Cyber-Sicherheit für KMU

MSSP als Lösung für den Fachkräftemangel

| Autor / Redakteur: Tanja Heinz / Peter Schmitz

Wer auf die Kooperation mit einem MSSP in der IT-Security setzt, wird unabhängiger von teurem und gerade für KMU oft unerreichbarem Fachpersonal.
Wer auf die Kooperation mit einem MSSP in der IT-Security setzt, wird unabhängiger von teurem und gerade für KMU oft unerreichbarem Fachpersonal. (Bild: Pixabay / CC0)

Der Mangel an kompetenten Fachkräften belastet vor allem kleine und mittlere Un­ter­neh­men (KMU), denn im Wettbewerb um versierte Arbeitskräfte können KMU oft nicht mithalten – nicht zuletzt, weil dadurch die Lohnkosten steigen. Eine entsprechende ROI-Rechnung zeigt, dass die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) durchaus eine Alternative darstellt.

Laut einer Umfrage des Ponemon Institute glauben 65 Prozent der befragten CIOs, dass es Angreifern erfolgreich gelingen könnte, Mitarbeiter mittels Phishing-Kampagnen zu täuschen. Dabei sollen sensible Daten und Informationen wie etwa Anmeldenamen und Passwörter abgegriffen werden. Zudem gaben 67 Prozent an, dass im Jahr 2018 das allgemeine Risiko, Opfer eines Cyberangriffs zu werden, für ihre Firma steigt.

Trotzdem sehen die meisten den Fachkräftemangel als gravierendere Thematik an. Dafür gibt es einen einfachen Grund: Im Durchschnitt dauert es laut Dirk Backofen, Leiter der Telekom Security, 180 Tage , bis eine Cyberattacke erkannt wird. „Das ist einfach ein viel zu langer Zeitraum“, sagt Dariush Ansari, IT-Sicherheitsexperte und Geschäftsführer des Kölner MSSP Network Box. „In der Zeit kann ein Angreifer bereits erheblichen Schaden anrichten. Die Reaktionsgeschwindigkeit zu erhöhen, muss daher für Unternehmen oberste Priorität haben.“ Doch um eine Attacke zu erkennen und die richtigen Gegenmaßnahmen einzuleiten, ist neben der richtigen Technik vor allem eins erforderlich: das richtige Fachpersonal. Jedes Unternehmen ist heute darauf angewiesen, seine IT-Infrastruktur zu schützen.

Es trifft immer nur die anderen

In Eigenregie ein Netzwerk verwalten oder sichern? Wer für die Sicherheit seiner IT-Infrastruktur einen MSSP beauftragt, sollte seinem Dienstleister voll und ganz vertrauen können. Dann wäre da noch die Hürde zu nehmen, dass viele KMUs nicht glauben, sie seien ein interessantes Angriffsziel für Kriminelle. Für viele Unternehmen liegt daher der Gedanke nahe, mit einem Minimum an Schutz auszukommen, besonders, da IT-Sicherheit zusätzliche Kosten verursacht, aber nicht direkt zum Umsatz des Unternehmens beiträgt. Untersuchungen zeigen jedoch, dass gerade KMU gefährdet sind: Eine von Malwarebytes geförderte Studie besagt zum Beispiel, dass Ransomware in KMU erheblichen Schaden anrichten kann. Dabei sind oftmals nicht die Lösegeldforderungen entscheidend, sondern vor allem die Ausfallzeiten. Obwohl die große Ransomware-Welle der letzten Jahre langsam abzuflauen scheint, wurden 2017 immer noch 34 Prozent der deutschen KMU Opfer einer Cyberattacke mit Ransomware. Zusätzlich nehmen andere Angriffe zu. So zeigt der Report „DDoS Trends and Analysis“ von Corero Network Security , dass sich DDoS-Angriffe vervielfacht haben: Eine Steigerung von 91 Prozent ergibt sich im Vergleich vom dritten Quartal 2017 zum ersten Quartal des gleichen Jahres. Diese DDoS-Attacken begleiten oftmals größere Angriffe. Die Kriminellen wollen erreichen, dass Unternehmen vom Netz gehen, oder im Zuge des Angriffes sensible Daten erbeuten. Diese Zahlen zeigen deutlich: KMU sind besonders gefährdet und stellen für Cyberkriminelle durchaus interessante und lukrative Ziele dar.

Make or buy?

