IT-Si­cher­heit wird zum Ser­vice­the­ma

In den Un­ter­neh­men dis­ku­tie­ren Ma­na­ger, wie viel Si­cher­heit nö­tig und sinn­voll ist.

Computerwoche - - Vorderseite - Von Bernd Re­der, frei­er Jour­na­list in Mün­chen

Die wach­sen­den Her­aus­for­de­run­gen im Be­reich IT-Se­cu­ri­ty las­sen sich oft nicht mehr al­lei­ne be­wäl­ti­gen. Mehr als die Hälf­te der deut­schen Un­ter­neh­men greift auf IT-Si­cher­heits­diens­te von ex­ter­nen Di­enst­leis­tern zu­rück. Das hat die ak­tu­el­le Stu­die zu Ma­na­ged-Se­cu­ri­ty-Ser­vices von IDG Re­se­arch Ser­vices er­ge­ben. Un­ter­neh­men se­hen sich da­bei je­doch mit Her­aus­for­de­run­gen kon­fron­tiert: Klei­ne­re Fir­men kön­nen sich die Aus­la­ge­rung oft nicht leis­ten, Füh­rungs­kräf­te strei­ten, was nö­tig ist.

Der Schutz von IT-Sys­te­men, Da­ten, Ap­pli­ka­tio­nen und Be­nut­zer­kon­ten vor dem Miss­brauch durch ex­ter­ne oder in­ter­ne An­grei­fer zählt zu den wich­tigs­ten Auf­ga­ben der IT-Ab­tei­lung, aber auch zu den schwie­rigs­ten. Da­her greift ei­ne wach­sen­de Zahl von Un­ter­neh­men in Deutsch­land auf die Hil­fe von Spe­zia­lis­ten zu­rück, die IT-Si­cher­heits­ser­vices als Di­enst­leis­tung be­reit­stel­len. Das er­gab die von IDG Re­se­arch in­iti­ier­te Stu­die „Ma­na­ged Se­cu­ri­ty Ser­vices 2018“, die von COMPUTERWOCHE, CIO und Chan­nelPart­ner in Auf­trag ge­ge­ben wur­de. Laut der Un­ter­su­chung nutzt be­reits mehr als die Häl­fe der Un­ter­neh­men (54 Pro­zent) ex­ter­ne IT-Si­cher­heits­diens­te, wei­te­re 15 Pro­zent pla­nen dies. Fast 40 Pro­zent grei­fen so­gar auf die Un­ter­stüt­zung von zwei bis drei An­bie­tern von Ma­na­ged-Se­cu­ri­ty-Ser­vices zu­rück. Der Trend, IT-Si­cher­heit als Di­enst­leis­tung zu be­zie­hen, ist auf meh­re­re Fak­to­ren zu­rück­zu­füh­ren. Ei­ner ist der ho­he or­ga­ni­sa­to­ri­sche Auf­wand, der mit der Ein­füh­rung von IT-Si­cher­heits­stan­dards und de­ren Um­set­zung in der Pra­xis ver­bun­den ist. Vor al­lem für CIOs, Chief Tech­no­lo­gy Of­fi­cers (CTOs) und IT-Si­cher­heits­ver­ant­wort­li­che (46 Pro­zent) ist dies ein maß­geb­li­cher Grund, ex­ter­ne Di­enst­leis­ter ein­zu­schal­ten.

Mehr Si­cher­heit – we­ni­ger Ri­si­ken

Der Stu­die zu­fol­ge ha­ben vor al­lem ver­schärf­te Da­ten­schutz­re­ge­lun­gen wie die EU-Da­ten­schutz-Gr­und­ver­ord­nung (DSGVO) so­wie das IT-Si­cher­heits­ge­setz die At­trak­ti­vi­tät von ge­ma­nag­ten IT-Se­cu­ri­ty-Di­ens­ten er­höht. Ein zen­tra­les Ziel, das die Nut­zer sol­cher Ser­vices er­rei­chen möch­ten, ist ei­ne Mi­ni­mie­rung der recht­li­chen Ri­si­ken. Spe­zi­ell klei­ne­re Un­ter­neh­men wol­len die­se Auf­ga­be ei­nem Di­enst­leis­ter über­ge­ben. Die­ser ver­fügt aus Sicht der Auf­trag­ge­ber so­wohl über die Kennt­nis­se als auch die per­so­nel­len Res­sour­cen, um Fir­men bei­spiels­wei­se bei der Um­set­zung der DSGVO zu un­ter­stüt­zen.

