Die Vorteile des Auslagerns der IT-Sicherheit

Was Unternehmen auslagern sollten und was intern behalten werden sollen

Wenn es um die Auslagerung der IT-Sicherheit von Unternehmen geht, gilt es vorher einige Entscheidungen zu treffen. So ist eine umfassende Prüfung des Risikoprofils einer Organisation, ihrer Risikotoleranz und ihrer aktuellen und zukünftigen Fähigkeit, ihre Cybersicherheitsanforderungen zu erfüllen. Daher muss jede Organisation selbst entscheiden, was sie auslagern und was sie intern behalten sollte.

Ein Unternehmen, das feststellt, dass es bestimmte Sicherheitsaufgaben nicht erledigen kann, weil sein Security-Team nicht die Zeit, die Fähigkeiten oder die Bandbreite hat, um die Aufgabe ordnungsgemäß auszuführen, sollte sich für das Outsourcing der Cybersicherheit entscheiden, so Jeff Pollard, Vice President und Principal Analyst von Forrester Research.

Ebenso sollte ein Unternehmen, dessen Sicherheitsexperten bestimmte Aufgaben nicht übernehmen wollen, weil sie sich auf kritischere Funktionen mit hoher Priorität konzentrieren, diese Aufgaben mit niedriger Priorität auslagern. Falls ein Unternehmen bestimmte Aufgaben nicht vom eigenen Team erledigen lassen möchte, wie etwa die Bewertung von Insider-Bedrohungen, sollte ebenfalls ein MSSP beauftragt werden.

Nach Ansicht von Experten lagern nur wenige Unternehmen ihren gesamten Sicherheitsbetrieb aus. „Die meisten Unternehmen streben eine Mischform an: ein gewisses Maß an Outsourcing und ein gewisses Maß an interner Expertise in bestimmten Bereichen“, so Pollard. Bei hybriden Modellen übernehmen in der Regel interne Sicherheitsverantwortliche, Manager und erfahrene Experten strategische Aufgaben, während MSSPs Aufgaben auf niedrigerer Ebene, wie etwa die Überwachung, übernehmen.

Die Vorteile des Auslagerns der IT-Sicherheit

Die Vorteile, die Managed Security Service Provider bieten können, hängen von jedem einzelnen Szenario ab und davon, wie ein Unternehmen den Vertrag und die Service Level Agreements (SLAs), die es mit dem Anbieter abgeschlossen hat, gestaltet. In der Regel bietet die Inanspruchnahme eines MSSP für Unternehmen jedoch folgende Vorteile:

Niedrigere Kosten. Wie die meisten Anbieter von verwalteten Diensten bieten auch MSSPs Skaleneffekte und sind daher in der Lage, Funktionen zu einem Preis anzubieten, der unter den Kosten für ein eigenes Sicherheitsteam liegt.

Fixe oder annähernd fixe Kosten. Der Wechsel zu einem MSSP kann dazu führen, dass große Teile des Sicherheitsbudgets von den Investitionskosten auf die Betriebskosten umgestellt werden, was für das Unternehmen gewisse buchhalterische Vorteile mit sich bringt und den Budgetierungsprozess berechenbarer macht.

24/7-Abdeckung das ganze Jahr über. Die meisten Unternehmen, vor allem die kleinen und mittleren, können es sich nicht leisten, ein rund um die Uhr besetztes Security Operations Center einzurichten. Aufgrund ihrer Unternehmensgröße können MSSPs jedoch die für einen durchgehenden Betrieb erforderlichen Talente anwerben und sich diese leisten.

Verlässlichkeit und Nachhaltigkeit. Bedingt durch ihre Struktur können MSSPs in der Regel leichter mit Fluktuation umgehen, wohingegen ein Unternehmen mit nur einem internen Sicherheitsteam „unvorbereitet sein kann, wenn ein oder zwei ihrer wichtigsten Mitarbeiter gehen“, so Alan Brill, Senior Managing Director für Cyberrisiken bei Kroll, einem Beratungsunternehmen für Unternehmensuntersuchungen und -risiken.

Schnellerer Pfad zur Ausgereiftheit. „Man kann viele Schritte überspringen, indem man ein Unternehmen einbezieht, das diese bereits optimiert hat", so Rick McElroy, leitender Cybersicherheitsstratege bei VMware Carbon Black.

Erkennung von und Reaktion auf Bedrohungen. Dienstleister können bessere Einblicke in bestehende und neu entstehende Bedrohungen und deren Erkennung und Abwehr bieten. „Dienstanbieter verfügen über größere Datensätze und sollten daher über bessere Informationen verfügen“, so McElroy.

Mehr Erfahrung als ein typisches internes Team. „Ein externes Unternehmen bearbeitet weitaus mehr Warnungen und Verstöße als ein typisches internes Unternehmen, so dass es in der Regel über mehr Erfahrung verfügt“, erklärt Brill. „Und aufgrund dieser Erfahrung kann ein externes Unternehmen in vielen Fällen eine differenziertere Arbeit leisten, um einen Alarm in eine umsetzbare Empfehlung zu verwandeln.“

Breitere Erfahrung. Die Anbieter arbeiten für verschiedene Branchen und Unternehmen unterschiedlicher Größe und verfügen so über einen breiten Erfahrungsschatz, den sie bei der Beratung ihrer Kunden einsetzen können.

