Email-Sicherheit

Die richtige Wahl eines Managed Security Service Providers

Adrien Gendre

01. Juli 2021

3 min

Wenn Ihr Unternehmen darüber nachdenkt, einen Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) in Anspruch zu nehmen, befinden Sie sich in guter Gesellschaft. 86 Prozent der KMU geben an, dass Cybersicherheit zu ihren fünf wichtigsten Prioritäten gehört, und 50 Prozent sagen, dass sie damit rechnen, ihre Cybersicherheit in den nächsten fünf Jahren ganz oder größtenteils auszulagern. Managed Security Services bieten den KMU den Schutz, den sie intern nicht zur Verfügung haben.

Die COVID-19-Pandemie hat gezeigt, wie wertvoll die Zusammenarbeit mit einem MSSP beim Thema Cybersicherheit ist. Mit der plötzlichen Verlagerung der Belegschaft in das Homeoffice sahen sich KMU gezwungen, ohne Vorwarnung Verbindungen, Netzwerke und Daten zu sichern - ein Prozess, mit dem selbst große Unternehmen mit ausgefeilten Sicherheitssystemen und erfahrenen Teams ihre Schwierigkeiten hatten.

Jetzt, da KMU die Möglichkeit darüber nachdenken, ob sie mit einer vollständig dezentralisierten Belegschaft weitermachen oder auf eine hybride Lösung umsteigen sollen, besteht die Notwendigkeit, Schutzmaßnahmen gegen potenzielle Bedrohungen auf permanenter Basis zu ergreifen.

Die Arbeit im Homeoffice hat zu einer bereits umfassenden Bedrohungslage beigetragen, für die viele KMU nicht die nötigen Kapazitäten haben. Da Cybersicherheit für jedes Unternehmen, unabhängig von der Größe, oberste Priorität haben sollte, ist die Zusammenarbeit mit einem MSSP die beste Option zum Schutz der Unternehmensressourcen. Allerdings tummeln sich viele Anbieter von Managed Security Services auf dem Markt, und wie beim Thema Cybersicherheitssoftware, gibt es auch hier keine Patentlösung für alle. Zur Auswahl des geeignetsten MSSPs sollten KMU genau wissen, was sie schützen möchten, um den Cybersicherheitsdschungel zu durchdringen.

Die richtigen Fragen stellen

Genauso wie man sich bei einem Vorstellungsgespräch mit potenziellen Mitarbeitern eine Liste von Fragen zurechtlegt, sollten KMU sich mit einer Liste von Fragen für MSSP vorbereiten. Diese sollten selbstverständlich auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten sein, sollten aber mindestens folgende Aspekte beinhalten:

  • Was umfasst der angebotene Managed Security Service? Wird der Schutz für jeden Endpunkt im gesamten Netzwerk, einschließlich der Cloud, bereitgestellt? Beinhaltet dies auch die Überwachung von Protokollen und Zugriffen?
  • Wie sieht das Vorgehen des Anbieters bei der Reaktion auf Bedrohungen aus? Wie viel Zeit wird in der Regel benötigt, um eine Bedrohung zu erkennen und zu entschärfen?
  • Hat der Anbieter Erfahrung mit der von Ihnen verwendeten Umgebung, also Betriebssysteme, Hardware und Software? (so benötigen Unternehmen mit kritischer Infrastruktur nicht nur einen MSSP mit Erfahrung im Support von Betriebssystemen, sondern auch von eher traditionellen IT-Umgebungen).
  • Welche Zertifizierungen und Schulungen besitzen die Sicherheitsmitarbeiter des Anbieters?
  • Stellt der Anbieter einen speziellen Mitarbeiter für Ihre Firma ab, der schnell auf Ihre Bedürfnisse reagieren kann?
  • Was passiert, wenn es auf Ihrer Seite einen Ausfall gibt? Wie werden Daten und Netzwerke während der Ausfallzeit gesichert? Wie beugt der Anbieter Ausfallzeiten vor?
  • Welche Dienste sind bei den Kunden besonders beliebt? Welche Dienste sind im Standardvertrag enthalten und welche sind extra? Wie geht der Anbieter mit Bedürfnissen um, die sich außerhalb des Vertrags ergeben?
  • Verfügt der Anbieter über einen Helpdesk, der rund um die Uhr erreichbar ist? Wo genau befindet sich dieser Helpdesk?
  • Werden Drittanbieter zur Abdeckung zusätzlicher Sicherheitsrisiken verwendet?
  • Wie überwacht der Anbieter die IT-Infrastruktur der Kunden, und wie schnell wird er über einen Vorfall informiert?
  • Welche Mitwirkungspflichten hat Ihre Firma, um ein Höchstmaß an Sicherheit zu gewährleisten?
  • Wird neben der Fernbetreuung auch ein Vor-Ort-Support angeboten?

Tipps für die Beauftragung des richtigen MSSPs

Sie haben Ihre Fragenliste fertig vorliegen sollten idealerweise mehrere gute Anbieter zur Auswahl haben. Jetzt kommt es darauf an, jeden einzelnen Anbieter zu evaluieren und zu entscheiden, welcher für Ihr Unternehmen am besten geeignet ist. Hier einige Tipps, die Ihnen bei der endgültigen Entscheidung helfen werden.

  • Seien Sie sich Ihrer aktuellen Sicherheitslage bewusst: Machen Sie eine Bestandsaufnahme der bereits vorhandenen Sicherheitstools und beurteilen Sie, ob der MSSP nahtlos mit Ihrem aktuellen System zusammenarbeiten und es entsprechend erweitern kann.
  • Machen Sie sich klar, was Sie schützen möchten: Ein Unternehmen, das sich in hohem Maße auf IoT-Geräte verlässt, wird andere Sicherheitsanforderungen haben als ein Unternehmen, das vorwiegend eine traditionelle Netzwerkarchitektur verwendet.
  • Schauen Sie sich das Service Level Agreement (SLA) genau an: Die Bedingungen sollten klar definierte Ziele, Serviceangebote und Supportstufen enthalten. Handelt es sich bei dem angebotenen Dienstleistungsvertrag um eine allgemeine Vereinbarung oder um einen auf Ihr Unternehmen zugeschnittenen Text?
  • Fragen Sie nach Referenzen: Fordern Sie Referenzen von anderen Unternehmen in Ihrer Branche und mit ähnlichen Anforderungen an, und überprüfen Sie diese Referenzen genau. Zu den Bereichen, die Sie mit bestehenden Kunden des Anbieters abklären sollten, gehören Bedenken hinsichtlich des Dienstleistungsvertrages, der Einfachheit der Bereitstellung, der Helpdesk-Erfahrungen und etwaiger schwerwiegender Sicherheitsprobleme, die während der Zusammenarbeit mit dem MSSP aufgetreten sind.

Angesichts der Tatsache, dass Ransomware regelmäßig in den Nachrichten auftaucht und das allgemeine Bewusstsein für Cyber-Bedrohungen stetig wächst, bietet die Beauftragung eines Managed Security Service Providers einem KMU, das sonst kein effektives Sicherheitssystem einsetzen würde, ein beruhigendes Gefühl. Hierbei sollte das vorwiegende Ziel eines KMUs darin bestehen, sicherzustellen, dass der in Betracht kommende MSSP wirklich die richtige Wahl ist, und das bedeutet, genau zu wissen, was man braucht und worauf man achten sollte.