1 Einführung
Die Informationssicherheit, heute oft auch als Cybersicherheit oder “Cyber Security“ bezeichnet, hat sich von einem Nischenthema für IT-Sicherheitsspezialisten zu einem Thema entwickelt, das bis auf die oberste Managementebene von Unternehmen eine hohe Aufmerksamkeit hat. Die wachsende Zahl von Cyberangriffen, die in der Öffentlichkeit bekannt werden, ebenso wie die immer größeren Herausforderungen durch Regulierungen wie das IT-Sicherheitsgesetz machen Cybersicherheit zu einem Thema für alle Unternehmen.
Hinzu kommt, dass Unternehmen in der Digitalen Transformation gezwungen sind, ihre früher eher geschlossenen, internen IT-Infrastrukturen zu öffnen und Kunden ebenso wie Geschäftspartner enger einzubinden. Eine Öffnung von Netzwerken und Diensten bedeutet aber in der Konsequenz immer auch, dass die Angriffsfläche wächst und das Unternehmen höhere Risiken im Bereich der Informationssicherheit hat. Diese müssen durch geeignete Maßnahmen reduziert werden.
Auf der anderen Seite sehen sich viele Unternehmen vor der Herausforderung, dass sie überhaupt nicht die personellen Ressourcen haben, um Informationssicherheitslösungen in ihrem Unternehmen in der erforderlichen Weise umzusetzen. Während es für kleine und mittlere Unternehmen oft schlicht ineffizient ist, ein eigenes Team für die Informationssicherheit aufzubauen, sehen sich selbst sehr große Unternehmen vor der Herausforderung, ausreichend qualifiziertes Personal zu finden, noch dazu innerhalb eines definierten Gehaltsrahmens. Die oft als „skill gap“ bezeichnete Lücke an qualifiziertem Personal ist eine grundlegende Herausforderung für alle Unternehmen und wird sich auch nicht schnell schließen lassen.
Technische Werkzeuge alleine helfen hier wenig, weil sie zwar – richtig umgesetzt – die Effizienz erhöhen können, aber eben erst einmal eingeführt werden müssen und dann immer noch hochqualifiziertes Personal für den Betrieb benötigen. Das gilt auch für Cloud-Lösungen, da diese zwar keine interne Server-Infrastruktur mit ihrem oft komplexen Aufbau und Betrieb mehr benötigen, aber immer noch richtig eingesetzt und bedient werden müssen.
Damit rücken immer mehr die Managed Security Services (MSS) in das Blickfeld, also Angebote, bei denen Informationssicherheit als verwalteter Dienst von externen Dienstleistern betrieben wird. Solche Lösungen gibt es sowohl in vielen Einzelbereichen als auch als Gesamtpakete, die alle für die Unternehmen wichtigen Felder abdecken. Der Vorteil der Nutzung solcher Dienste ist, dass die MSSPs (Managed Security Service Provider) sehr viel effizienter arbeiten können als es innerhalb eines Unternehmens der Fall ist, und Wissen zu einer breiteren Zahl von Themen bereithalten können, weil viele Spezialisten zusammenarbeiten.
Für Unternehmen macht es je nach Größe und vorhandener personeller und technischer Infrastruktur im Bereich Informationssicherheit meist Sinn, entweder auf breiter Ebene oder zumindest punktuell und komplementär mit MSSPs zusammenzuarbeiten, um die wachsenden Sicherheitsherausforderungen erfolgreich meistern zu können.
Wichtig bei einem solchen Schritt ist allerdings immer eine saubere Klärung von Anforderungen, Zuständigkeiten und Verantwortlichkeiten. Die Anforderungen an Unternehmen wachsen, beispielsweise mit der EU-Datenschutzverordnung, die ab 2018 gilt. Viele Unternehmen unterschätzen auch die Risiken, die für sie bestehen. Eine Analyse der Risiken und der rechtlichen Anforderungen sollte daher am Anfang stehen. Gleichzeitig gilt, dass sich Zuständigkeiten zwar an einen Dienstleister abgeben lassen, Verantwortung für die Erfüllung beispielsweise von regulatorischen Anforderungen aber nicht oder nur begrenzt delegierbar ist. Daher müssen Zuständigkeiten und Verantwortlichkeiten sauber geklärt werden und auch die internen Prozesse vorhanden sein, um gut mit dem MSSP zu arbeiten.