Fachkräftemangel, Komplexität und regulatorische Anforderungen: Deswegen werden Leistungen der operativen Informationssicherheit ausgelagert. Die Veränderungen des Lagebildes über die letzten Jahre konfrontiert Organisationen mit neuen Risiken.
Da sich das Cybersecurity-Lagebild stets verändert, müssen Organsiationen ihre Strategien laufend neu bewerten.
Grundsätzlich kann der Einsatz von Managed Security Service Providern (MSSP) Organisationen dabei unterstützen, Systeme und Prozesse zu managen, die kritische und/oder wichtige Funktionen unterstützen.
Andererseits hat sich das Lagebild über die letzten Jahre radikal verändert: Eine extrem hohe Anzahl an globalen Unternehmen unterschiedlichster Unternehmensgrößen agiert als MSSP und bieten zusammen mit Technologie-Anbietern, Partner-Unternehmen und gegebenenfalls weiteren Dritten, Leistungen sowohl Ende-zu-Ende wie auch in hybriden Modi an.
Gleichzeitig bieten unabhängige weitere Dienstleister an, bei der initialen Anbieterauswahl zu unterstützen, zusätzlich stehen KI-Unterstützung, Automatisierung und die wachsende Intensivität beziehungsweise Komplexität von Angriffen im Fokus.
Make or buy
Die auslagernde Organisation muss grundsätzlich über eine gewisse interne Reife verfügen um die initiale beziehungsweise fortlaufende Bewertung „make or buy“ angemessen durchführen zu können. Obligatorisch sind dafür ISMS/BCMS in einem hohen Reifegrad sowie eine durch das Top-Management unterstützte Governance-Struktur mit tatsächlich gelebten Verantwortlichkeiten, objektiven Zielen und reproduzierbaren Ergebnissen.
Nur so ist es möglich, möglicherweise aufgedeckte fachliche, organisatorische und prozessuale Lücken (Risiken) durch den Einsatz von MSSP (Maßnahmen, Liefergegenstände, Fähigkeiten) gezielt zu verringern, vermeiden und verteilen. Strategisch muss darüber hinaus sichergestellt werden, dass der oder die MSSP über die Laufzeit der Leistungserbringung aktiv anhand klar definierter, objektiver Ziele fortlaufend gemanaged werden kann.
Um ein entsprechendes Monitoring sicherzustellen, ist seitens des MSSP ein angemessener Grad an Transparenz notwendig, auf Seiten des Auftraggebers, neben der gewissen Reife, auch tiefgründiges Fachwissen und die notwendige zeitliche Kapazität.
Resilienz und Third-Party-Management
Für die von Artikel 2 des Digital Operational Resilience Act (DORA) direkt betroffenen Organisationen gilt es zusätzliche Maßnahmen im Detail umzusetzen – insbesondere dann, wenn kritische oder wichtige Funktionen betroffen sind. Die dahingehenden Anforderungen werden in Level 2 beziehungsweise Level 3 Dokumenten konkretisiert.
Die Prüfung dieser Dokumente ist auch Organisationen zu empfehlen, die nicht im direkten Anwendungsbereich der DORA liegen, da diese Inhalte eine praxiserprobte Methodik beschreiben, die auch in reduziertem Maß (Stufenplan, Proportionalitätsprinzip) angewendet werden kann. Beim Studium beziehungsweise der Planung/Durchführung von Maßnahmen zur Operationalisierung wird sehr schnell klar, dass ein hohes Maß an Individualisierung vorhanden ist und es schwierig ist, potenzielle Liefergegenstände oder Leistungen zu beziehen, die seitens des/der MSSP auf eine Art „Standard“ reduziert sind.
Standardisierung
Und genau darin liegt einer der wesentlichen Kernaspekte von MSSP beziehungsweise Plattformanbietern: Ein möglichst standardisiertes Produkt bzw. einen Service einer möglichst breiten Masse an Interessenten anbieten zu können wird zunehmend zur Herausforderung.
Selbst eine Staffelung der angebotenen Managed Security Services (MSS) etwa nach Region, Branche oder Unternehmensgröße führt nur vordergründig zum Erfolg. Jede Organisation hat grundlegend unterschiedliche, individuelle Bedrohungen, Business Assets, Supportive Assets – insbesondere, wenn Angriffspfadanalysen zurückliegender Security Incidents oder tagesaktuelle Threat-Intelligence fortlaufend analysiert, bewertet, in logische Zusammenhänge gebracht und daraus abgeleitete Detektionsszenarien technologieoffen erstellt, getestet und implementiert werden.
Dieses Testen ist dabei nicht als Sicherstellung einer technischen Funktion (etwa „greift die Suche im SIEM“) zu interpretieren. Vielmehr muss dauerhaft sichergestellt sein, dass Taktiken und Techniken laufender Angriffe vorab durch entsprechende Aufklärung ermittelter oder definierter Angreifergruppen detektiert und Reaktionen nach sich ziehen, die effektiv, reproduzierbar und messbar ablaufen.