Rund 46 Pro­zent al­ler Un­ter­neh­men be­trach­ten die Im­ple­men­tie­rung von IT-Si­cher­heits­stan­dards als größ­te or­ga­ni­sa­to­ri­sche

Her­aus­for­de­rung im Rah­men von IT-Se­cu­ri­ty­Maß­nah­men. Das se­hen vor al­lem CIOs, CTOs und IT-Si­cher­heits­ver­ant­wort­li­che so (55 Pro­zent). Für knapp 41 Pro­zent der Be­trie­be ist die kon­ti­nu­ier­li­che Kon­trol­le, ob die vor­ge­ge­be­nen Se­cu­ri­ty-Re­geln auch ein­ge­hal­ten wer­den, mit ei­nem ho­hen Auf­wand ver­bun­den. Eng da­mit ver­knüpft ist die Pro­ble­ma­tik, dass of­fen­sicht­lich vie­le Mit­ar­bei­ter nur über ein un­zu­rei­chen­des Be­wusst­sein für IT-Si­cher­heit ver­fü­gen (35 Pro­zent). Das gilt ins­be­son­de­re für die grö­ße­ren Un­ter­neh­men mit mehr als 500 Mit­ar­bei­tern (40 Pro­zent).

Ne­ben den or­ga­ni­sa­to­ri­schen Aspek­ten ha­ben die Ver­ant­wort­li­chen mit tech­ni­schen Her­aus­for­de­run­gen zu kämp­fen. Rund die Hälf­te der be­frag­ten Füh­rungs­kräf­te gab an, dass die wach­sen­de Kom­ple­xi­tät von Cy­ber-Atta­cken für die IT-Ab­tei­lun­gen ein im­mer grö­ße­res Pro­blem dar­stellt. Ein ak­tu­el­les Bei­spiel, das in der IT-Si­cher­heits­bran­che der­zeit die Run­de macht, ist das Cre­den­ti­al Stuf­f­ing, al­so der Miss­brauch von ge­stoh­le­nen Zu­gangs­da­ten wie Be­nut­zer­na­men und Pass­wör­tern. An­grei­fer set­zen da­bei ver­stärkt auf au­to­ma­ti­sier­te Ver­fah­ren mit Hil­fe von Bots. Die­se star­ten mit den ent­wen­de­ten Ac­count-Da­ten in gro­ßem Maß­stab An­fra­gen bei IT-Sys­te­men und We­bAp­pli­ka­tio­nen, die ein Un­ter­neh­men ein­setzt. Sol­che An­grif­fe bau­en dar­auf, dass Nut­zer häu­fig die­sel­ben Lo­gin-In­for­ma­tio­nen für die An­mel­dung bei un­ter­schied­li­chen An­wen­dun­gen oder Sys­te­men ver­wen­den. Mit Hil­fe von ex­ter­nen Spe­zia­lis­ten wol­len Un­ter­neh­men die­se Art An­grif­fe ab­weh­ren und so das IT-Si­cher­heits­ni­veau ins­ge­samt er­hö­hen.

Der Schutz von Da­ten in der Cloud (32 Pro­zent) stellt ei­ne wei­te­re tech­ni­sche Her­aus­for­de­rung dar. Das se­hen vor al­lem CIOs und IT-Vor­stän­de so (47 Pro­zent) – die dar­un­ter an­ge­sie­del­te Hier­ar­chie­ebe­ne der IT-Fach­be­reichs­lei­ter ist nicht un­be­dingt der glei­chen Auf­fas­sung. Hier se­hen nur 25 Pro­zent die Ab­si­che­rung der Cloud als ih­re größ­te tech­ni­sche Se­cu­ri­ty­Her­aus­for­de­rung an.

