Managed Security Service Provider: 6 Risiken, die Sie im Blick haben sollten

Foto: Gorodenkoff – shutterstock.com

Weil die Akzeptanz von Managed Security Services im Unternehmensumfeld allmählich zunimmt, werden die Vorteile und Risiken der Inanspruchnahme dieser Services für aktuelle und künftige Kunden deutlich klarer. Eine aktuelle Umfrage von Forrester Research unter 140 Managed-Security-Service-Provider (MSSP) -Kunden kommt zu dem Ergebnis, dass einige Unternehmen MSSPs erfolgreich nutzen. Viele andere tun sich dagegen schwer, Mehrwert aus diesen Geschäftsbeziehungen zu ziehen.

Laut Forrester haben CSOs generell damit zu kämpfen, ihre Ausgaben für MSSPs gegenüber Führungskräften aus nicht-sicherheitsrelevanten Bereichen zu rechtfertigen. Die Gründe liegen den Analysten zufolge unter anderem in einem Mangel an geeigneten Metriken und der Komplexität der Technologie. Gleichzeitig fällt es den Managed Security Service Providern selbst schwer, die Vorteile ihrer Angebote mit den Dingen zu verknüpfen, die für Unternehmen wirklich wichtig sind – Kunden und Stakeholder zufriedenzustellen und die Geschäftsanforderungen zu stützen.

Managed Security Services ist kein Outsourcing

“Managed Security Services mit Outsourcing gleichzusetzen ist einer der häufigsten Fehler, den Unternehmen bei der Inanspruchnahme eines MSSP machen”, meint Forrester-Analyst Jeff Pollard. In der Realität verbrächten die meisten Unternehmen nach dem Engagement eines MSSP nicht weniger, sondern deutlich mehr Zeit mit Security. “Diese Zeit fließt allerdings oft in wertvolle Aktivitäten, wie die Erkennung ernsthafter Bedrohungen oder die Behebung von Schwachstellen. Unternehmen, die mit der Erwartung antreten, durch einen MSSP weniger Zeit und Ressourcen für die Sicherheit aufwenden zu müssen, werden vermutlich bitter enttäuscht.”

Inzwischen nehmen Unternehmen aller Größenordnungen die Dienste von Managed Security Service Providern in Anspruch, wobei größere Organisationen ein solches Engagement aus anderen Gründen eingehen als kleine und mittlere Unternehmen. Laut Daniel Kennedy, Analyst bei 451 Research, haben etwa 30 Prozent der Unternehmen mit weniger als 1.000 Mitarbeitern und vier von zehn Organisationen mit mehr als 1.000 Mitarbeitern Managed Security Services implementiert. Die Daten von 451 Research zeigen darüber hinaus, dass größere Unternehmen mit relativ gut ausgestatteten Security-Organisationen dazu neigen, MSSPs für Sicherheitsbetriebsfunktionen wie Intrusion Management und SIEM zu nutzen. Im Enterprise-Bereich kommen Managed Security Services auch für Incident-Response-Dienste wie Managed Detection and Response zum Einsatz.

Kleinere Unternehmen hingegen nutzten MSSPs in der Regel eher für infrastrukturbezogene Funktionen wie Endpunktsicherheit und andere Bereiche, in denen der Provider eher IT-Services ersetzt, als Sicherheitsfunktionen zu ergänzen. Laut 451 Research verfolgen KMU mit einem MSSP-Engegement häufig das Ziel, die Sicherheitskosten zu minimieren, dabei aber eine angemessene Abdeckung der grundlegenden Sicherheitsfunktionen zu gewährleisten.

Laut Forrester kann ein qualifizierter MSSP – wenn er richtig eingesetzt wird – Unternehmen dabei helfen, ihr Security-Niveau anzuheben und in bestimmten Bereichen auch dem Fachkräftemangel entgegenwirken. “Im KMU-Bereich ergibt sich der ROI oft aus der Amortisation der Kosten, die mit der Suche, Einstellung und Aufrechterhaltung eines 24×7 Security Operations Center Teams verbunden sind”, weiß Marcus Bragg, VP of Sales bei AT&T Cybersecurity. “In größeren Unternehmen kann der Einsatz eines MSSP dem vorhandenen Sicherheitspersonal ermöglichen, sich auf strategischere und wirkungsvollere Sicherheitsaufgaben zu konzentrieren.”

Einen solchen ROI zu erzielen, kann jedoch eine Herausforderung für Unternehmen sein, die nicht genau wissen, worauf sie sich einlassen. Die Forrester-Umfrage zeigt auch, dass die besten MSSP-Engagements zustande kommen, wenn CSOs eine klare Vorstellung von ihren eigenen Fähigkeiten sowie ihrem Security-Programm haben und spezifische Anforderungen an ihren Provider stellen. So würden in der Beziehung von Anfang an die richtigen Erwartungen festgelegt und anschließend adäquat gemanagt.

