Lesezeit
2 Minuten
Seite 2 - Das gilt es bei Managed Security Services zu beachten
Das sollten Unternehmen bei der Auswahl des Service-Providers beachten
Die Auswahl eines Security-Service-Modells ist eine Sache – die des passenden Providers eine andere. Es gibt unzählige Anbieter für Managed Services rund um die Sicherheit. Die Auslagerung dieser Prozesse erfordert aber viel Vertrauen, schließlich legt das Unternehmen hochsensible Bereiche in fremde Hände. Organisationen sollten deshalb einen MSSP genau unter die Lupe nehmen. Folgende Kriterien spielen eine entscheidende Rolle:
1. Nachweisbares Expertenwissen des MSSP
Ein Provider führt seine Aufgaben idealerweise in besserer Qualität und mit mehr Know-how aus, als das im eigenen Haus gewährleistet werden kann. Die umfassende Expertise sollte er nachweisen können. Hat er Partnerschaften mit Herstellern abgeschlossen? Kann er Kundenreferenzen für seine Security-Leistungen vorlegen? Hilfreich ist auch ein Blick in Benchmarks für Managed Services, etwa bei Marktforschungsunternehmen wie Gartner oder Experton. Der MSSP sollte im relevanten Bereich eine gute Platzierung erreichen. Außerdem braucht der Dienstleister genügend qualifizierte Mitarbeiter, die Expertenwissen mitbringen.
2. Verschiedene Bausteine für Security-Aufgaben
Welche Leistungen MSSP im Einzelnen übernehmen, lässt sich in allen Managed-Security-Service-Modellen individuell festlegen. Folgende Bausteine sollten zur Auswahl stehen: Automatische Scans der Systeme, Wartung der Sicherheitsinfrastruktur, Einspielen von Updates und Patches, Backup der Konfiguration, Überprüfung von Zertifikaten und Laufzeiten von Lizenzen, Dokumentation aller Veränderungen in der Security-Infrastruktur, um Compliance zu gewährleisten, Vulnerability Management, Alarme bei Schwachstellen, Erstellen von Monitoringreporten und Support bei Problemen.
3. Individuelle Service Level Agreements und schneller Support
4. Transparente Leistungen
Der MSSP sollte die vorher festgelegten Leistungen dokumentieren und damit transparent machen. Das kann beispielsweise mit regelmäßigen Reports oder bei Status-Meetings erfolgen. Hilfreich sind webbasierte Managementkonsolen für den Service. Dort können Unternehmen den aktuellen Status jederzeit einsehen.
5. Zertifizierung und sicheres Hochleistungsrechenzentrum
Entscheidend für die Qualität von Sicherheits-Services ist auch die Infrastruktur im Hintergrund. Der Provider sollte ein Rechenzentrum in Deutschland betreiben und garantieren, dass die Anforderungen der EU-DSGVO umgesetzt und deutsches Recht angewendet werden. Ein wichtiger Anhaltspunkt ist zudem eine Zertifizierung nach ISO 27001. Damit weist der MSSP nach, dass er international geltende Security-Standards erfüllt und gemäß der EU-DSGVO mit Kundendaten umgeht. Er zeigt damit, dass er alle Maßnahmen ergriffen hat, um Verfügbarkeit, Vertraulichkeit und Integrität von Daten sicherzustellen. Es geht dabei nicht nur um Technik, sondern auch um interne Prozesse oder Gebäude-Zugangsregelungen.
6. Breites Portfolio
Der MSSP sollte unterschiedliche Managed Services anbieten, sodass Kunden auf Wunsch alles aus einer Hand bekommen können. Hilfreich ist ein breites Portfolio, falls später noch weitere Services hinzukommen. Produzierende Unternehmen suchen sich am besten einen Provider, der sowohl IT- als auch OT-Security abdeckt. Außerdem sollte der Provider herstellerunabhängig arbeiten und die Bedürfnisse der Kunden ins Zentrum stellen.