Mehr IT-Se­cu­ri­ty (42 Pro­zent) und mehr Rechts­si­cher­heit (33,5 Pro­zent), das sind die pri­mä­ren Zie­le, die die An­wen­der­un­ter­neh­men mit der Aus­la­ge­rung von Si­cher­heits-Di­enst­leis­tun­gen ver­fol­gen. Des Wei­te­ren ver­spre­chen sich die Ver­ant­wort­li­chen, Auf­wand (31 Pro­zent) und Kos­ten (29 Pro­zent) zu ver­rin­gern.

Gleich­zei­tig soll die Zu­sam­men­ar­beit mit ei­nem Ma­na­ged-Se­cu­ri­ty-Ser­vice-Pro­vi­der (MSSP) die ei­ge­ne IT-Ab­tei­lung ent­las­ten. Vor al­lem grö­ße­re Un­ter­neh­men (38 Pro­zent) se­hen in ent­spre­chen­den Ser­vices ein Mit­tel, den Man­gel an IT-Si­cher­heits­spe­zia­lis­ten zu kom­pen­sie­ren. Für klei­ne­re Un­ter­neh­men, die in der Re­gel über klei­ne­re IT-Ab­tei­lun­gen ver­fü­gen, ist die­ser Aspekt in­ter­es­san­ter­wei­se we­ni­ger re­le­vant (27 Pro­zent).

Ge­gen­ar­gu­ment: Kom­ple­xi­tät der IT-In­fra­struk­tur

Nur gut je­de fünf­te der be­frag­ten Fir­men lehnt laut der Um­fra­ge ein Out­sour­cing von Auf­ga­ben im Be­reich IT-Se­cu­ri­ty ab – 13 Pro­zent ver­fol­gen oh­ne An­ga­be von Grün­den kei­ne Plä­ne in die­se Rich­tung, gut acht Pro­zent ha­ben sich be­wusst da­ge­gen ent­schie­den. Ein Ar­gu­ment, das aus Sicht die­ser Un­ter­neh­men ge­gen ge­ma­nag­te Si­cher­heits­ser­vices spricht, sind die Kos­ten. Spe­zi­ell klei­ne­re Un­ter­neh­men mit we­ni­ger als 500 Mit­ar­bei­tern (45 Pro­zent) füh­ren ho­he fi­nan­zi­el­le Auf­wen­dun­gen da­für an, dass sie bis­lang auf Ma­na­ged-Se­cu­ri­ty-Di­ens­te ver­zich­tet ha­ben. Da­ge­gen ist der Kos­ten­fak­tor nur für 27 Pro­zent der gro­ßen Fir­men ein Hin­de­rungs­grund.

Ins­be­son­de­re Ge­schäfts­füh­rer (40 Pro­zent) ha­ben we­gen der Kos­ten Vor­be­hal­te ge­gen­über sol­chen Ser­vices. Nur 25 Pro­zent der IT-Fach­be­reichs­lei­ter tei­len die­se Be­fürch­tung. Zwi­schen den Ein­schät­zun­gen von Fi­nanz-

ver­ant­wort­li­chen und IT-Spe­zia­lis­ten herrscht so­mit ei­ne deut­li­che Dis­kre­panz. Un­ter­neh­men, die sich ge­gen ge­ma­nag­te IT-Se­cu­ri­ty­Ser­vices ent­schie­den, füh­ren zu­dem die ho­he Kom­ple­xi­tät ih­rer IT-Um­ge­bung als Ar­gu­ment an. Rund 33 Pro­zent wie­der­um ar­gu­men­tie­ren, dass Si­cher­heits­ana­ly­sen er­ge­ben hät­ten, dass sol­che Di­ens­te nicht er­for­der­lich sei­en. Al­ler­dings ver­tre­ten vor al­lem IT-Füh­rungs­kräf­te wie IT-Lei­ter und Fach­be­reichs­ver­ant­wort­li­che die­se Mei­nung. Das deu­tet mög­li­cher­wei­se dar­auf hin, dass ein Teil der in­ter­nen IT-Ex­per­ten in Ma­na­ged-Se­cu­ri­ty-Ser­vices ei­ne un­er­wünsch­te Kon­kur­renz sieht, die sie un­ter Um­stän­den so­gar ih­ren Job kos­ten könn­te.