Kontinuität. Laut einer aktuellen Studie des Domain-Namen-Registrierungsunternehmens Nominet beträgt die durchschnittliche Amtszeit von CISOs nur 26 Monate. Ein mehrjähriger Vertrag mit einem MSSP kann daher stabile Dienste und Betriebskontinuität bieten, selbst wenn die Führungsspitze eines Unternehmens wechselt.

Frühzeitige Warnungen vor neuen Bedrohungen. „Viele Outsourcing-Unternehmen haben Vereinbarungen mit großen Softwareanbietern“, erklärt Brill. „Wenn also Zero-Day-Exploits und andere Bedrohungen auftauchen, sind sie in der Regel diejenigen, die diese Informationen bereits im Vorfeld erhalten.“

Dokumentierte Einhaltung von Sicherheitsstandards. Anbieter von Cyberversicherungen, Geschäftspartner und sogar Kunden verlangen zunehmend den Nachweis, dass ein Unternehmen bestimmte Compliance-Anforderungen erfüllt und über Cybersicherheitsstandards verfügt. Ein MSSP „ist eher eine bekannte Größe“, so Brill, und kann diesen Dritten oft bestätigen, dass bewährte Verfahren vorhanden sind und eingehalten werden.

Eingehende Kenntnisse der gesetzlichen Anforderungen. Da sie über eine breitere Erfahrung verfügen, bieten viele MSSPs eine fundierte Kenntnis der verschiedenen staatlichen, nationalen und internationalen Vorschriften, einschließlich EU-DSGVO, HIPAA und SOC 2.

Frühere Implementierung von neuen Technologien. Dienstleister haben einen größeren Anreiz, neue Tools und Technologien, einschließlich KI, die das Potenzial haben, bessere Ergebnisse zu liefern, zu erproben und können sich diese leichter leisten, so der Experte für Technologierisiken Rahul Mahna, Managing Director für Managed Security Services beim Wirtschaftsprüfungs- und Beratungsunternehmen EisnerAmper.

Besserer Zugang zu qualifizierten Mitarbeitern. „Oft sind Dienstleister besser in der Lage, Cybersecurity-Talente einzustellen, und sie haben Partnerschaften und können auf Hochschulen und Universitäten zugreifen“, erklärte Coulson. „In Anbetracht des Fachkräftemangels im Bereich der Cybersicherheit kann dies die einzige Möglichkeit für ein Unternehmen sein, die benötigten Talente zu finden.“

Mehr Spezialisten für Cybersicherheit. MSSPs können es sich auch leisten, mehr spezialisierte Talente einzustellen, um für ihre zahlreichen Kunden zu arbeiten, die möglicherweise nicht genug Projekte haben, um die Kosten für Spezialisten in ihrem eigenen Personal zu rechtfertigen.

Mögliche Nachteile der Auslagerung der Cybersicherheit

Obwohl die Beauftragung eines Managed Security Service Provider viele Vorteile für die Unternehmenssicherheit mit sich bringen kann, warnen Experten davor, dass die Auslagerung von Cybersicherheitsdiensten auch Nachteile haben kann. Dies gilt insbesondere dann, wenn die Führungskräfte eines Unternehmens nicht sorgfältig überlegen, was sie auslagern und wie sie die MSSP-Verträge gestalten. Hier einige mögliche Nachteile des Outsourcings von Cybersicherheitsdiensten:

• unzureichendes Verständnis der besonderen Bedürfnisse und der Kultur des Unternehmens. Dies betrifft die Risikotoleranz, die Sicherheitsanforderungen und die Sicherheitsbedürfnisse der Benutzer.
• begrenzte oder gar keine Kosteneinsparungen - nicht das, was man normalerweise bei Outsourcing erwartet;
• hohe Fluktuation der Arbeitnehmer, wenn der externe Anbieter die Vergabe von Aufträgen häufig ändert; und
• ein zu allgemeiner Sicherheitsansatz und zu wenig Anpassung an die individuellen Bedürfnisse des Unternehmens.

Bewährte Verfahren für die Auslagerung der Cybersicherheit

Um die Vorteile zu nutzen und die Nachteile der Beauftragung eines MSSP zu minimieren, raten Experten den Unternehmen zu folgenden Maßnahmen:

1. Gehen Sie bei der Auslagerung der Cybersicherheit gezielt vor, indem Sie die Sicherheitsanforderungen gründlich bewerten und nur das auslagern, was das Unternehmen nicht intern durchführen kann, will oder sollte.
2. Bewerten Sie potenzielle Anbieter und wählen Sie die MSSPs mit der Erfahrung und dem Fachwissen aus, die den spezifischen Anforderungen des Unternehmens entsprechen.
3. Ausarbeitung von SLAs, die auf die besonderen Sicherheitsanforderungen des Unternehmens zugeschnitten sind.
4. Sorgen Sie für Flexibilität, damit der MSSP seine Dienste erweitern und reduzieren kann, um sich an veränderte organisatorische Anforderungen anzupassen.