Managed Security Services: Sicherheit einkaufen

Heise IX
01. Oktober 2017

An sich ist jetzt die Zeit, die sich IT-Verantwortliche immer herbeigesehnt haben: Die Geschäftsführung wünscht sich – nicht zuletzt aufgrund von Regelungen wie der nahenden EU-Datenschutz-Grundverordnung oder dem deutschen IT-Sicherheitsgesetz – mehr Fokus auf IT-Sicherheit. Bis dato mussten IT-Leiter meist um Budgets für neue Firewalls, Intrusion-Detection-Systeme oder moderne Antivirenlösungen feilschen. IT-Sicherheit wurde nur als Kostenblock gesehen und galt zudem als Bremser. Jetzt wandelt sie sich (eventuell gerade noch rechtzeitig) zur unabdingbaren Grundlage fürs Geschäft.

[...] Die Lösung für das Ressourcenproblem nennt sich Managed Security Services (siehe Tabelle „Anbieter verschiedener Managed Security Services“). Ähnlich wie beim klassischen Outsourcing von IT-Aufgaben übernimmt ein Dienstleister die zuvor abgesprochenen Aufgaben. Und die können vielfältig sein: Identitäts- und Zugriffskontrolle, Schwachstellenscans, Patch-Management, Management von (Web Application) Firewalls und Antivirenlösungen, Logfile-Analyse/Netzwerk-Monitoring, Incident Response, Penetrationstests (Einbruchtests), E-Mail-Filterung und so weiter (Abbildung 1). Netzwerk-Monitoring beispielsweise liegt im niedrigen vierstelligen Eurobereich pro Monat. Der komplette Betrieb aller IT-Sicherheitskomponenten inklusive Rund-um-die-Uhr-Überwachung kostet je nach Dienstleister 20 000 Euro und aufwärts.

[...] Bevor ein Unternehmen den Umfang der beim Anbieter zu buchenden Services festlegen kann, muss es erst einmal wissen, was es eigentlich zu schützen gilt. Das klingt simpler, als es in jahrelang gewachsenen IT-Umgebungen ist. Zumal IT-Fachleute oftmals gar nicht wissen, welches die kritischen Geschäftsprozesse in den jeweiligen Fachabteilungen sind. Die vor dem Beauftragen des MSS-Providers notwendige Risikoanalyse lässt sich also nur im Zusammenspiel zwischen IT- und Fachabteilungen erstellen.

 IT-Sicherheit  Managed Security Services
Artikel HeiseX "IT-Sicherheit: Managed Security Services: Sicherheit einkaufen"