Lohnen sich Managed Security Services?

Steigender Bedarf an IT-Sicherheits-Dienstleistungen, hohe Personalkosten und nicht zuletzt die Schwierigkeit, passende Mitarbeiter zu finden, haben bereits um die Jahrtausendwende zur Entstehung erster Angebote im Bereich der Managed Security Services (MSS) geführt. Diese Trends haben sich allesamt verstärkt. Das Aufkommen von Ransomware, die damit einhergehende Zunahme an Angriffen auf KMUs, Gesundheitswesen und Behörden sowie die aktuelle Pandemie haben dafür gesorgt, dass der Bedarf weiter angestiegen ist. Doch genügend gut ausgebildetes Personal zu halten ist ein Luxus, den sich die meisten Firmen nicht leisten können. Und so bleiben meist nur zwei Optionen: Entweder die Geschäftsleitung akzeptiert das Risiko, oder ein Teil der IT-Sicherheit wird ausgelagert.

Marktbeobachtungen und entsprechende Statistiken zeigen, dass immer mehr Unternehmen auf die zweite Option setzen. Aktuelle Studien gehen davon aus, dass der globale Markt für MSS bis 2025 jährlich zwischen 12 bis 15 Prozent zunehmen wird. Die Schweiz bildet hierbei keine Ausnahme. Besonders eindrücklich zeigt sich dies im vom Coronavirus geprägten aktuellen Jahr: Während der ICT-Markt insgesamt wohl schrumpfen wird, dürfte der Bereich der Managed Security Services um 10 Prozent zulegen – so lauten zumindest die aktuellen Einschätzungen der Experten.

Breites Angebot

Ob Outsourcing des Firewall-Managements oder der gesamten Netzwerksicherheit, Managed Endpoint Security Services oder E-Mail-Sicherheit – wer den Betrieb von technischen Sicherheitslösungen auslagern möchte, findet eine Vielzahl an Anbietern. Mit den viel beworbenen Security Operation Centers (SOC-as-a-Service) und der Möglichkeit, auch Themen wie Vulnerability Management, Threat Monitoring und Threat Hunting als Service zu beziehen, finden sich heutzutage auch für analyse­intensive Tätigkeiten MSS-Angebote.

Vermeintliche Vorteile und echter Nutzen

Der Markt ist ziemlich unübersichtlich und die verschiedenen Angebote sind nicht ohne Weiteres vergleichbar. Echten Nutzen von vermeintlichen Vorteilen zu unterscheiden kann sich schwierig gestalten.

Häufigstes Kaufargument ist die Verfügbarkeit von gut ausgebildeten Spezialisten für eine breite Palette an Themen und Technologien. Kaum ein Unternehmen dürfte in der Lage sein, intern ein vergleichbar grosses IT-Security-Team aufbauen zu können. Daneben versprechen MSS-Angebote oft den Ersatz veralteter und schlecht gewarteter Systeme durch moderne Soft- und Hardware, die laufend aktualisiert wird. Allein die Kombination dieser beiden Punkte dürfte in den meisten Fällen zu einer effektiven Steigerung der Sicherheit führen – effektiv messen lässt sich dies aber leider kaum.

Unternehmen, welche derlei Services sinnvoll nutzen möchten, müssen zudem auch ihren Teil an gut funktionierende Schnittstellen und Prozesse beitragen. Wer ein SOC-as-a-Service bezieht, hat üblicherweise nicht das gesamte Incident Management ausgelagert, sondern lediglich die Analyse und allenfalls gewisse (teil)automatisierte Reaktionen. In der Prozesskette finden sich stets Schnittstellen zu Mitarbeitenden des Unternehmens oder anderen Partnern. Sind diese nicht auf­einander abgestimmt, kann sich die Reaktion im Notfall als schwierig herausstellen. Ebenso sinnlos ist es, seine Firewall durch Profis verwalten zu lassen, aber auf ein Regelwerk zu bestehen, welches ein zu hohes Risiko darstellt. Entscheider müssen sich im Klaren darüber sein, worin der Service besteht, den sie beziehen, und welche Komponenten sie zusätzlich benötigen, um eine risikogerechte IT-Sicherheit zu gewährleisten.

Auf der Kostenseite dürfte nicht zuletzt die verbreitete Bevorzugung von Betriebsausgaben (OpEx) gegenüber Investitionsausgaben (CapEx) für die As-a-Service-Angebote der Dienstleister sprechen. Dieser Vorteil zeigt sich besonders dann, wenn auf die Anschaffung teurer moderner Technologie verzichtet werden kann.