Vie­le Auf­ga­ben las­sen sich aus­la­gern

Ei­nig sind sich die Teil­neh­mer der Stu­die dar­in, dass ein be­trächt­li­cher Teil der Auf­ga­ben im Be­reich IT-Si­cher­heit grund­sätz­lich an ex­ter­ne Di­enst­leis­te aus­ge­la­gert wer­den könn­te. Die acht Be­rei­che, die laut den Be­frag­ten für ein Out­sour­cing am stärks­ten in­fra­ge kom­men, be­we­gen sich zwi­schen 22 und 31 Pro­zent Zu­stim­mung. Das heißt, Un­ter­neh­men se­hen ein gro­ßes Po­ten­zi­al für das Ver­la­gern von IT-Si­cher­heits­auf­ga­ben auf Di­enst­leis­ter. Das Spek­trum um­fasst da­bei nicht nur kom­ple­xe Maß­nah­men wie das Er­stel­len und Über­wa­chen von Se­cu­ri­ty Po­li­cies und die Ana­ly­se von An­grif­fen.

Zu den Auf­ga­ben, die ein ex­ter­ner Spe­zia­list in ers­ter Li­nie über­neh­men kann, zäh­len dem­nach die Über­wa­chung von Se­cu­ri­ty Po­li­cies (31 Pro­zent), die Im­ple­men­tie­rung von Si­cher­heits­lö­sun­gen (28 Pro­zent) so­wie die Ana­ly­se von An­grif­fen (28 Pro­zent). Un­ter­neh­men kön­nen sich zu­dem vor­stel­len, grund­le­gen­de or­ga­ni­sa­to­ri­sche Si­cher­heits­auf­ga­ben ei­nem Di­enst­leis­ter zu über­tra­gen, et­wa die Er­stel­lung von Se­cu­ri­ty Po­li­cies (28 Pro­zent) so­wie die Ana­ly­se von Be­dro­hun­gen (27 Pro­zent).

Doch in­ner­halb der Un­ter­neh­men gibt es gra­vie­ren­de Mei­nungs­un­ter­schie­de dar­über,

wie ein­zel­ne Se­cu­ri­ty-Auf­ga­ben ge­hand­habt wer­den soll­ten: So kön­nen sich bei­spiels­wei­se nur 17 Pro­zent der Ge­schäfts­füh­rer vor­stel­len, Cy­ber-Atta­cken durch Ex­ter­ne un­ter­su­chen zu las­sen. Für 38 Pro­zent der CIOs wä­re ein sol­ches Vor­ge­hen durch­aus ei­ne Op­ti­on.

Da­ge­gen wür­den 41 Pro­zent der Fach­be­rei­che und 31 Pro­zent der IT-Lei­ter und IT-Fach­be­reichs­ver­ant­wort­li­chen auch Be­dro­hungs­ana­ly­sen ei­nem Di­enst­leis­ter über­tra­gen. Das wol­len aber nur 16 Pro­zent der CIOs und 22 Pro­zent der Füh­rungs­spit­zen ei­nes Un­ter­neh­mens.

Die­se Wer­te deu­ten auf ei­nen un­ter­schied­li­chen Wis­sens­stand bei den haus­ei­ge­nen Fach­leu­ten, die nä­her an der IT-Pra­xis an­ge­sie­delt sind, und den Mit­ar­bei­tern auf der Füh­rungs­ebe­ne hin. Um po­ten­zi­el­le IT-Si­cher­heits­ri­si­ken aus­zu­schal­ten, ist es of­fen­kun­dig not­wen­dig, den In­for­ma­ti­ons­aus­tausch zwi­schen den ver­schie­de­nen Ebe­nen in den Be­trie­ben zu ver­bes­sern.

Be­trieb von Se­cu­ri­ty-Ope­ra­ti­ons-Cen­tern

Über die Hälf­te der Un­ter­neh­men, die be­reits mit IT-Se­cu­ri­ty-Di­enst­leis­tern zu­sam­men­ar­bei­ten, nut­zen SOC-Ser­vices. Fast eben­so vie­le (je­weils 47 Pro­zent) neh­men Back­up-Ser­vices in An­spruch und las­sen von ex­ter­nen Spe­zia­lis­ten Si­cher­heits­lö­sun­gen eva­lu­ie­ren. Zu­dem zäh­len Soft­ware-de­fi­ned-WAN-Ope­ra­tio­nen (45 Pro­zent), die Ab­wehr von An­grif­fen samt fo­ren­si­schen Un­ter­su­chun­gen (42 Pro­zent) und das Pe­ne­tra­ti­on Tes­ting (42 Pro­zent) zu den Ser­vices, die Un­ter­neh­men be­vor­zugt von IT-Se­cu­ri­ty-Di­enst­leis­tern be­zie­hen.