MSP vs. MSSP

Managed Service Provider (MSP) bieten traditionell hauptsächlich verwaltete IT-Dienste an. Angesichts der starken Zunahme von Ransomware-Angriffen und anderen Bedrohungen offerieren fast alle MSPs inzwischen auch einen oder mehrere Security Services , wie ein Blick in den “Global State of the MSP”-Report von Datto zeigt.

Falls Sie das Engegement eines Managed Service Providers in Erwägung ziehen, sollten Sie sich genau mit dessen Angebot auseinandersetzen, da die Security-Funktionalitäten unter Umständen begrenzt sind. So ergab die Analyse von Datto, dass die meisten MSPs zwar grundlegende Schutzmaßnahmen wie Endpunktsicherheit anbieten – allerdings gehören grundlegende Firewall-Funktionen nur in 66 Prozent und eine Zwei-Faktor-Authentifizierung in 68 Prozent der Fälle zum Angebot. In punkto Remote Access-Technologien und Mobile Device Management liegen die Werte mit 63 Prozent noch niedriger.

Dabei sollten Sie auch einen Blick darauf werfen, wie der MSP Ihrer Wahl zu seinen Sicherheitsfunktionen “gekommen” ist. In vielen Fällen sind diese ausgelagert: Laut vorgenannter Datto-Untersuchung nutzen 67 Prozent der Managed Service Provider co-managed Security Tools, während 61 Prozent mit einem MSSP zusammenarbeiten. Nur 51 Prozent der MSPs greift auf interne Sicherheitsexpertise zurück.

Die 6 größten MSSP-Risiken

Unternehmen, die ein MSSP-Programm umsetzen wollen, sollten jedoch ebenfalls Risiken im Blick haben. Wir haben mit Experten gesprochen, um die sechs größten Risiken beim Einsatz von Managed Security Service Providern identifizieren.

1. Unfähigkeit, eigenes Sicherheitsniveau zu bewerten

“Das größte Risiko bei der Zusammenarbeit mit einem MSSP besteht darin, einen Anbieter zu wählen, der die eigenen Teams nicht gut ergänzt”, meint Forrester-Analyst Pollard. Unternehmen müssten sich zunächst über ihre eigenen Fähigkeiten im Klaren sein, um einen Managed Security Service Provider auswählen zu können, der wirklich dabei helfen kann, Lücken zu schließen. Außerdem müssten sie die Stärken und Schwächen eines MSSP auch bewerten können, um sicherzustellen, dass er den eigenen Anforderungen entspricht.

“Einen Managed Security Service Provider auszuwählen, der sich hervorragend mit der Verwaltung von Geräten und Technologien auskennt, ist wenig hilfreich, wenn Sie eigentlich Unterstützung bei der Reaktion auf Vorfälle und der IT-Forensik benötigen”, erklärt Pollard.

2. Funktionsweise interner Systeme voraussetzen

Manchmal machten Unternehmen auch den Fehler, sich zu sehr darauf zu verlassen, dass ihr MSSP ihre interne IT-Umgebung und deren Funktionsweise versteht, meint IDC-Analyst Pete Lindstrom. “Dazu gehören auch die Bürokultur und das Verständnis für die Risiken, die mit den verschiedenen Systemtypen verbunden sind. Wenn Unternehmen nicht den Prozess managen, Risikobewertungen durchführen und die geleistete Arbeit aktiv überprüfen, besteht die Gefahr, dass Dinge unter den Tisch fallen.”

So sei es zum Beispiel höchst unwahrscheinlich, dass ein Managed Security Service Provider von neuen Systemen oder Architekturen weiß, die zur Unterstützung von IT-Projekten eingesetzt werden: “Es ist Sache des Sicherheitsverantwortlichen, den MSSP umfassend zu informieren und alle Überwachungsanforderungen in den Vertrag zu integrieren”, sagt Lindstrom.

Das IT-Team bei der Beauftragung eines MSSP nicht miteinzubeziehen, ist in den Augen von AT&T-Cybersecurity-Spezialist Bragg ebenfalls ein häufiger Fehler. “Wenn man keinen Zugang zu wichtigen Systemen oder Informationen darüber hat, kann die Einbindung des Managed Security Service Providers nicht schnell erfolgen und die Sichtbarkeit des MSSP während der gesamten Lebensdauer des Dienstes verringert sich drastisch.”

3. Unvorbereitet auf die Informationsasymmetrie

Unternehmen beauftragen oft einen MSSP, um eine Aufgabe zu übernehmen, für die vor Ort kein Knowhow vorhanden ist. Das bedeute aber auch, dass sie wahrscheinlich nicht in der Lage seien, festzustellen, ob der von ihnen beauftragte Anbieter die vertraglich vereinbarten Dienstleistungen erbringt, merkt 451-Research-Analyst Kennedy an und verweist auf einen Vorfall, bei dem ein Kunde für einen Security Monitoring Service bezahlte, obwohl der MSSP in Wirklichkeit gar nichts überwachte:

“Der Kunde hatte ein Gefühl dafür, dass etwas nicht stimmte, war aber nicht in der Lage, selbständig herauszufinden, was Sache ist. Wenn man einen Vertrag über Expertise abschließt, besteht eine Informationsasymmetrie – das ist ein Problem mit einigen Managed Service Providern”, so Kennedy.