Einige Unternehmen sehen auch eine Möglichkeit, interne Compliance-Aufwände zu reduzieren oder zu vermeiden – schliesslich werben die Anbieter damit, den neusten Gesetzgebungen zu entsprechen und über relevante Zertifizierungen zu verfügen. Entsprechende Einsparungen zeigen sich aber oft erst, wenn grosse Teile der IT ausgelagert sind. Im Falle spe­zieller Branchenregulierungen oder Standards, wie zum Beispiel HIPAA oder PCI DSS, kann die Einbindung eines MSS-Anbieters sogar zusätzlichen Aufwand bedeuten.

Den richtigen Anbieter finden

Vor einer Evaluation eines Anbieters müssen klare Anforderungen an die gewünschte Leistung definiert werden. Bei der anschliessenden Bewertung und Auswahl sollten, neben Preis und spezifizierter Leistung, auch das Unternehmen und die Mitarbeitenden dahinter eine Rolle spielen. Ein weltweit tätiges Grossunternehmen mit dezentraler IT wird in vielen Fällen mit grossen internationalen Dienstleistern besser bedient sein oder gar keine andere Möglichkeit haben. Die lokalen Anbieter punkten mit räumlicher, sprachlicher und kultureller Nähe, was nicht nur bei Problemen von Vorteil sein kann. Interessenten sollten sich über die Strategie des Anbieters informieren und mit dessen technischen Spezialisten sprechen. Letzteres dient, ähnlich einem Vorstellungsgespräch, der Einschätzung der Kompetenz und Einstellung. Zufriedene Kunden und die Bereitschaft, das Angebot spezifischen Anforderungen anzupassen, sind zwei weitere wichtige Entscheidungskriterien.

Lohnt sich das?

Wie üblich in der IT-Sicherheit, ist die Kosten-Nutzen-Analyse keine triviale Angelegenheit. Die Aufwände dienen einerseits der Risikoreduktion und vermeiden andererseits Kosten, welche für vergleichbare interne Massnahmen anfallen würden. Beides sollte in eine Beurteilung miteinfliessen. Das Ausmass der Risikoreduktion lässt sich bloss schätzen und ist von Fall zu Fall unterschiedlich. Es empfiehlt sich hierbei, mit Szenarien zu arbeiten. Eingesparte Personalkosten lassen sich mit öffentlich verfügbaren Daten aus Lohnstudien und den firmenspezifischen Lohnnebenkosten vergleichsweise leicht berechnen.

Volkswirtschaftlicher Nutzen

Wir leben in einer Informationsgesellschaft. Wirtschaft, Wissenschaft und das soziale Leben sind geprägt, durchdrungen und in immer höherem Masse abhängig von funktionierender und vertrauenswürdiger Informationstechnologie. Der Fortbestand dieser vernetzten Welt hängt massgeblich davon ab, wie sehr die Gesellschaft auf die korrekte Funktion dieser Systeme vertrauen kann. Datendiebstähle, Manipulationen und Störungen gehören zum neuen Alltag und trotzdem verlassen sich die meisten Menschen weiterhin auf die Sicherheit von Apps, Webseiten, Online-Services und Computerprogrammen. Damit dies so bleibt, braucht es genügend Spezialisten, die sich um eben­diese Sicherheit kümmern.

Die Tatsache, dass ein zunehmender Teil dieser Fachkräfte bei MSS-Anbietern arbeitet, scheint aus gesamtwirtschaftlichen Überlegungen aus zweierlei Gründen durchaus wünschenswert. So kann vom Wissen und den Fähigkeiten dieser Menschen eine grössere Anzahl Unternehmen profitieren, was in der Masse zu einer breiteren und kosteneffizienteren Versorgung mit IT-Sicherheits-Dienstleistungen führt. Für die Anbieter sind die eigenen Mitarbeitenden der Hauptbestandteil des Angebots und das wichtigste Verkaufsargument – dementsprechend viel investieren zukunftsorientierte Firmen in deren Ausbildung und Förderung. Dies, wie auch der tägliche Umgang mit Fachkollegen, führt zu einer qualitativen Verbesserung der Dienstleistungen. Mittel- bis langfristig betrachtet, dürfte diese Dynamik daher einen nicht zu unterschätzenden Anteil dazu beitragen, das Vertrauen in die digitalisierte Wirtschaft aufrechtzuerhalten. Und während sich kaum jemand wünschen wird, dass die Spezialisten in Zukunft nur noch bei Outsourcern arbeiten, so scheint die aktuell zu beobachtende Ausdehnung des MSS-Marktes sich doch für alle zu lohnen.