Was ist also zu tun, um die eigene Infrastruktur angemessen abzusichern? Zunächst muss die passende Hardware vorhanden sein. Das System sollte ausfallsicher, also redundant sein. „In einem Unternehmen mit ungefähr 150 PC-Arbeitsplätzen würden wir zum Beispiel mittelgroße Firewall-Appliances empfehlen“, erklärt Ansari. „Die sollten in einem High Availability-Cluster, mit mindestens zwei redundanten Appliances, laufen. Das entspricht Anschaffungskosten von ungefähr 6.000 Euro.“ Auf dieser Hardware muss die entsprechende und stets aktuelle Software installiert sein. „Die schlägt mit noch einmal ungefähr 5.000 Euro jährlich zu Buche“, sagt Ansari. Wächst das Unternehmen, dann muss die Security-Hardware den erweiterten Ansprüchen angepasst werden. „Der wirkliche Kostenfaktor sind jedoch die Personalkosten: Ein Mitarbeiter für IT-Sicherheit, der über das notwendige Know-how verfügt, wird mindestens 60.000 Euro im Jahr kosten“, erklärt Ansari. Hier kommen weitere Punkte hinzu, die ein Unternehmen in Betracht ziehen sollte: So ist zum Beispiel häufig kein Ersatz im Unternehmen vorhanden, wenn der Mitarbeiter einmal ausfällt oder das Unternehmen verlässt. Aus diesen Gründen kann ein Miet-Modell, das die Hardware und die Services beinhaltet, eine sinnvolle Alternative für KMUs sein.

Oft scheitert es am Personal

Die Studie zum Grad der Sensibilisierung des Mittelstandes in Deutschland „IT-Sicherheit in kleinen und mittleren Unternehmen“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) spiegelt dieses Verhältnis wider. Demnach ist das Bewusstsein für Themen der IT-Sicherheit bei den Verantwortlichen in deutschen KMU vorhanden. Auch in technischer Hinsicht sind viele Unternehmen gegen Gefahren für und Angriffe auf ihre IT gerüstet. Laut der Studie sind jedoch die dazu notwendigen Prozesse eines IT-Sicherheitsmanagements weder durchgehend vorhanden noch standardisiert. Auch im Bereich der personellen Maßnahmen sieht das BSI noch in vielen Unternehmen Nachholbedarf. Genau diesen können MSSP direkt decken, die nicht einfach nur rein technische Dienstleister sind, sondern als Berater und Ansprechpartner für alle Fragen der IT-Sicherheit zur Verfügung stehen. „Ein externes Security-Team kann die IT-Abteilung sinnvoll ergänzen“, sagt Ansari. „Wir wollen und können nicht den Administrator vor Ort ersetzen, aber wir können ihn so unterstützen, wie es ein spezialisierter Mitarbeiter tun würde. Nur sitzen wir eben in unserem Security Operation Center.“ Die Kooperation mit einem MSSP hat für Unternehmen enorme Vorteile. Die Hardware ist im Unternehmen redundant vorhanden. Kommt es zu einem Defekt, ist ein Austausch innerhalb von 24 Stunden in den meisten Service-Verträgen enthalten. Dabei kann die Hardware Bestandteil eines Miet-Modells sein oder alternativ auch separat erworben werden. Wächst das Unternehmen, lässt sich der Service oftmals unkompliziert skalieren. Die hohen Personalkosten für entsprechend geschulte IT-Experten entfallen fast vollständig, und statt eines einzelnen Mitarbeiters steht ein komplettes Team zur Verfügung. Worauf sollten die Verantwortlichen also achten, wenn sie nach einem geeigneten Security-Partner suchen?

Daran erkennt man den richtigen MSSP

Das Hauptziel der IT-Sicherheit und damit auch der Kooperation mit einem MSSP sollte sein, dass dieser präventive Sicherheitsmaßnahmen ergreift, um Angriffe abzuwehren und Vorfälle zu verhindern. Dabei sollte dem Kunden ein persönlicher Ansprechpartner zur Verfügung stehen, mit dem er Fragen auf direktem Weg klären kann. „Ich bin der Meinung, dass die durchschnittlichen Reaktionszeiten klar kommuniziert werden sollten“, sagt Ansari. „Ein gut aufgestelltes Team kann Reaktionszeiten von unter 15 Minuten erreichen. Darauf sollte man als Kunde achten.“

Diese fünf Punkte sollten bei der Auswahl eines MSSP in Betracht gezogen werden:

  • Die durchschnittliche Reaktionszeit sollte öffentlich bekannt sein und nicht über 15 Minuten liegen.
  • Der Service-Vertrag sollte flexibel sein und nur kurze Kündigungsfristen aufweisen.
  • Es sollte auch ein Mietmodell möglich sein, das zu den finanziellen Rahmenbedingungen passt.
  • Der Service sollte einfach skalierbar sein.
  • Im Idealfall kann das Unternehmen auch auf ein erweitertes Netzwerk von Experten aus unterschiedlichen Bereichen zugreifen, die bei Bedarf unkompliziert unterstützen können.

Unternehmen, die diese Punkte berücksichtigen, werden einen MSSP finden, der zu ihnen passt, und die Zeit bis zur Entdeckung einer Cyberattacke und einer Antwort darauf drastisch reduzieren. Wer sich nicht sicher ist, ob ein bestimmter MSSP zum Unternehmen passt, der sollte nach einem flexiblen Mietmodell Ausschau halten. Das hat häufig keine nennenswerten Investitionshürden, Pakete für Unternehmen mit ca. 150 PC-Arbeitsplätzen sind bereits ab 350 Euro im Monat zu finden. Diese Verträge geben auch ein gutes Bild davon, wie die Zusammenarbeit im Alltag aussehen könnte.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45416902 / Mitarbeiter-Management)