Den Be­trieb ih­rer IT-Si­cher­heits­ar­chi­tek­tur ha­ben 39 Pro­zent der Un­ter­neh­men aus­ge­la­gert. Die Un­ter­neh­mens­grö­ße spielt für die Nut­zung sol­cher Ser­vices kei­ne Rol­le – klei­ne­re wie grö­ße­re Fir­men neh­men die­se Di­ens­te in An­spruch. Bei Be­dro­hungs­ana­ly­sen/Th­re­at In­tel­li­gence und im Be­reich Patch-Management ko­ope­rie­ren je­weils über 39 Pro­zent der be­frag­ten Fir­men mit Ser­vice-Pro­vi­dern. Th­re­at In­tel­li­gence wird da­bei be­son­ders von grö­ße­ren Un­ter­neh­men ein­ge­setzt (17,5 Pro­zent), wäh­rend die klei­ne­ren Be­trie­be hier noch et­was we­ni­ger ak­tiv sind (10,3 Pro­zent). 36 bis 37 Pro­zent der Be­frag­ten neh­men Net­work-Ope­ra­ti­ons-Cen­ter-Ope­ra­tio­nen ei­nes ex­ter­nen Di­enst­leis­ters in An­spruch, kau­fen Se­cu­ri­ty-Au­to­ma­ti­on-Ser­vices oder die Di­ens­te ei­nes Cloud Ac­cess Se­cu­ri­ty Bro­kers (CASB) ein. Fast eben­so vie­le Un­ter­neh­men pla­nen künf­tig den Ein­satz von CASB-Ser­vices.

Die Qua­li­tät der Se­cu­ri­ty-Ser­vices scheint aus Sicht der An­wen­der zu stim­men. Vor al­lem mit Di­enst­leis­tun­gen im Be­reich Se­cu­ri­ty-Ope­ra­ti­ons-Cen­ter (SOC) sind die Nut­zer zu­frie­den (85 Pro­zent). Mehr als 80 Pro­zent der Un­ter­neh­men stu­fen zu­dem die Qua­li­tät wei­te­rer Ma­na­ged-Se­cu­ri­ty-Di­ens­te als hoch ein, den Schutz vor Cy­ber-An­grif­fen (84 Pro­zent) und den Be­trieb von Net­work-Ope­ra­ti­ons-Cen­tern (NOC).

Der IT-Lei­ter trifft die Ent­schei­dung

In 82 Pro­zent der Fäl­le tref­fen die IT-Spe­zia­lis­ten die stra­te­gi­schen Ent­schei­dun­gen in punc­to IT-Se­cu­ri­ty, in­klu­si­ve Ma­na­ged Ser­vices, nicht die Ge­schäfts­lei­tung. Ne­ben dem IT-Lei­ter (46 Pro­zent) sind dies der CIO be­zie­hungs­wei­se IT-Vor­stand (36 Pro­zent). Nur in 15 Pro­zent der Un­ter­neh­men hat der Fi­nanz­vor­stand das ent­schei­den­de Wort. An­ders stellt sich die Si­tua­ti­on in klei­ne­ren Un­ter­neh­men dar. Dort be­hal­ten sich Fi­nanz­vor­stän­de und Ge­schäfts­füh­rer in stär­ke­rem Ma­ße ein Mit­spra­che­recht vor, wenn es um den Ein­satz von Ma­na­ged Se­cu­ri­ty geht.

