Managed Security Services: So gefragt wie nie zuvor
von Tina Siering
Die Bedrohung durch Cyberkriminalität spitzt sich weiter zu und ein Ende der permanenten Bedrohungslage ist nicht abzusehen. Laut einer Studie von Bitkom Research wurden 2022 neun von zehn Unternehmen in Deutschland Opfer von Datendiebstahl, Spionage oder Sabotage. Dadurch entstand ein Schaden von rund 203 Milliarden Euro. Doch bei diesen rein finanziellen Einbußen bleibt es für die meisten Organisationen nicht: Da eine Cyberattacke oftmals eine Störung des Geschäftsbetriebs zur Folge hat, müssen Unternehmen auch einen beträchtlichen Imageschaden bei Geschäftspartnern fürchten. Ganz zu schweigen von dem schwerwiegenden Vertrauensbruch gegenüber jenen Kunden, deren Daten gestohlen wurden. In Anbetracht der ernsten Cybersicherheitslage steht das Thema IT-Security bei Unternehmen auf der ganzen Welt daher mittlerweile ganz oben auf der Agenda.
Ein eigenes Security Operations Center (SOC) lohnt sich meist nicht
Der Aufbau eines eigenen Security Operations Center (SOC) gestaltet sich für kleine und mittlere Unternehmen (KMU) in der Regel jedoch schwierig – nicht nur aus technischen, sondern auch aus monetären und personellen Gründen. Bei einem SOC handelt es sich um eine äußerst ressourcen- und kostenintensive Abteilung, die eine Vielzahl an hochspezialisierten IT-Experten erfordert. IT-Experten, die in Zeiten von Fachkräftemangel auf dem Arbeitsmarkt kaum zu finden sind.
Selbst wenn es einem mittelständischen Unternehmen gelingt, ein kleines SOC-Team für einen 24/7-Service aufzubauen, bleibt die erfolgreiche Erkennung möglicher Cyber-Angriffe mitunter fraglich. Insbesondere beim Einsatz von SIEM-Lösungen stehen die Mitarbeiter vor der Herausforderung, sehr große Datenmengen so zu analysieren, dass sie - richtig interpretiert - Angriffsmuster frühzeitig erkennen. Im Fokus steht dabei die schnelle Reaktion im Falle eines erfolgreichen Cyberangriffs. Denn nur wenn Cyberangriffe abgewehrt werden, bevor ein größerer Schaden für das Unternehmen entsteht, rechnet sich der Betrieb eines SOC.
Ein Problem dabei: Zu viele Warnmeldungen verursachen bei den Mitarbeitern oftmals Überlastungserscheinungen. Darüber hinaus müssen viele Teams mit einer Unmenge an unterschiedlichen Softwareagenten arbeiten, was sehr ermüdend und belastend sein kann (Agent Fatigue). Dies führt unweigerlich zu langsamen Reaktionszeiten, sodass komplexe oder zeitkritische Cyberangriffe zu spät erkannt werden.
Die Lösung: Outsourcing an einen Managed Security Service Provider (MSSP)
Was also tun, wenn sich die Cybersecurity aufgrund von fehlendem Fachpersonal, geringem Budget und hoher Mitarbeiterauslastung intern nicht umsetzen lässt? Eines ist gewiss: Nichtstun ist definitiv keine Lösung. „Ihr solltet schnellstmöglich verstehen, dass man das Thema nicht aussitzen kann, denn die Cyber-Risiken sind gekommen, um zu bleiben.“, betont Holger Müller, CTO und Lead Architect für Verwaltung, Bildung und Gesundheitswesen bei Cisco, in einem LinkedIn-Post.
Ein populärer und effizienter Weg aus der Zwickmühle lautet Outsourcing: Unternehmen, die nicht über die nötigen Ressourcen für ein eigenes SOC verfügen, lagern ihre Cybersecurity an einen Managed Security Service Provider (MSSP) aus. Der externe IT-Dienstleister stellt dem Unternehmen ein erfahrenes Expertenteam zur Verfügung, das sich fortan um die Überwachung der IT-Systeme und Netzwerke kümmert.
Die Auslagerung der IT-Sicherheit an einen Managed Security Service Provider bringt unter anderem folgende Vorteile mit sich:
• Ein MSSP bietet innerhalb kürzester Zeit fachgerechtes Sicherheitsmonitoring rund um die Uhr und ist dennoch deutlich kostengünstiger als ein internes SOC.
• Da der MSSP zeitaufwändige Routinetätigkeiten übernimmt, kann sich Ihre IT-Abteilung wieder auf das Kerngeschäft konzentrieren.
• Ein MSSP setzt die neuesten Sicherheitstechnologien ein, bietet topaktuelles Expertenwissen und verfügt über ein erfahrenes Team aus IT-Spezialisten.
• Die Serviceleistungen sind gewöhnlich flexibel skalierbar und werden zu einer monatlichen Servicepauschale abgerechnet, sodass volle Kostenkontrolle gewährleistet ist.
Angesichts stetig steigender Cyberangriffe sind externe Sicherheitsleistungen sehr gefragt, was sich auch im wachsenden Angebot der Managed Service Provider (MSP) widerspiegelt. Laut einer Studie des US-amerikanischen Cybersicherheit-Unternehmens Datto bieten bereits 97 Prozent der befragten MSPs Managed Security Services an. Ganz oben auf der Liste der Serviceleistungen steht E-Mail-Sicherheit, gefolgt von der Verwaltung von Passwort-Richtlinien, Security Framework & Compliance Audits sowie Managed Firewall.
