Zunehmende Cyber-Attacken befeuern Nutzung von und Fokus auf Managed Security Services
Autor: Kai Grunwitz*
Frequenz und Komplexität von Cyber-Angriffen nehmen dramatisch zu. Kaum ein Unternehmen kann der wachsenden Gefahr noch Herr werden. Im Zuge dessen steigt die Nachfrage nach Managed Security Services deutlich. Unter technologischen und Kostengesichtspunkten führt schlussendlich an ihnen kein Weg vorbei.
Erpresserbriefe auf den Anzeigetafeln der Deutschen Bahn nach der Ransomware-Attacke „WannaCry“: Vor etlichen Jahren wäre es noch reine Fiktion im Rahmen des Endzeitthrillers gewesen, heute ist es traurige Realität. Nicht nur kleine und mittelständische Unternehmen sind aufgrund begrenzter IT-Ressourcen Cyber-Angreifern quasi wehrlos ausgeliefert, nein, immer mehr sind auch große Unternehmen und Organisationen betroffen. Es zeigt sich einmal mehr, dass auch riesige IT-Abteilungen und interne Investitionen in die Sicherheitstools alleine nicht umfassend schützen. Dafür gibt es mehrere Gründe. Zum einen muss festgestellt werden, dass die Komplexität der Angriffe erheblich zugenommen hat und damit klassische Sicherheitsmaßnahmen nicht mehr ausreichend sind. Zum anderen aber muss schlicht und ergreifend konstatiert werden, dass nahezu kein Unternehmen mehr mit der wachsenden Gefahr Schritt halten kann: weder in technologischer Hinsicht noch unter Kostenaspekten. Doch was ist der Ausweg? Eine zielführende Möglichkeit ist die Nutzung des Angebots eines auf Sicherheit spezialisierten Managed-Security-Services-Providers (MSSP). Viele Unternehmen schlagen momentan diesen Weg ein. Gerade auch etliche große Konzerne, die zum Beispiel den Security-Operation-Center-(SOC)-Betrieb vollständig oder teilweise ausgelagert haben.
MSS sind mehr als Managed Services
Managed Security Services (MSS) finden sich dem Namen nach im Portfolio bei fast allen Dienstleistern für IT-Sicherheit oder Informationssicherheit – von lokalen oder regionalen Systemhäusern über globale Netzwerkausrüster oder Telekommunikationsunternehmen bis zu Beratungsfirmen und Outsourcing-Anbietern. Auf dem Markt ist also ein vielfältiges Angebot verfügbar.
Allerdings handelt es sich dabei nicht immer wirklich um MSS, sondern lediglich um Managed Services, das heißt einen Betrieb von IT-Security-Infrastrukturen und -Komponenten. Dieser reine Sicherheitsbetrieb stellt aber lediglich ein einzelnes Element von umfassenden Managed Security Services dar, gewissermaßen lediglich einen „Commodity Service“. Dieser gewährt jedoch nur eine trügerische Sicherheit, da das eigentliche Sicherheitsniveau nicht erhöht wird.
Natürlich müssen Anbieter im MSS-Umfeld auch wiederkehrende Betriebsleistungen im Infrastruktur-Management erbringen. Zu den Mindestanforderungen gehören etwa die präventive Wartung mit Patch und Release Management sowie Health und Availability Monitoring, das Change Management oder das Out-of-Band Management. Gerade ein durchgängiges und proaktives Patch Management hätte im zitierten WannaCry-Fall auch nachhaltig geholfen. Solche Managed Services sind aber bei Weitem noch keine Managed Security Services, sondern lediglich ein Bestandteil.
MSS bieten End-to-End-Sicherheit
Bei MSS geht es viel weiter gefasst um ganzheitliche Lösungskonzepte, die den gesamten End-to-End-Sicherheitsservice abdecken. Das heißt, bei MSS-Projekten stellen das Infrastruktur- und Technologie-Management oftmals lediglich die Basis für höherwertige Services dar. Ganz allgemein bedeutet das auch, dass es sich nicht um Outtasking im klassischen Sinn handelt, also die Auslagerung einzelner Betriebsaktivitäten, sondern viel umfassender um die Auslagerung von Risiken, das heißt letztlich auch um ein durchgängiges Risikomanagement.
MSS übernehmen ganz allgemein formuliert die Verantwortung für die Sicherheit von Infrastrukturen und Anwendungen durch die logistische und kommerzielle Bereitstellung, die operative und prozessuale Verarbeitung sowie die organisatorische und strategische Verwaltung.
Bei der Auswahl eines MSS-Providers sollte ein Unternehmen darauf achten, dass dieser unter technischen und fachlichen Aspekten über ein umfassendes Angebot verfügt, das den aktuellen Stand der Technik widerspiegelt. In vielen Unternehmen sind heute zahlreiche Sicherheitslösungen im Einsatz, allerdings isoliert und nicht miteinander vernetzt. Ein MSSP kann hier perfekt als dritte Instanz fungieren, die die Technologien beherrscht und aus vielen punktuellen Lösungen – Stichwort Multi-Vendor-Environment – eine umfassende, konsistente Sicherheitslösung bereitstellt.
Das Leistungsspektrum des MSS-Providers muss vor allem auch der Tatsache Rechnung tragen, dass herkömmliche Sicherheitsmodelle, die auf einem Perimeter-Schutz mit Firewalls, VPN-Systemen, Anti-Viren-Software, Malware-Filter oder dynamischen Sandboxing-Lösungen basieren, zwar erforderlich, aber alleine unzureichend sind.