Be­mer­kens­wert ist zu­dem, dass nur in je­der fünf­ten Fir­ma der CISO (Chief In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer) oder In­for­ma­ti­on Se­cu­ri­ty Of­fi­cer die Ent­schei­dungs­kom­pe­tenz ha­ben, wenn das Out­sour­cing von Auf­ga­ben an ei­nen IT-Si­cher­heits­dienst­leis­ter zur Dis­kus­si­on steht. Spe­zia­lis­ten wie Lei­ter von

Re­chen­zen­tren oder der IT-In­fra­struk­tur blei­ben weit­ge­hend au­ßen vor, wenn ein Un­ter­neh­men die Zu­sam­men­ar­beit mit Se­cu­ri­ty­Di­enst­leis­tern er­wägt. Glei­ches gilt für Chief Risk Of­fi­cer, und das glei­cher­ma­ßen in klei­nen und gro­ßen Fir­men.

Ge­for­dert: Gu­tes Know-how und fai­re Prei­se

Bei der Aus­wahl ei­nes MSSP ach­ten Un­ter­neh­men vor al­lem auf drei Fak­to­ren: 1. ei­ne ho­he tech­ni­sche Kom­pe­tenz (36 Pro­zent), 2. ein gu­tes Preis-Leis­tungs-Ver­hält­nis (31 Pro­zent) so­wie 3. ei­nen tech­ni­schen Sup­port in Deutsch (31 Pro­zent).

Mehr als ein Drit­tel der Un­ter­neh­men mit we­ni­ger als 500 Mit­ar­bei­tern wünscht sich ei­nen IT-Si­cher­heits­dienst­leis­ter, des­sen Fir­men­sitz in Deutsch­land liegt. Das kommt deut­schen Sys­tem­häu­sern und IT-Di­enst­leis­tern zu­gu­te, die ihr Ge­schäft um Ser­vices im Be­reich Ma­na­ged Se­cu­ri­ty er­wei­tern möch­ten. Dies gilt um­so mehr, als ein Vier­tel der Be­frag­ten im Be­reich IT-Si­cher­heits­ser­vices am liebs­ten mit ei­nem IT-Un­ter­neh­men zu­sam­men­ar­bei­ten möch­ten, mit dem sie be­reits in an­de­ren Be­rei­chen gu­te Er­fah­run­gen ge­macht ha­ben.

Die­se Ein­schät­zung stößt bei IT-Di­enst­leis­tern na­tur­ge­mäß auf of­fe­ne Oh­ren. Denn sie se­hen in Ma­na­ged-Se­cu­ri­ty-Ser­vices ein Ge­schäfts­feld mit gro­ßem Po­ten­zi­al. So will mehr als ein Fünf­tel der An­bie­ter den Um­satz mit ge­ma­nag­ten IT-Se­cu­ri­ty-Di­ens­ten im lau­fen­den Jahr um min­des­tens zehn Pro­zent stei­gern. Das gilt vor al­lem für Di­enst­leis­ter, die klei­ne Un­ter­neh­men zu ih­ren Kun­den zäh­len. Die­se An­bie­ter ha­ben al­ler­dings ei­nen ho­hen Nach­hol­be­darf. Denn bei der Hälf­te der grö­ße­ren Sys­tem­häu­ser und Ser­vice-Pro­vi­der ent­fal­len be­reits heu­te bis zu 25 Pro­zent des Um­sat­zes auf den Be­reich Ma­na­ged Se­cu­ri­ty. Auf ver­gleich­ba­re Wer­te kommt nur ein Drit­tel der klei­ne­ren IT-Di­enst­leis­ter.

Bud­get für Ma­na­ged-Se­cu­ri­ty-Di­ens­te

Rund zehn Pro­zent der Un­ter­neh­men re­ser­vie­ren we­ni­ger als fünf Pro­zent ih­res IT-Bud­gets für ex­ter­ne IT-Se­cu­ri­ty-Ser­vices. Der größ­te Teil der Un­ter­neh­men (37 Pro­zent) in­ves­tiert bis zu zehn Pro­zent des Bud­gets in ge­ma­nag­te Si­cher­heits­diens­te. Dies gilt vor al­lem für klei­ne­re Fir­men (38 Pro­zent) mit we­ni­ger als 500 Mit­ar­bei­tern. Zir­ka 41 Pro­zent der Groß­un­ter­neh­men se­hen da­ge­gen zehn bis 20 Pro­zent der IT-Aus­ga­ben für Ma­na­ged Se­cu­ri­ty vor.