Die dahinterliegenden Prozesse von Auftraggeber und MSSP müssen daher eng verzahnt und aufeinander angestimmt werden – ein weiterer Punkt gegen die Nutzung standardisierter Produkte und Services.
Signifikanz von Drittparteien und AI
Trotz prinzipieller Offenheit müssen auch die durch MSSP eingesetzten Technologien betrachtet werden. Vor dem Hintergrund des geopolitischen Lagebilds: Welche Risiken haben deren Einsatz?
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Und zwar nicht nur vordergründig bei den eingesetzten Technologien (XDR, SIEM, …) sondern auch hintergründig: Greift der MSSP bei der Incidentbearbeitung auch auf SaaS-Dienste zurück? Gleiche Fragestellung gilt für Eigenentwicklungen, dabei eingesetzte Open-Source-Software und seitens des MSSP möglicherweise eingesetzte Sub-Dienstleister.
Wer oder was verarbeitet welche Informationen wie, wann und wo? Welchen Impact auf kritische oder wichtige Funktionen des Auftraggebers hat der Ausfall (inklusive Seiteneffekte) der Availability-zone eines Hyperscalers?
Insbesondere die zunehmende Integration von Komponenten, die Generative- bzw. Agentic-AI nutzen, muss in der fortlaufende Risikobewertung ebenfalls berücksichtigt werden.
„Fortlaufend“ bedeutet dabei über die komplette Vertragslaufzeit des MSSP-Engagements inklusive Offboarding und Interoperabilität der verarbeiteten Informationen. Im Idealfall sind dabei unter anderem Strategien, Ziele, Methodiken des MSSP synchron zu den reifen Pendants des Auftraggebers.
Daher ist „einfach mal auslagern“ tabu. Auch eine initiale, oberflächliche, nur vordergründige Bewertung ist tabu. Die grundsätzliche Begründung für den Einsatz eines MSSP (etwa Risikoverlagerung) bringt nur dann einen messbaren Mehrwert, wenn die oben dargestellten, nachgelagerten beziehungsweise kaskadierten Risiken ebenfalls aktiv gemanaged werden.
Die Komplexität sowie dafür notwendigen Aufwände dürfen sowohl bei der initialen, aber insbesondere bei der fortlaufenden, Risikobewertung nicht unterschätzt werden.
Über den Autor: Markus Thiel unterstützt Organisationen bei der Operationalisierung regulativer Compliance
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/17/c4/17c43058b98005d7ed80f91dd8e1c4c6/0124811701v2.jpeg "Wer externe Security-Spezialisten mit ins Boot holt, kann so die eigenen Mitarbeitenden entlasten. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/19/2119b1740db630156476e1b700e7a953/94741636v1.jpeg "Nutzer von MSS geben Kontrolle ab und erhoffen sich dafür einen Sicherheitsgewinn. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/44/06/44065d63b81bbdc3d5a8ef2b1dbbff37/0128179317v2.jpeg "Ein zentrales Zertifikatsregister schafft die für DORA geforderte Transparenz und Steuerbarkeit kryptografischer Assets über ihren gesamten Lebenszyklus und bildet damit den organisatorischen Kern wirksamer Governance, Compliance und Resilienz. (Bild: Maxim - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/80/918064ea1aafd8875b0201ced4f32bc3/0128147179v2.jpeg "Die EU etabliert mit der ENISA, CERT‑EU, EU‑CyCLONe und einer finanzierten Cybersecurity‑Reserve ein koordiniertes System, das Unternehmen bei schweren Cybervorfällen schnell und grenzüberschreitend über zentrale Anlaufstellen unterstützt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9b/df/9bdf22f1bce8c453a6c06a3e8ea91c46/0122192028v1.jpeg "Mit Inkrafttreten von NIS2 ist die ENISA verpflichtet, alle zwei Jahre einen Report zum Stand der Cybersicherheit der EU zu veröffentlichen. (Bild: Maksym Yemelyanov - stock.adobe.com / DALL·E)")
:quality(80)/p7i.vogel.de/wcms/c1/f4/c1f4dca7acde2a5a30430579aff9d491/0116143825v2.jpeg "Eine Compliance-Überwachung zur Einhaltung von Datensicherheitsrichtlinien umfasst regelmäßige Scans von Systemen, Geräten und Infrastruktur. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/95/30955808c0adebb198dde2479bfa0d21/0125535386v1.jpeg "Ohne umfassende Datenbanküberwachung ist die Einhaltung der DORA-Vorgaben faktisch nicht möglich. (Bild: © Tee11 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/80/918064ea1aafd8875b0201ced4f32bc3/0128147179v2.jpeg "Die EU etabliert mit der ENISA, CERT‑EU, EU‑CyCLONe und einer finanzierten Cybersecurity‑Reserve ein koordiniertes System, das Unternehmen bei schweren Cybervorfällen schnell und grenzüberschreitend über zentrale Anlaufstellen unterstützt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")