Der Anbieter von Managed Security Services muss folglich abgesehen von Basisleistungen wie Betrieb oder Nutzung traditioneller Sicherheitslösungen weitere Leistungen bereitstellen, die als Advanced Security Analytics zu klassifizieren sind. Dazu zählen Echtzeit- und Langzeitanalysen, der Einsatz von Lösungen, die auf künstlicher Intelligenz und maschinellem Lernen basieren, signaturlose Detektionsverfahren oder das Threat Hunting. Diese ganzheitlichen MDR (Manage, Detect and Response) Services sind elementarer Bestandteil des Portfolios eines professionellen MSS-Anbieters.
Darüber hinaus sollte das Leistungsspektrum und Serviceangebot eines MSS-Providers vor allem Folgendes umfassen:
- Betrieb mehrerer Security Operations Center (SOC) in Deutschland, der EU und weltweit
- Beschäftigung von Security-Analysten und Bereitstellung eines Computer-Security-Incident-Response-Teams (CSIRT)
- Incident Management, Incident Response und Incident Reporting
- Global Threat Intelligence und Nutzung von unterschiedlichen Threat Intelligence Feeds
- Device Management (Authentifizierung, Privileged Identity Management, Key Management)
Lokale und globale Präsenz – die Kombination macht’s
Bei der Auswahl eines konkreten MSS-Angebots stellt sich eine wichtige Frage: Soll ein lokaler oder globaler Provider gewählt werden? Die Antwort ist einfach: Der ideale Partner ist ein global aufgestelltes Unternehmen mit lokaler Präsenz, natürlich auch mit entsprechender Manpower.
Gerade für den europäischen und deutschsprachigen Markt sind neben den rein funktionalen Bestandteilen eines MSS-Angebotes hauptsächlich die gesetzlichen und aufsichtsrechtlichen Aspekte in Bezug auf Datenschutz, -zugriff und -haltung von entscheidender Bedeutung. Das heißt, die lokale Präsenz eines MSS-Providers ist wichtig, da so die regulativen Anforderungen optimal abgedeckt werden können, beispielsweise hinsichtlich der neuen Datenschutz-Grundverordnung (EU-DSGVO), die ab 24. Mai 2018 in allen EU-Mitgliedsstaaten und für alle Unternehmen gilt, die im EU-Wirtschaftsraum Geschäfte tätigen. Ein lokaler MSSP kann die lokalen Anforderungen allein schon deshalb einfacher erfüllen, weil sie für ihn selbst bindend sind. Ein rein globaler Provider aus den USA beispielsweise wird genauso wenig in der Lage sein, deutsche Datenschutzanforderungen umzusetzen, wie ein Provider, der sein SOC in Nearshore- oder Offshore-Zentren verlagert.
So weit, so gut. Die hohe Bedeutung der lokalen Komponente bedeutet aber im Umkehrschluss nicht, dass für eine MSS-Nutzung nur rein lokale Anbieter in Frage kommen, denn sie verfügen in der Regel über keine valide globale Datenbasis für ein proaktives Security Monitoring. Nur eine globale Threat Intelligence kann aber die Basis für die Realisierung eines umfassenden Schutzes vor akuten – auch gänzlich neuen – Bedrohungen sein. Im Unterschied zu einem rein lokal agierenden MSS-Anbieter kann ein global aufgestellter Provider Meldungen und Störungen unterschiedlichster IT-Infrastrukturen von einigen Tausend Kunden weltweit überwachen und analysieren. Auf dieser Datenbasis kann er dann ein Echtzeitbild der Bedrohungslandschaft erzeugen, das wiederum für die Erstellung effizienter Gegenmaßnahmen und Abwehrlösungen genutzt wird.
Das Leistungsspektrum eines breit aufgestellten MSS kann hinsichtlich Art und Umfang selbst für große Konzerne oftmals nur unzureichend abgedeckt werden, folglich für viele mittelständische Unternehmen umso weniger. Für Unternehmen, die über keine große IT-Infrastruktur verfügen und ihr Kapital nicht durch Technologie-Investitionen binden möchten, ist die MSS-Nutzung praktisch der einzig gangbare Weg. Gleiches gilt für Unternehmen mit begrenzten Personalressourcen, die den IT-Betrieb sowie geschäftsfördernde Anwendungslandschaften bereitstellen müssen und somit nicht die Kapazitäten für den zusätzlichen Aufbau eines dedizierten Cyber-Defense-Teams haben.
- Schlägt ein Unternehmen den innovativen und ganzheitlichen MSS-Weg ein, ergeben sich zahlreiche Vorteile. Zu nennen sind etwa der zuverlässige Schutz geschäftskritischer Systeme und Daten, die rechtzeitigen und aussagekräftigen Sicherheitsanalysen auf Basis zusammenhängender Kontextdaten oder die proaktive Risikominderung durch die Behebung identifizierter Bedrohungen und Schwachstellen.
Allerdings ist auch ein hohes Sicherheitsbewusstsein und proaktives Handeln auf Unternehmensseite selbst zwingend erforderlich. Gezielte Angriffe sind und bleiben unabhängig von der Qualität der Früherkennung immer die Achillesferse. Dieses Bewusstsein gilt es daher, im Unternehmen auf allen Ebenen zu transportieren. Systeme, die ein Unternehmen selbst betreibt und pflegt und die nicht auf aktuellem Stand sind, sollten längst der Vergangenheit angehören. Dass dem leider nicht immer so ist, zeigt aktuell WannaCry.
* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security