Grund­sätz­lich gilt: Je hö­her das IT-Bud­get, des­to mehr Geld steht für IT-Se­cu­ri­ty-Di­enst­leis­ter zur Ver­fü­gung. An die 44 Pro­zent der Un­ter­neh­men mit ei­nem IT-Bud­get von mehr als zehn Mil­lio­nen Eu­ro pro Jahr in­ves­tie­ren zwi­schen zehn und 20 Pro­zent da­von in Ma­na­ged-Se­cu­ri­ty-Ser­vices. Vor al­lem Un­ter­neh­men mit Nie­der­las­sun­gen im Aus­land grei­fen auf Ser­vices von ex­ter­nen Si­cher­heits­spe­zia­lis­ten zu­rück. Fir­men mit mehr als 50 Nie­der­las­sun­gen se­hen da­für 20 Pro­zent des IT-Bud­gets vor. Her­vor­zu­he­ben ist, dass kei­nes der be­frag­ten Un­ter­neh­men sein Bud­get für Ma­na­ged-Se­cu­ri­ty-Ser­vices aus ei­nem Nich­tIT-Bud­get be­zieht.

Fa­zit: Noch et­li­che Bau­stel­len

Un­ter­neh­men in Deutsch­land ha­ben of­fen­kun­dig er­kannt, dass sie die kom­ple­xen Her­aus­for­de­run­gen im Be­reich IT-Se­cu­ri­ty nicht um je­den Preis im Al­lein­gang be­wäl­ti­gen müs­sen. Das be­legt der ho­he An­teil von Fir­men, die be­reits Ma­na­ged-Se­cu­ri­ty-Ser­vices nut­zen. Ne­ben der wach­sen­den Be­dro­hung durch Cy­ber-An­grif­fe spielt da­bei auch der Man­gel an IT-Si­cher­heits­fach­kräf­ten ei­ne ent­schei­den­de Rol­le.

Es gibt je­doch noch et­li­che Bau­stel­len. Da­zu zäh­len die teil­wei­se er­heb­li­chen Un­ter­schie­de bei der Ein­schät­zung des Nut­zens und der Not­wen­dig­keit von Ma­na­ged-Se­cu­ri­ty-Di­ens­ten. Das gilt bei­spiels­wei­se für wich­ti­ge Be­rei­che wie die Schwach­stel­len- und Ri­si­ko­ana­ly­se. CIOs und Ge­schäfts­füh­rer ten­die­ren zu ei­nem „Nein“, wäh­rend IT-Lei­ter und Fach­be­rei­che den Ein­satz ex­ter­ner Ex­per­ten for­cie­ren. Sol­che Dis­kre­pan­zen sind bei ei­nem un­ter­neh­mens­kri­ti­schen The­ma wie IT-Si­cher­heit nicht ak­zep­ta­bel. Of­fen­kun­dig be­steht in­ner­halb vie­ler Un­ter­neh­men Dis­kus­si­ons­be­darf, wel­che Auf­ga­ben ei­nem IT-Si­cher­heits­dienst­leis­ter über­tra­gen wer­den soll­ten. In sol­chen zen­tra­len Fra­gen soll­ten al­le Be­tei­lig­ten ei­nen ge­mein­sa­men Nen­ner fin­den.

Zu hin­ter­fra­gen ist zu­dem die Ein­schät­zung ei­nes be­trächt­li­chen Teils der Un­ter­neh­men, dass ex­ter­ne IT-Si­cher­heits­diens­te ge­ne­rell nicht er­for­der­lich sind. Denn in der Pra­xis zeigt sich im­mer wie­der ei­ne ge­wis­se Be­triebs­blind­heit bei IT-Ver­ant­wort­li­chen, CIOs und Ge­schäfts­füh­rern. Die Fol­gen: Das IT-Si­cher­heits­ni­veau im ei­ge­nen Haus wird über­schätzt, De­fi­zi­te blei­ben un­er­kannt. Bes­ser ist, wenn ei­ne neu­tra­le In­stanz re­gel­mä­ßig die ein­ge­setz­ten IT-Se­cu­ri­ty-Maß­nah­men über­prüft und da­durch Ha­cker-An­grif­fen und dem Ver­lust von Ge­schäfts­da­ten vor­beugt.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.