Umdenken bei IT-Sicherheit: Nicht alles müssen Banken und Finanzdienstleister inhouse regeln

Europäische Unternehmen setzen immer häufiger auf Managed Security Services Provider (MSSP), um den Herausforderungen der zunehmenden Cyberkriminalität und der steigenden Sicherheitsrisiken im Rahmen der Digitalisierung sowie den erhöhten Compliance-Anforderungen durch die neue EU-Datenschutzgrundverordnung zu begegnen. Dies ist das Ergebnis der aktuellen Studie „Managing Security in the Digital Era“ des Analystenhauses Pierre Audoin Consultants (PAC) in Kooperation mit dem IT-Infrastruktur-Provider Computacenter. Auch Unternehmen der Banken- und Versicherungsbranche können, insbesondere angesichts der Komplexität der aktuellen Sicherheitsthemen von einer partiellen Auslagerung an Dienstleister profitieren. 

Cloud, Mobility und das Internet der Dinge (IoT) sind nicht nur die wichtigsten Treiber der digitalen Transformation, sondern gleichzeitig auch die Hauptursachen für die Sicherheitsbedenken vieler europäischer Unternehmen: Etwa die Hälfte aller Umfrageteilnehmer sehen digitale Transformationsprojekte als eigentliche Bedrohung an. Um den gestiegenen Anforderungen an die IT-Sicherheit trotz Fachkräftemangels gerecht werden zu können, werden immer häufiger Managed Security Services Provider beauftragt.

Managed Security Services bei vielen Unternehmen etabliert

Wie die Untersuchung ergab, nutzt die Mehrheit der europäischen Unternehmen (66 Prozent) für die Umsetzung ihrer Security-Maßnahmen bereits einen Managed Security Services Provider, weitere 24 Prozent planen in MSSP zu investieren. Dabei bleiben die Investitionen in Managed Security Services zumindest konstant oder steigen gar: 92 Prozent der Umfrageteilnehmer gaben an, dass sie weiterhin genauso viel oder mehr investieren werden. Dabei spielt der immer noch hohe Fachkräftemangel eine nicht unerhebliche Rolle, da sich hierdurch administrative Kosten reduzieren lassen.

Die wichtigsten Ziele für die Nutzung von Managed Security Services sind für 69 Prozent aller Befragten Kosteneinsparungen und eine höhere Effizienz beim Thema Sicherheit. Und offenbar unterstellen die Teilnehmer der Umfrage den MSSPs auch, dass sie bereits das Know-how für zukünftige Bedrohungen haben: 31 Prozent der Umfrageteilnehmer planen nämlich, ihre interne IT-Sicherheitsexpertise auszubauen, um sich insbesondere besser gegen neue Bedrohungen und Angriffsmethoden aufzustellen.

 

Die Umfrage zeigt, dass sich Unternehmen aber nur ungern vollständig auf einen MSSP verlassen wollen – und das ist auch richtig so. Um sich gegen die zunehmenden Sicherheitsrisiken gut zu schützen, ist der Auf- und Ausbau der eigenen Expertise in Kombination mit dem Einsatz eines erfahrenen und flexiblen MSSP eine sinnvolle Strategie.“

Jan Müller, Director Security Services bei Computacenter

MSSP: Den Dienstleister als Sparringspartner verstehen

Insgesamt dokumentiert die Studie aber auch, dass Unternehmen und vor allem Banken eher als früher bereit sind, ihre IT-Security nicht oder nicht ausschließlich inhouse zu erledigen. Hier kann man einen Paradigmenwechsel in den letzten Jahren beobachten. Dabei ist es aber in der Tat sinnvoll, zu evaluieren, welche Aufgaben man in der eigenen Obhut behalten will und welche man vernünftigerweise auslagert. Der MSSP sollte hierbei zum Sparringspartner werden, der wertvolle Anhaltspunkte über die Priorisierung von Fachthemen liefern kann.

Bedenken muss man auch, dass sich die Bedürfnisse der einzelnen Abteilungen im Unternehmen unterscheiden: Während die Chefetage und das Board vor allem den Kostenfaktor im Blick haben, geht es der IT-Abteilung eher darum, Zugriff auf Know-how und Technik zu erhalten, die man inhouse nicht bereitstellen kann.

Ein MSSP sollte in diesem Zusammenhang auch modular buchbar sein und auch so gebucht werden: einzelne Services lassen sich herauspicken und kombinieren – überall dort, wo das Unternehmen kein eigenens Know-how aufbauen will oder kann. Auch wenn Kundenunternehmen meist erst einmal nach den klassischen Bedrohungen wie Phishing, Malware oder Ransomware fragen, muss der MSSP die Themen ansprechen, die abgesehen davon ebenfalls wichtig sind. Hier sind Unternehmen gut beraten, dem MSSP Einblick in die Infrastruktur zu gewähren und den Dienstleister nicht als lästigen Verkäufer zu verstehen. tw