Darauf sollten Sie bei der Wahl eines Managed Security Service Provider achten
Bevor Sie einen Managed Security Service Provider beauftragen, sollten Sie im Vorfeld einige Punkte mit dem Anbieter abklären. Da der MSSP unter anderem die Verantwortung für den Betrieb eines SOC übernimmt, muss eine entsprechend fachgerechte Durchführung gewährleistet sein. Die genauen Leistungsbeschreibungen und Service Level Agreements, Prozesse, Haftung, Laufzeiten und NDAs sollten deshalb vorab genau definiert werden.
Darüber hinaus sollten Sie bei der Auswahl eines MSSPs auf folgende Serviceleistungen achten:
1. Proaktive Reaktion
Ein guter MSSP sollte Angreifer mithilfe von umfangreichen Sicherheitskonzepten nicht nur rechtzeitig entdecken und melden, sondern Sie auch bei den Reaktionsmaßnahmen unterstützen und Handlungsempfehlungen aussprechen.
2. 24/7-Betrieb
Im Idealfall arbeitet der MSSP rund um die Uhr für Ihre IT-Sicherheit und ist zu Ihren Betriebszeiten stets erreichbar. Erkundigen Sie sich daher vor Beauftragung über die Betriebsabläufe sowie die Anzahl und den Standort der Analysten.
3. Kosteneffizienz
Im Vergleich zu den Kosten, die für den Betrieb eines eigenen SOC oder für den langwierigen Aufarbeitungsprozess nach einer erfolgreichen Cyberattacke fällig wären, bieten MSSPs im direkten Vergleich ein sehr gutes Kosten-Nutzen-Verhältnis.
4. Cyber Threat Hunting
Zu den wichtigsten Aufgaben eines MSSPs gehört die aktive Suche nach Sicherheitsbedrohungen (Cyber Threat Hunting). Diese Suche nach Gefahren sollte eine kontextbezogene Sicht auf potenzielle Bedrohungsakteure sowie deren Taktiken, Techniken und Verfahren beinhalten: Die Security Analysten gehen nämlich vom schlimmsten Fall einer Kompromittierung des Netzwerkes aus und davon, dass ein oder mehrere Endgeräte wahrscheinlich betroffen sind. Hierfür wird die Netzwerkkommunikation kontinuierlich überwacht. Die Stärke des Threat Hunting liegt somit in der Erkennung dieser Advanced Persistant Threats (APT). Bei diesen hochentwickelten Angriffen bewegt sich der Angreifer über einen längeren Zeitraum hinweg unbemerkt im Netzwerk, um Informationen auszuspionieren, Systeme zu manipulieren und/oder Daten auszuleiten.
5. Spezialtechnologie
Unter Zuhilfenahme einer Softwarekomponente gilt es, die aufgespürten Kompromittierungen korrekt einzuordnen und sie gegebenenfalls als Indicators of Compromise (IoC) zu bewerten. IoCs sind Merkmale und Daten, die mit hoher Wahrscheinlichkeit auf einen unberechtigten Systemzugriff hinweisen, wie beispielsweise außergewöhnliche Netzaktivitäten, Einträge in Logfiles oder gestartete Prozesse.
Durch die Nutzung eines Managed-Detection-and-Response-(MDR)-Services lagert ein Unternehmen Kompetenzen im Bereich des Cyber-Threat-Hunting an einen externen Cybersecurity-Dienstleister aus.
Mit dem Active Cyber Defense Service (ACD) bietet Allgeier secion einen solchen Service an, eine in der Kundeninfrastruktur installierte Lösung zur Erkennung ungewöhnlicher Netzwerkkommunikation. Geschulte IT-Security-Analysten übernehmen das 24/7-Monitoring zur Erkennung von Vorfällen (Incident Detection) und prüfen, ob es Abweichungen von definierten Standardkommunikationen gibt, die auf einen sicherheitsrelevanten Vorfall hindeuten.
Im Alarmfall entscheidet das Active-Cyber-Defence-Team von Allgeier secion, wie der registrierte Vorfall zu priorisieren ist. Die Experten interpretieren die vorliegende Risikosituation umgehend und erarbeiten weiterführende Empfehlungen zur Optimierung Ihrer IT-Schutzmaßnahmen.
Fazit
Gerade kleinen und mittelständischen Unternehmen fehlt es vermehrt an Fachkräften und Know-how, um den zahlreichen Herausforderungen der volatilen Cyberbedrohungslandschaft noch adäquat begegnen zu können. Managed Security Services gewinnen daher immer mehr an Popularität, sodass sich das Dienstleistungsangebot von Managed Service Providern im Bereich Sicherheit mittlerweile äußerst facettenreich gestaltet.
Ein besonders hohes Maß an Sicherheit erreichen Unternehmen mithilfe von Dienstleistern, die Cyberangriffe mit proaktiver Angriffsfrüherkennung abwehren. Allgeier secion bietet hierfür den Active Cyber Defense (ACD) Service: Die „Managed Detection and Response“-Lösung (MDR) sucht in Ihrem Netzwerk proaktiv nach Angriffsaktivitäten und benachrichtigt Sie, sobald Handlungsbedarf besteht.
Mehr über Active Cyber Defense lesen Sie hier.