WrightStudio - stock.adobe.com
So können Managed Security Service Provider Lücken schließen
Unternehmen sehen sich immer komplexen Herausforderungen in Sachen IT-Sicherheit gegenüber. Daher werden häufiger Security-Aufgaben an spezialisierte Dienstleister ausgelagert.
Der SolarWinds-Hack hat uns eine neue Bedrohungsdimension vor Augen geführt. Auf diese oder eine andere Attacke adäquat vorbereitet zu sein, ist für IT-Teams im Unternehmen eine Mammutaufgabe. Deswegen engagieren immer mehr Firmen einen Managed Security Service Provider (MSSP), der die unternehmensinterne IT-Architektur an wichtige Sicherheitsanforderungen anpasst.
Auf diesen Trend gehen nun auch die Hersteller ein und wollen zunehmend mit den Sicherheitsspezialisten zusammenarbeiten. Bisher gibt es jedoch noch ein paar Hürden, die dies erschweren.
Seit Dezember 2020 sorgt der SolarWinds-Hack für Diskussionsstoff unter Sicherheitsexperten. Die gleichnamige Firma bietet Netzwerkmanagement- und Sicherheitssoftware, die zum Verteilen von Schadcode missbraucht wurde.
Cyberkriminelle konnten so in tausende Systeme von US-Firmen und US-Behörden eindringen. Das Ausmaß der Kompromittierung lässt sich seriös nicht abschätzen. Faktisch demonstrieren die Hacker, wie ausgeklügelt sie vorgehen. Denn ihr zweistufiger Angriff über eine Drittpartei trifft letztendlich doch das eigentliche Ziel. Man könnte diese Attacke als die Vorstufe zum ersten großen Cloud-Hack betrachten.
Eine strukturierte Deployment Chain mit Unit-Tests, automatischer Codeanalyse sowie eine strengere Prüfung der Update-Versionen zählen zu den Maßnahmen, die das Manipulieren von Codes für Updates wie bei SolarWinds verhindern können. Auf diese neue Gefahrensituation müssen sich Softwareanbieter und -nutzer einstellen. Unabhängig von der Branche sollte sich jedes Unternehmen bewusst machen, worauf sich eine funktionierende Security stützt: Technik bildet nur zusammen mit Prozessen, Organisation und Schnittstellen sowie der Benutzer-Awareness den nötigen Schutz.
Viele Firmen, und nicht bloß die Mittelständler, überfordert diese immer komplexer werdende Aufgabe jedoch zusehends. Der Fachkräftemangel spitzt die Situation weiter zu. Aus dem Grund verstetigt sich der Trend, Security teilweise oder komplett auszulagern. Fast 80 Prozent der Unternehmen tun das bereits, wie eine Deloitte-Studie zeigt. Managed Security Service Provider (MSSP) schließen die Sicherheitslücke, die ansonsten in der Unternehmens-IT entstehen können und entlasten so die IT-Abteilungen.
Security-Hersteller erweitern ihren Fokus
Managed Security Service (MSS) bedeutet, dass ein spezialisierter Dienstleister führende Security-Produkte verwendet und diese passgenau zu einer Ende-zu-Ende-Lösung für Firmen weiterentwickelt. Dadurch erhöht sich das Schutzniveau entscheidend. Diesen Vorteil erkennen nun auch die Hersteller und stehen immer mehr für einen offenen Dialog mit MSSPs bereit. Mit der Gesprächsbereitschaft signalisieren Hersteller, dass sie umdenken und sich vom alleinigen Fokus auf Produktverkauf und Wartung verabschieden.
„Umfassende Security entsteht erst durch eine partnerschaftliche Zusammenarbeit zwischen der IT-Abteilung und dem MSSP.“
Wolfgang Kurz, indevis
Bisher richtet sich ein Enterprise-Produkt vom Hersteller an IT-Administratoren in Unternehmen, die sich um den Betrieb kümmern. Ein MSSP jedoch bedient das System gemeinsam mit seinem Kunden und bietet Ende-zu-Ende-Lösungen. Dabei kann die Herstelleranwendung im Rechenzentrum des Kunden, in der Cloud oder im MSSP-eigenen Datacenter gehostet werden.
An diese veränderte Nutzungsvoraussetzungen müssen Hersteller ihre Produkte nun technologisch anpassen. Das Neudesignen einer On-Premises-Lösung zu einer modernen MSP-fähigen Plattform, die zudem im vollen Funktionsumfang Cloud-ready ist, kostet jedoch Zeit. Bis zu zwei Jahre erscheint realistisch.
Handlungsbedarf Abrechnung
Als weitere Hürden, die Hersteller und MSSP gemeinsam aus dem Weg räumen sollten, erweisen sich noch sperrige Abrechnungsmodelle. So haben einige Anbieter für ihre Produkte 10er-Pakete aufgelegt. Oft handelt es sich dabei jedoch um ein Annual-Subscription-Modell – mit einer doppelten Konsequenz: Sobald eine Anwenderfirma die Lösung flexibler nutzen möchte, zum Beispiel elfmal, wird es für sie und ihren MSSP teurer und komplizierter.
Abschreckend wirkt auch ein vorgeschriebener Mindestumsatz oder eine Startgebühr. Einfache Pay-per-Use-Modelle und flexible Consumption-Ansätze mit gestaffelten Stückzahlen würden die Zusammenarbeit hier erheblich erleichtern.
Geteilte Verantwortung im flexiblen MSS-Konsummodell
Umfassende Security entsteht erst durch eine partnerschaftliche Zusammenarbeit zwischen der IT-Abteilung und dem MSSP. Hier gilt das Prinzip der geteilten Verantwortung. Denn es gibt immer Entscheidungen, die nur das Unternehmen selbst treffen kann, weil dafür tiefe Kenntnisse der eigenen Umgebung und Prozesse nötig sind.
Für den MSSP-Kunden spielt es keine entscheidende Rolle mehr, welcher Name hinter der Lösung steckt, die sein MSSP vorschlägt, implementiert und betreibt. Interessant machen sich daher aus MSSP-Sicht die Hersteller, die neben überzeugenden Features auch ein flexibles Konsummodell bieten. Am Ende eint Herstellern und MSSP das Interesse, für einen Anwendungsfall ihrer Kunden das angemessene Schutzniveau zu erzielen.
Über den Autor:
Wolfgang Kurz ist CEO und Founder von indevis.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