7. Beratung und Onboarding-Prozess
Ein MSSP unterstützt Kunden am besten schon in der Planungs- und Entscheidungsphase sowie später beim Onboarding. In einem Kick-off-Meeting analysieren Dienstleister und Unternehmen die aktuelle Situation und definieren gemeinsam Ziele. Es gilt, Schnittstellen und Kommunikationswege zu definiert. Die Experten des Dienstleisters müssen wissen, welche Systeme beim Kunden eingesetzt werden und über welche IP-Adressen sie erreicht werden. Der MSSP sollte zudem die Systeme des Kunden analysieren, Updates einspielen, die Konfiguration bei Bedarf anpassen und die Remote-Zugänge über ein sicheres Site2Site-VPN einrichten.
Fazit
Managed Security Services unterstützen Unternehmen bei allen Aufgaben rund um Cybersecurity. Der Provider überwacht Systeme, wehrt Bedrohungen ab und schließt Sicherheitslücken. Damit erhöhen Betriebe ihr Schutzniveau deutlich, ohne dass sie kontinuierlich selbst auf dem aktuellen Stand sein müssen. Bei der Wahl eines MSSP sollten die Verantwortlichen genau hinsehen – und darauf achten, dass der Anbieter Expertise mitbringt, verschiedene Bausteine und SLA sowie ein breites Portfolio, anbietet, seine Leistungen transparent macht, zertifiziert ist und nicht zuletzt beim Onboarding-Prozess unterstützt.
ln/Ben Kröger, Technische Leitung Cyber Security bei Axians IT Security
Die Auswahl eines Security-Service-Modells ist eine Sache – die des passenden Providers eine andere. Es gibt unzählige Anbieter für Managed Services rund um die Sicherheit. Die Auslagerung dieser Prozesse erfordert aber viel Vertrauen, schließlich legt das Unternehmen hochsensible Bereiche in fremde Hände. Organisationen sollten deshalb einen MSSP genau unter die Lupe nehmen. Folgende Kriterien spielen eine entscheidende Rolle:
1. Nachweisbares Expertenwissen des MSSP
Ein Provider führt seine Aufgaben idealerweise in besserer Qualität und mit mehr Know-how aus, als das im eigenen Haus gewährleistet werden kann. Die umfassende Expertise sollte er nachweisen können. Hat er Partnerschaften mit Herstellern abgeschlossen? Kann er Kundenreferenzen für seine Security-Leistungen vorlegen? Hilfreich ist auch ein Blick in Benchmarks für Managed Services, etwa bei Marktforschungsunternehmen wie Gartner oder Experton. Der MSSP sollte im relevanten Bereich eine gute Platzierung erreichen. Außerdem braucht der Dienstleister genügend qualifizierte Mitarbeiter, die Expertenwissen mitbringen.
2. Verschiedene Bausteine für Security-Aufgaben
Welche Leistungen MSSP im Einzelnen übernehmen, lässt sich in allen Managed-Security-Service-Modellen individuell festlegen. Folgende Bausteine sollten zur Auswahl stehen: Automatische Scans der Systeme, Wartung der Sicherheitsinfrastruktur, Einspielen von Updates und Patches, Backup der Konfiguration, Überprüfung von Zertifikaten und Laufzeiten von Lizenzen, Dokumentation aller Veränderungen in der Security-Infrastruktur, um Compliance zu gewährleisten, Vulnerability Management, Alarme bei Schwachstellen, Erstellen von Monitoringreporten und Support bei Problemen.
3. Individuelle Service Level Agreements und schneller Support
Ein guter MSSP bietet flexible Service Level Agreements (SLA). Standardisierte Vereinbarungen sparen Kosten und sind weniger komplex. Es sollte trotzdem immer möglich sein, sie bei Bedarf individuell anzupassen. Dienstleister und Kunde definieren im SLA, welche Leistungen erbracht werden und wer wofür verantwortlich ist. Es geht dabei auch um die Zeit, in der Reaktionen erfolgen oder Probleme gelöst werden müssen.
