Webbrowser ahnungsloser Benutzer. Dabei nutzen Cyberkriminelle die Rechenleistung eines Webseitenbesuchers, um Kryptowährungen zu schürfen. Und geradezu ein Dauerbrenner sind Phishing- und Malware-Mails. Zudem erfolgen die Angriffe oft gezielt auf bestimmte Personen und Unternehmen.
Gleichzeitig erhöht die Digitalisierung die Komplexität der Infrastruktur: Welche Daten sind in welcher Cloud, welche auf der lokalen Infrastruktur gespeichert? Und welche zusätzlichen Sicherheitsmassnahmen macht eine solche hybride Infrastruktur notwendig?
Unternehmen sind sensibilisiert
Auswege aus dem Fachkräftemangel sind aus verschiedenen Gründen gefragt. Die Wichtigkeit von IT-Sicherheit ist in der Chefetage angekommen. Denn die Digitalisierung und der Einsatz neuer Technologien schaffen auch neue Angriffsformen. Gleichzeitig professionalisiert sich Cyberkriminalität. Das führt zu einer Zunahme der Angriffe, weil nur erfolgreiche Attacken einzahlen. Diese Tendenzen bilden sich auch in den Budgets der Unternehmen ab: Derzeit fliesst rund ein Achtel der ICT-Ausgaben in die Sicherheit. Gemäss der ICT-Security-Studie haben diese Ausgaben gegenüber dem Vorjahr um rund fünf Prozent zugelegt.
Wichtigstes IT-Security-Thema ist aus Sicht des Business der Schutz der Unternehmensdaten. Für die IT-Abteilungen mit eher technischem Betrachtungswinkel steht der Schutz der ICT-Infrastruktur und der Netzwerke im Vordergrund.
MSS, eine Lösung für alle?
Um fehlendes Know-how auszugleichen, greifen Unternehmen vermehrt auf Managed Security Services zurück. Deren Kerndisziplin ist der Schutz vor Angriffen mittels Firewalls, Intrusion-Detection/Prevention- und Web- und E-Mail Security. Vermehrt gefragt sind zudem Threat-Detection & Response Services, also auch Security-Operations-Center-Dienstleistungen (SOCaaS). Hinzu kommen Business-nahe Dienstleistungen wie Data Leakage Prevention Systeme, Benutzerauthentifizierung und Lösungen für digitale Signaturen.
Mit MSS lassen sich zwar viele Kernbereiche der IT-Security auslagern und fehlende Spezialisten ausgleichen. Damit der Wechsel vom Technologiebetrieb zur Dienstleistung aber gelingt, ist ein Umdenken angesagt. Es muss definiert werden, welche Prozesse und Sicherheitsmassnahmen ausgelagert werden können und wer welche Verantwortlichkeit trägt. Ein Unternehmen braucht also in jedem Fall das Know-how, eigene Sicherheitsrichtlinien zu definieren und auf dieser Basis die Beziehung zum Security-Provider zu managen.
Cyrill Peter über den Fachkräftemangel
Woher kommt eigentlich der Fachkräftemangel bei den IT-Security-Spezialisten?
Cybersecurity ist eines der aktuellen Top-Themen, und die Wichtigkeit nimmt im Kontext der Digitalisierung weiterhin zu. Zudem ist das Thema in den Boards definitiv angekommen, und Unternehmen investieren kräftig in die eigene Security. Auf der anderen Seite ist Security ein Wachstumsgeschäft für Service-Provider. Das führt zu einer sehr hohen Nachfrage nach entsprechenden Spezialisten – sowohl bei den Unternehmen und Behörden wie auch bei den IT-Dienstleistern. Die Nachfrage ist also höher als das momentan vorhandene «Angebot» an Security Fachkräften. Security-Spezialisten können sich somit oft aussuchen, wo sie arbeiten möchten.
Wie können Firmen auf den Fachkräftemangel reagieren?
Wie immer, wenn es um «war for talents» geht, muss man als Unternehmen attraktiv für den Arbeitnehmer sein und entsprechende Perspektiven bieten. Ein Security-Spezialist möchte in der Regel an einem Ort arbeiten, wo er «mitten im Geschehen» ist, also ein interessantes Umfeld antrifft und selber dazulernen kann. Und somit seinen eigenen Marktwert steigert. Zudem sollten Unternehmen bewusst einen Plan entwickeln, wie und wo man die Fachkräfte findet – also zu einem aktiven Sourcing übergehen.
Wie kann ein MSS-Anbieter Unternehmen unterstützen?
Ein MSS-Anbieter kann einem Unternehmen viele Aufgaben abnehmen, die nicht zur Kernkompetenz eines Unternehmens gehören. So zum Beispiel sicherzustellen, dass die Security-Infrastruktur jederzeit aktuell und verfügbar ist. Und entsprechend auf Security-Events und -Incidents zu reagieren. Security ist ein 7x24-Thema. Auch das lässt sich durch einen MSS-Provider elegant lösen. Da der Provider die Security für eine Vielzahl von Kunden betreibt, kann er auch ein Security Operation Center als Dienstleistung rund um die Uhr anbieten, das nonstop mit IT-Security-Spezialisten besetzt ist.
Welche Anforderungen muss ein MSS-Anbieter erfüllen?
Am wichtigsten ist, dass ein Unternehmen Vertrauen in den Anbieter respektive die Menschen dahinter hat. Zudem ist der «track record» sehr wichtig, also die bestehenden Referenzen. Sie stammen idealerweise aus der gleichen Branche. Zudem sollte ein Unternehmen verifizieren, wie breit der Provider mit Fachkräften abgestützt ist. Das gilt sowohl für den Bereich Security Engineering als auch für Security Operations. Kann der Provider mit dieser Mannschaft ein Security Operation Center rund um die Uhr glaubwürdig betreiben? Weiter ist auch die Erfüllung von regulatorischen Anforderungen (zum Beispiel ISO 27011, ISAE 3402/3000 etc.) sehr relevant. Zudem ist es wichtig, mit der sich ständig ändernden Gefahrenlage Schritt zu halten und Antworten zu finden respektive die Security-Dienstleistungen entsprechend schnell zu adaptieren. Dazu gehört etwa, dass die Services auch in einer Public Cloud erbracht werden können.
Welche Rolle spielt bei MSS der Standort Schweiz des Anbieters?
Punkten können Schweizer MSS-Provider mit ihrer Nähe zum Kunden, mit lokalem Service-Management, mit lokaler Threat Intelligence und guter Netzintegration. Zudem mit einem guten Verständnis der heutigen und kommenden regulatorischen Anforderungen in der Schweiz sowie in den unterschiedlichen Branchen. Der Kunde muss die Perspektive haben, dass er mit seinem Schweizer Security-Partner die Digitalisierungsreise machen kann und es für diesen auch absolut strategisch ist. Die Interdisziplinarität ist wichtig. Ich meine damit, dass der Anbieter Themen wie Cloud, Netz, Datacenter, Workplace und natürlich als «Masterpiece» Security kombinieren kann. Zudem hilft es bei der Bewältigung von Sicherheitsvorfällen sehr, wenn man die gleiche Sprachespricht und sich innerhalb derselben Zeitzone befindet.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