4. Nicht wissen, worauf man sich eingelassen hat

Die Art und Weise, wie einige MSSP ihre Angebote strukturierten, könne es schwierig machen, zu verstehen, wie die tatsächliche Serviceerfahrung aussieht und wie sie bepreist wird, meint Bragg: “Wie wird Ihre Nutzung von Cloud-Diensten wie AWS, Azure oder SaaS-Anwendungen wie GSuite oder Office 365 überwacht? Wie hat sich der Ansatz des Unternehmens in den letzten Jahren entwickelt, und wie sieht die kurzfristige Roadmap für zusätzliche Transparenz oder neue Funktionen aus, an denen das Unternehmen arbeitet? Wenn Sie bestehende oder bevorstehende Compliance-Initiativen haben, ist es besonders wichtig, das Compliance-Team in die Evaluierung eines MSSP einzubeziehen, damit die richtigen Fragen gestellt werden können.”

5. Limitierte Integrationen und Analysen

Vorgenannte Forrester-Umfrage zeigt, dass MSSPs sich oft weigern, mit Technologien zu arbeiten, die nicht explizit im Vertrag stehen. Das führt zu einer eingeschränkten Integration mit allen anderen Sicherheitskontrollen, die ein Unternehmen möglicherweise bereits einsetzt. “Die meisten Kunden berichten davon, die Interaktionen ihres MSSP mit dem Ökosystem der IT-Lieferanten mikromanagen zu müssen, wenn es darum geht, Sicherheitsprobleme zu beheben”, schreiben die Analysten.

Darüber hinaus fehle es vielen MSSP-Warnmeldungen an Kontext und Kritikalität, was Unternehmen dazu zwinge, Überstunden zu machen, um jede erhaltene Warnung zu verifizieren und doppelt zu überprüfen. “Fehlalarme verschlimmern die Frustration über fehlgeschlagene Integrationen noch weiter”, so Forrester.

6. Keine Verifizierung der MSSP-Praktiken

In jüngster Zeit haben Angreifer MSSP-Systeme und -Netzwerke ins Visier genommen, um anschließend die Systeme der Kunden anzugreifen. Bei mehreren solcher Vorfälle konnten die Angreifer Schwachstellen in den Remote-Admin-Tools ausnutzen, die MSSPs verwenden, um Zugang zu den Systemen ihrer Kunden zu erhalten. Eines der bekanntesten Beispiele ist die Kampagne “Operation Cloud Hopper” in China ansässigen, kriminellen Hackergruppe APT10, die es auf Hunderte von Managed Service Providern weltweit abgesehen hat.

“Die Angreifer wissen, dass es ausreicht, einen Managed Service Provider zu kompromittieren, um sich Zugang zu vielen Kundennetzwerken zu verschaffen,” meint Brian Downey, Vice President of Product Management for Security bei Continuum. “MSPs sind ein Einfallstor für Angreifer und müssen die höchsten Sicherheitsstandards efüllen.”

Viele Risiken könnten in der Phase der Anbieterevaluierung angesprochen werden – dazu müssten die Unternehmen aber wissen, welche Bereiche sie untersuchen müssen. “Die besten Fragen beziehen sich auf die Tools und Prozesse, die der Anbieter einsetzt, sowie auf das Qualifikationsniveau der Mitarbeiter, die beim Anbieter beschäftigt sind. Intransparenz ist in dieser Hinsicht keine gute Sache, ebenso wenig wie Zertifizierungen alleine. Die Anbieter solcher Zertifizierungen behaupten zwar, diese seien ausreichend um eine Qualifikation nachzuweisen. Im Sicherheitsbereich stellt das jedoch bestenfalls einen Indikator dar.”

Unternehmen sollten sich darüber hinaus auch eingehend mit dem Servicebereitstellungsmodell des Anbieters befassen, meint Bragg: “Finden Sie heraus, wie die Bereitstellungs- und Onboarding-Prozesse ablaufen und wie sie täglich, wöchentlich und monatlich mit Ihrem Team in Kontakt bleiben und interagieren. Vergewissern Sie sich auch, dass Sie die Technologieplattform des MSSP und die Kontrollmechanismen für die Reaktion auf Vorfälle kennen. Zu Beginn des Evaluierungszyklus sollten sich Unternehmen darüber informieren, welche Dienste als separate Module oder Pakete verkauft werden – und diese auf ihre Sicherheitsanforderungen abstimmen.” (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.