Verschiedene Servicestufen sind möglich, von 9x5xNBD (Neun Stunden am Tag, fünf Tage die Woche, Reaktion erst am nächsten Werktag) bis 24x7x1/2 (24 Stunden am Tag, sieben Tage die Woche, Reaktion innerhalb von ein bis zwei Stunden). Ein guter Managed-Services-Anbieter ist rund um die Uhr erreichbar und bietet IT-Support in Deutschland. Wichtig ist auch, ob an der Hotline kompetente Experten sitzen. Idealerweise steht dem Unternehmen ein direkter Ansprechpartner zur Verfügung, der umgehend das benötigte Wissen bereitstellt und Fragen beantworten kann.
4. Transparente Leistungen
Der MSSP sollte die vorher festgelegten Leistungen dokumentieren und damit transparent machen. Das kann beispielsweise mit regelmäßigen Reports oder bei Status-Meetings erfolgen. Hilfreich sind webbasierte Managementkonsolen für den Service. Dort können Unternehmen den aktuellen Status jederzeit einsehen.
5. Zertifizierung und sicheres Hochleistungsrechenzentrum
Entscheidend für die Qualität von Sicherheits-Services ist auch die Infrastruktur im Hintergrund. Der Provider sollte ein Rechenzentrum in Deutschland betreiben und garantieren, dass die Anforderungen der EU-DSGVO umgesetzt und deutsches Recht angewendet werden. Ein wichtiger Anhaltspunkt ist zudem eine Zertifizierung nach ISO 27001. Damit weist der MSSP nach, dass er international geltende Security-Standards erfüllt und gemäß der EU-DSGVO mit Kundendaten umgeht. Er zeigt damit, dass er alle Maßnahmen ergriffen hat, um Verfügbarkeit, Vertraulichkeit und Integrität von Daten sicherzustellen. Es geht dabei nicht nur um Technik, sondern auch um interne Prozesse oder Gebäude-Zugangsregelungen.
6. Breites Portfolio
Der MSSP sollte unterschiedliche Managed Services anbieten, sodass Kunden auf Wunsch alles aus einer Hand bekommen können. Hilfreich ist ein breites Portfolio, falls später noch weitere Services hinzukommen. Produzierende Unternehmen suchen sich am besten einen Provider, der sowohl IT- als auch OT-Security abdeckt. Außerdem sollte der Provider herstellerunabhängig arbeiten und die Bedürfnisse der Kunden ins Zentrum stellen.
7. Beratung und Onboarding-Prozess
Ein MSSP unterstützt Kunden am besten schon in der Planungs- und Entscheidungsphase sowie später beim Onboarding. In einem Kick-off-Meeting analysieren Dienstleister und Unternehmen die aktuelle Situation und definieren gemeinsam Ziele. Es gilt, Schnittstellen und Kommunikationswege zu definiert. Die Experten des Dienstleisters müssen wissen, welche Systeme beim Kunden eingesetzt werden und über welche IP-Adressen sie erreicht werden. Der MSSP sollte zudem die Systeme des Kunden analysieren, Updates einspielen, die Konfiguration bei Bedarf anpassen und die Remote-Zugänge über ein sicheres Site2Site-VPN einrichten.
Fazit
Managed Security Services unterstützen Unternehmen bei allen Aufgaben rund um Cybersecurity. Der Provider überwacht Systeme, wehrt Bedrohungen ab und schließt Sicherheitslücken. Damit erhöhen Betriebe ihr Schutzniveau deutlich, ohne dass sie kontinuierlich selbst auf dem aktuellen Stand sein müssen. Bei der Wahl eines MSSP sollten die Verantwortlichen genau hinsehen – und darauf achten, dass der Anbieter Expertise mitbringt, verschiedene Bausteine und SLA sowie ein breites Portfolio, anbietet, seine Leistungen transparent macht, zertifiziert ist und nicht zuletzt beim Onboarding-Prozess unterstützt.
ln/Ben Kröger, Technische Leitung Cyber Security bei Axians IT Security